Агентство кибербезопасности и безопасности инфраструктуры США (CISA) в четверг добавило исправленную критическую ошибку, влияющую на Ivanti Endpoint Manager Mobile (EPMM) и MobileIron Core, в свой каталог известных эксплуатируемых уязвимостей (KEV), заявив, что она активно используется в дикой природе.
Рассматриваемая уязвимость - это CVE-2023-35082 (оценка CVSS: 9,8), обход аутентификации, который является обходом исправления для другого недостатка в том же решении, которое отслеживается как CVE-2023-35078 (оценка CVSS: 10,0).
"В случае использования эта уязвимость позволяет неавторизованному удаленному (подключенному к Интернету) субъекту потенциально получить доступ к личной информации пользователей и внести ограниченные изменения на сервер", - отметил Ivanti в августе 2023 года.
Эта уязвимость затрагивает все версии Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 и 11.8, а также MobileIron Core 11.7 и ниже.
Компания по кибербезопасности Rapid7, обнаружившая уязвимость и сообщившая о ней, заявила, что она может быть связана с CVE-2023-35081, что позволяет злоумышленнику записывать вредоносные файлы web shell на устройство.
В настоящее время нет подробностей о том, как уязвимость используется в реальных атаках. Федеральным агентствам рекомендуется применить исправления, предоставленные поставщиком, до 8 февраля 2024 года.
Раскрытие происходит в связи с тем, что две другие уязвимости нулевого дня в устройствах виртуальной частной сети Ivanti Connect Secure (ICS) (VPN) (CVE-2023-46805 и CVE-2024-21887) также подверглись массовой эксплуатации для удаления веб-оболочек и пассивных бэкдоров, и ожидается, что компания выпустит обновления на следующей неделе.
"Мы заметили, что субъект угрозы нацелен на конфигурацию и работающий кэш системы, который содержит секреты, важные для работы VPN", - сказал Иванти в своем сообщении.
"Хотя мы наблюдали это не во всех случаях, из предосторожности Ivanti рекомендует вам использовать эти секреты после восстановления".
Ранее на этой неделе Volexity сообщила, что ей удалось найти доказательства компрометации более 1700 устройств по всему миру. Хотя первоначальная эксплуатация была связана с предполагаемым китайским агентом-угрозой по имени UTA0178, с тех пор к этой эксплуатации присоединились дополнительные участники угрозы.
Дальнейший анализ двух недостатков Assetnote выявил дополнительную конечную точку ("/ api / v1 / totp / user-backup-code"), с помощью которой ошибка обхода аутентификации (CVE-2023-46805) могла быть использована в старых версиях ICS и получить обратную оболочку.
Исследователи безопасности Шубхам Шах и Дилан Пиндур описали это как "еще один пример защищенного VPN-устройства, подвергающегося широкомасштабной эксплуатации в результате относительно простых ошибок безопасности".
Рассматриваемая уязвимость - это CVE-2023-35082 (оценка CVSS: 9,8), обход аутентификации, который является обходом исправления для другого недостатка в том же решении, которое отслеживается как CVE-2023-35078 (оценка CVSS: 10,0).
"В случае использования эта уязвимость позволяет неавторизованному удаленному (подключенному к Интернету) субъекту потенциально получить доступ к личной информации пользователей и внести ограниченные изменения на сервер", - отметил Ivanti в августе 2023 года.
Эта уязвимость затрагивает все версии Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 и 11.8, а также MobileIron Core 11.7 и ниже.
Компания по кибербезопасности Rapid7, обнаружившая уязвимость и сообщившая о ней, заявила, что она может быть связана с CVE-2023-35081, что позволяет злоумышленнику записывать вредоносные файлы web shell на устройство.
В настоящее время нет подробностей о том, как уязвимость используется в реальных атаках. Федеральным агентствам рекомендуется применить исправления, предоставленные поставщиком, до 8 февраля 2024 года.
Раскрытие происходит в связи с тем, что две другие уязвимости нулевого дня в устройствах виртуальной частной сети Ivanti Connect Secure (ICS) (VPN) (CVE-2023-46805 и CVE-2024-21887) также подверглись массовой эксплуатации для удаления веб-оболочек и пассивных бэкдоров, и ожидается, что компания выпустит обновления на следующей неделе.
"Мы заметили, что субъект угрозы нацелен на конфигурацию и работающий кэш системы, который содержит секреты, важные для работы VPN", - сказал Иванти в своем сообщении.
"Хотя мы наблюдали это не во всех случаях, из предосторожности Ivanti рекомендует вам использовать эти секреты после восстановления".
Ранее на этой неделе Volexity сообщила, что ей удалось найти доказательства компрометации более 1700 устройств по всему миру. Хотя первоначальная эксплуатация была связана с предполагаемым китайским агентом-угрозой по имени UTA0178, с тех пор к этой эксплуатации присоединились дополнительные участники угрозы.
Дальнейший анализ двух недостатков Assetnote выявил дополнительную конечную точку ("/ api / v1 / totp / user-backup-code"), с помощью которой ошибка обхода аутентификации (CVE-2023-46805) могла быть использована в старых версиях ICS и получить обратную оболочку.
Исследователи безопасности Шубхам Шах и Дилан Пиндур описали это как "еще один пример защищенного VPN-устройства, подвергающегося широкомасштабной эксплуатации в результате относительно простых ошибок безопасности".
