La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves agregado una falla crítica ahora parcheada que afecta a Ivanti Endpoint Manager Mobile (EPMM) y MobileIron Core a sus vulnerabilidades explotadas conocidas (KEV) catálogo, indicando que está siendo explotado activamente en la naturaleza.
La vulnerabilidad en cuestión es CVE-2023-35082 (puntuación CVSS: 9,8), una omisión de autenticación que es una omisión de parche para otra falla en la misma solución rastreada como CVE-2023-35078 (puntuación CVSS: 10,0).
«Si se explota, esta vulnerabilidad permite que un actor remoto no autorizado (con acceso a Internet) pueda acceder a la información de identificación personal de los usuarios y realizar cambios limitados en el servidor», Ivanti anotado en agosto de 2023.
Todas las versiones de Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 y 11.8, y MobileIron Core 11.7 y anteriores se ven afectadas por la vulnerabilidad.
La empresa de ciberseguridad Rapid7, que descubrió e informó la falla, dijo que se puede encadenar con CVE-2023-35081 para permitir que un atacante escriba archivos web shell maliciosos en el dispositivo.
Actualmente no hay detalles sobre cómo se está utilizando la vulnerabilidad como arma en ataques del mundo real. Se recomienda a las agencias federales que apliquen las correcciones proporcionadas por los proveedores antes del 8 de febrero de 2024.
La divulgación se produce cuando también se han producido otras dos fallas de día cero en los dispositivos de red privada virtual (VPN) Ivanti Connect Secure (ICS) (CVE-2023-46805 y CVE-2024-21887). caer bajo explotación masiva para eliminar shells web y puertas traseras pasivas, y se espera que la compañía publique actualizaciones la próxima semana.
«Hemos observado que el actor de amenazas apunta a la configuración y a la caché de ejecución del sistema, que contiene secretos importantes para el funcionamiento de la VPN», Ivanti dicho en un aviso.
«Aunque no hemos observado esto en todos los casos, por precaución, Ivanti recomienda rotar estos secretos después de la reconstrucción».
Volexity, a principios de esta semana, reveló que había podido encontrar evidencia de compromiso en más de 1.700 dispositivos en todo el mundo. Si bien la explotación inicial estaba vinculada a un presunto actor de amenazas chino llamado UTA0178, desde entonces se han sumado otros actores de amenazas al tren de la explotación.
Una mayor ingeniería inversa de las fallas gemelas realizada por Assetnote ha descubierto un punto final adicional («/api/v1/totp/user-backup-code») mediante el cual se podría abusar de la falla de omisión de autenticación (CVE-2023-46805) en versiones anteriores de ICS y obtener un caparazón inverso.
Los investigadores de seguridad Shubham Shah y Dylan Pindur descrito lo calificó como «otro ejemplo de un dispositivo VPN seguro que se expone a una explotación a gran escala como resultado de errores de seguridad relativamente simples».