Ciberseguridad 360 | Segunda vulnerabilidad de día cero de EPMM de Ivanti explotada en ataques dirigidos

Ivanti ha advertido a los clientes sobre una segunda vulnerabilidad de d�a cero en su producto Endpoint Manager Mobile (EPMM) que ha sido explotada en ataques dirigidos.

Las autoridades noruegas anunciaron el 24 de julio que una docena de ministerios gubernamentales hab�an sido objeto de un ciberataque que implicaba la explotaci�n de CVE-2023-35078, un EPMM de d�a cero de Ivanti que permite a un atacante no autenticado obtener informaci�n confidencial y realizar cambios en los servidores afectados.

Una investigaci�n adicional realizada por la firma de seguridad cibern�tica Mnemonic revel� la existencia de CVE-2023-3508, una falla de alta gravedad que permite que un atacante autenticado con privilegios de administrador escriba de forma remota archivos arbitrarios en el servidor.

A fines de la semana pasada, Ivanti public� un aviso y CISA emiti� una alerta para informar a las organizaciones sobre esta segunda vulnerabilidad y advertirles sobre la explotaci�n activa. Se ha instado a las organizaciones a parchear inmediatamente sus dispositivos.

EPMM, anteriormente conocido como MobileIron Core, es un motor de software de administraci�n m�vil que utilizan los equipos de TI para establecer pol�ticas para dispositivos m�viles, aplicaciones y contenido.

Ivanti se�al� que CVE-2023-35081 se puede explotar junto con CVE-2023-35078 para eludir las restricciones de autenticaci�n de administrador y lista de control de acceso (ACL).

?La explotaci�n exitosa se puede usar para escribir archivos maliciosos en el dispositivo, lo que en �ltima instancia permite que un actor malintencionado ejecute comandos del sistema operativo en el dispositivo como usuario de Tomcat?, explic� Ivanti. "A partir de ahora, solo conocemos el mismo n�mero limitado de clientes afectados por CVE-2023-35078 que los afectados por CVE-2023-35081".

Todav�a no est� claro qui�n est� detr�s de los ataques que explotan estos d�as cero, pero es probable que sea un actor de amenazas patrocinado por el estado.

Si bien actualmente las vulnerabilidades se han aprovechado en ataques limitados, es probable que la explotaci�n aumente considerando que hay miles de sistemas expuestos a Internet potencialmente vulnerables y el c�digo de prueba de concepto (PoC) para CVE-2023-35078 est� disponible.

El Cat�logo de vulnerabilidades explotadas conocidas de CISA actualmente enumera 10 fallas de productos de Ivanti, pero no incluye el �ltimo d�a cero. Las fallas afectan a los productos Pulse Connect Secure y MobileIron, que Ivanti adquiri� en 2020.

Fuente: securityweek.com