Ciberseguridad 360 | Vulnerabilidad crítica de Ivanti EPMM explotada activamente

CISA advierte de que una vulnerabilidad cr�tica de elusi�n de autenticaci�n en el software de gesti�n de dispositivos Endpoint Manager Mobile (EPMM) y MobileIron Core de Ivanti (parcheado en agosto de 2023) se encuentra ahora bajo explotaci�n activa.

Localizado como CVE-2023-35082, el fallo es una vulnerabilidad de acceso remoto no autenticado a la API que afecta a todas las versiones de EPMM 11.10, 11.9 y 11.8 y MobileIron Core 11.7 e inferiores.

Una explotaci�n exitosa proporciona a los atacantes acceso a informaci�n personal identificable (PII) de los usuarios de dispositivos m�viles y puede permitirles acceder a servidores comprometidos al encadenar el fallo con otros.

"Ivanti ya dispone de un script RPM. Recomendamos a los clientes que primero actualicen a una versi�n soportada y luego apliquen el script RPM", dijo la compa��a en agosto. "Se puede encontrar informaci�n m�s detallada en este art�culo de la Base de Conocimientos en el portal de la Comunidad Ivanti".

La empresa de ciberseguridad Rapid7, que descubri� y notific� la vulnerabilidad, proporciona indicadores de compromiso (IOC) para ayudar a los administradores a detectar se�ales de un ataque CVE-2023-35082.

Seg�n Shodan, 6.300 portales de usuario de Ivanti EPMM est�n actualmente expuestos en l�nea, mientras que la plataforma de monitorizaci�n de amenazas Shadowserver rastrea 3.420 dispositivos EPMM expuestos en Internet.

Los datos de Shodan tambi�n revelan que se puede acceder directamente a trav�s de Internet a las m�s de 150 instancias vinculadas a organismos gubernamentales de todo el mundo.

Portales de usuario Ivanti EPMM expuestos en Internet (Shodan)

Aunque todav�a no ha proporcionado m�s detalles sobre la explotaci�n activa de CVE-2023-35082, CISA a�adi� la vulnerabilidad a su Cat�logo de Vulnerabilidades Explotadas Conocidas bas�ndose en pruebas de explotaci�n activa y afirma que no hay pruebas de abuso en ataques de ransomware.

La agencia de ciberseguridad tambi�n orden� a las agencias federales estadounidenses realizar el parche de seguridad antes del 2 de febrero, tal y como exige una directiva operativa vinculante (BOD 22-01) emitida hace tres a�os.

Ivanti a�n no ha actualizado sus avisos de agosto ni ha emitido otra notificaci�n advirtiendo de que los atacantes est�n utilizando esta vulnerabilidad de seguridad.

Otros dos zero-days de Ivanti Connect Secure (ICS), un desv�o de autenticaci�n (CVE-2023-46805) y una inyecci�n de comandos (CVE-2024-21887) tambi�n est�n siendo explotados masivamente por m�ltiples grupos de amenazas, a partir del 11 de enero.

Las v�ctimas comprometidas hasta ahora van desde peque�as empresas hasta m�ltiples compa��as de Fortune 500 de diversos sectores industriales, y los atacantes ya han atacado m�s de 1.700 dispositivos ICS VPN utilizando una variante webshell de GIFTEDVISITOR.

Muchos otros zero-days de Ivanti (CVE-2021-22893, CVE-2023-35078, CVE-2023-35081, CVE-2023-38035) han sido explotados en los �ltimos a�os para vulnerar docenas de organizaciones gubernamentales, de defensa y financieras en Estados Unidos y Europa, varias organizaciones gubernamentales noruegas, as� como en ataques dirigidos.

Fuente: bleepingcomputer