La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una falla crítica ahora parchada que afecta a Ivanti Endpoint Manager Mobile (EPMM) y MobileIron Core a su catálogo de vulnerabilidades explotadas conocidas ( KEV ), afirmando que está siendo explotada activamente en la naturaleza.
La vulnerabilidad en cuestión es CVE-2023-35082 (puntuación CVSS: 9,8), una omisión de autenticación que es una omisión de parche para otra falla en la misma solución rastreada como CVE-2023-35078 (puntuación CVSS: 10,0), que fue explotada activamente en Los ataques tuvieron como objetivo entidades gubernamentales noruegas como un día cero en abril de 2023.
«Si se explota, esta vulnerabilidad permite que un actor remoto (con acceso a Internet) no autorizado acceda potencialmente a la información de identificación personal de los usuarios y realice cambios limitados en el servidor», señaló Ivanti en agosto de 2023.
Todas las versiones de Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 y 11.8, y MobileIron Core 11.7 y anteriores se ven afectadas por la vulnerabilidad.
La empresa de ciberseguridad Rapid7, que descubrió e informó la falla, dijo que se puede encadenar con CVE-2023-35081 para permitir que un atacante escriba archivos web shell maliciosos en el dispositivo.
Actualmente no hay detalles sobre cómo se está utilizando la vulnerabilidad como arma en ataques del mundo real. Se recomienda a las agencias federales que apliquen las correcciones proporcionadas por los proveedores antes del 8 de febrero de 2024.
La divulgación se produce cuando otras dos fallas de día cero en los dispositivos de red privada virtual (VPN) Ivanti Connect Secure (ICS) (CVE-2023-46805 y CVE-2024-21887) también han sido objeto de explotación masiva para eliminar shells web y puertas traseras pasivas. , y se espera que la compañía publique actualizaciones la próxima semana.
«Hemos observado que el actor de amenazas apunta a la configuración y al caché de ejecución del sistema, que contiene secretos importantes para el funcionamiento de la VPN», dijo Ivanti en un aviso.
«Aunque no hemos observado esto en todos los casos, por precaución, Ivanti recomienda rotar estos secretos después de la reconstrucción».
Volexity, esta semana, reveló que ha podido encontrar evidencia de compromiso en más de 2100 dispositivos en todo el mundo. Si bien la explotación inicial estaba vinculada a un presunto actor de amenazas chino llamado UTA0178, desde entonces se han sumado otros actores de amenazas al tren de la explotación.
Las intrusiones se han dirigido a organizaciones gubernamentales, militares, de telecomunicaciones, de defensa, de tecnología, bancarias, de consultoría, aeroespaciales, de aviación y de ingeniería en Estados Unidos, Alemania, Reino Unido, Francia, España, China, India, Australia, Rusia y Brasil.
La empresa de ciberseguridad señaló además que UTA0178, el presunto actor de amenazas chino detrás de la ola de ataques inicial en diciembre de 2023, realizó modificaciones en la herramienta Integrity Checker incorporada en un intento de evadir la detección.
«El análisis de este archivo descubrió evidencia de que había sido modificado para que la herramienta de verificación de integridad incorporada en el sistema siempre indicara que no había hallazgos, incluso si en realidad se detectaran archivos nuevos o no coincidentes», dijeron los investigadores de seguridad Matthew Meltzer, Sean Koessel y Steven Adair . .
Se recomienda que las organizaciones apliquen la mitigación proporcionada por Ivanti después de importar cualquier configuración de respaldo para evitar que un dispositivo se vuelva a comprometer.
Una mayor ingeniería inversa de las fallas gemelas realizada por Assetnote ha descubierto un punto final adicional («/api/v1/totp/user-backup-code») mediante el cual se podría abusar de la falla de omisión de autenticación (CVE-2023-46805) en versiones anteriores de ICS y obtener un caparazón inverso.
Los investigadores de seguridad Shubham Shah y Dylan Pindur lo describieron como «otro ejemplo de un dispositivo VPN seguro que se expone a una explotación a gran escala como resultado de errores de seguridad relativamente simples».
(La historia se actualizó después de la publicación para incluir hallazgos adicionales publicados por Volexity).
Fuente y redacción: thehackernews.com
