La compañía de software enfocada a IT, Avanti, ha lanzado un comunicado en donde advierte a sus clientes que realicen las actualizaciones de su software de gestión de dispositivos móviles, Endpoint Manager Mobile (EPMM) derivado de una vulnerabilidad Zero-day de evasión de autenticación.
La vulnerabilidad en cuestión ha sido rastreada como CVE-2023-35078, y ha sido descrita como una vulnerabilidad de acceso remoto de API no autorizado, que impacta las versiones 11.4, versiones 11.10, 11.9 y 11.8, así como versiones anteriores. La vulnerabilidad ha sido clasificada como crítica y se le ha asignado una puntuación CVSSv3 de 10/10, lo que refleja la criticidad de esta.
Según lo comenta CISA, un atacante con acceso a las rutas de la API puede acceder a información personal identificable (PII) como nombres, números de teléfono, y otros detalles de dispositivos móviles para usuarios, en el sistema vulnerable. Un actor malicioso también puede realizar otros cambios a las configuraciones, incluyendo la creación de una cuenta EPMM administrativa, la cual, a su vez, poder realizar cambios posteriores al sistema vulnerado.
Por su parte, el vendedor comentó que estos habrían recibido información de fuentes confiables confirmando la explotación activa de la vulnerabilidad en cuestión. El vendedor informaba que ellos, solamente estaban advertidos de un número muy limitado de clientes que habrían sido afectados por la brecha en Ivanti.
Según comentaba el investigador Kevin Beaumont, la vulnerabilidad es un 10.0 CVSS perfecto, lo que, es más, la vulnerabilidad resulta ser muy fácil de explotar, y no explica porque Ivanti trata de esconderlo, a su vez, el investigador también mencionaba que “esto conseguirá un barrido masivo en internet”. Y concluía incentivando, encarecidamente a realizar las actualizaciones pertinentes, y de no poder salir de EOL, apaga el aparato.
Una manera sencilla de saber si los sistemas han sido vulnerados es mediante la visualización de los registros, desde ahí se podrá observar si el endpoint de la API v2 en Ivanti EPMM ha sido explotada. La API v2 es accesible sin ningún tipo de autenticación, mediante el cambio de la ruta URI. La documentación de la API describe que https://[core server]/api/v2/ el la URL base para todas las llamadas de la API. Si se antepone la ruta a un endpoint vulnerable, no es necesaria la autenticación para ejecutar comandos como: https://[core server]/vulnerable/ruta/api/v2/.
Mediante el motor de búsqueda Shodan, se pudieron encontrar que las instancias de Ivanti, vulnerables a CVE-2023-35078 apodada “MobileIrony” serían más de 2700, observándose una mayor cantidad de estas en los países de Alemania, Estados unidos, Reino unido y Francia.
La vulnerabilidad tomo mayor importancia luego de los ataques llevados a cabo por un actor malicioso desconocido, contra 12 ministerios de Noruega. Según lo comentara el gobierno noruego, el ataque fue detectado en la plataforma ICT, el cual es utilizado por 12 ministerios de esta nación.
La plataforma ICT en cuestión, resultaría ser Ivanti, EPMM, el cual, según se informó, es utilizado por todos los ministerios, excepto por la oficina del primer ministro, el ministerio de defensa, el ministerio de justicia y seguridad publica y por el Ministerio de Asuntos de exteriores.
CISA
Debido a la criticidad de la vulnerabilidad, y los ataques llevados a cabo mediante la explotación de esta, CISA ha advertido sobre la importancia de CVE-2023-35078, a su vez, CISA ha agregado la vulnerabilidad a su catalogo de vulnerabilidades explotadas conocidas (KEV), esto significa que todas las agencias de Poder Ejecutivo Civil Federal (FCEB) deberán remediar el problema para antes de agosto 15, con la finalidad de proteger sus redes de la explotación de CVE-2023-35078.
Hoy, 28 de julio, Ivanti ha liberado las actualizaciones de seguridad para EPMM, las cuales buscan solucionar las vulnerabilidades CVE-2023-35081 y CVE-2023-35078. El proveedor recomienda realizar las actualizaciones pertinentes, lo mas pronto posible.
