Notícias de dispositivos móveis, gadgets, aplicativos Android

CISA publicou um aviso sobre vulnerabilidades de dia zero do Ivanti EPMM

O Diretor da Agência de Segurança Cibernética e de Infraestrutura (CISA) dos Estados Unidos divulgou um alerta na sexta-feira sobre a exploração ativa das vulnerabilidades do Ivanti EPMM (anteriormente MobileIron Core).

CVE-2023-35078 √© uma vulnerabilidade cr√≠tica que afeta o Ivanti Endpoint Manager Mobile (EPMM). A vulnerabilidade permite que os agentes da amea√ßa acessem informa√ß√Ķes de identifica√ß√£o pessoal (PII) e obtenham a capacidade de fazer altera√ß√Ķes na configura√ß√£o dos sistemas comprometidos.

CVE-2023-35081 permite que um administrador autenticado execute grava√ß√Ķes arbitr√°rias de arquivos no servidor EPMM. Esta vulnerabilidade pode ser usada em conjunto com CVE-2023-35078.

A solu√ß√£o EPMM da Ivanti √© um mecanismo de software de gerenciamento m√≥vel amplamente utilizado que permite aos departamentos de TI definir pol√≠ticas para dispositivos m√≥veis, aplicativos e conte√ļdo.

Conta com agências governamentais em todo o mundo entre seus usuários, incluindo algumas nos EUA

Em julho de 2023, o Centro Nacional Norueguês de Segurança Cibernética (NCSC-NO) tomou conhecimento de atores de ameaças persistentes avançadas (APT) que exploravam uma vulnerabilidade de dia zero no Ivanti Endpoint Manager (EPMM), para atingir uma rede governamental norueguesa.

Ivanti confirmou que os agentes da ameaça exploraram o CVE-2023-35078 e lançaram um patch em 23 de julho de 2023.

Posteriormente, a Ivanti determinou que os atores poderiam usar CVE-2023-35078 em conjunto com outra vulnerabilidade, CVE-2023-35081, e lançou um patch para a segunda vulnerabilidade em 28 de julho de 2023.

O EPMM é amplamente utilizado em vários governos, incluindo na plataforma de segurança dos EUA, Shodan, que mostrou dezenas de agências nos EUA e na Europa potencialmente expostas ao problema, entre milhares de outras vítimas potenciais.

Exploração da falha

Os atores do APT exploraram o CVE-2023-35078 em dispositivos Ivanti EPMM p√ļblicos desde pelo menos abril de 2023 em ataques dirigidos contra entidades norueguesas, incluindo uma rede governamental.

N√≥s recomendamos:  O QUE S√ÉO OS TOKENS

Os sistemas de gerenciamento de dispositivos móveis (MDM) são alvos atraentes para os agentes de ameaças, pois fornecem acesso elevado a milhares de dispositivos móveis, e os agentes de APT exploraram uma vulnerabilidade anterior do MobileIron.

CVE-2023-35078 é um desvio de autenticação crítico [CWE-288] vulnerabilidade que afeta o Ivanti Endpoint Manager Mobile (EPMM). A vulnerabilidade permite acesso não autenticado a caminhos específicos da interface de programação de aplicativos (API).

Os atores de amea√ßas com acesso a esses caminhos de API podem acessar PII, como nomes, n√ļmeros de telefone e outros detalhes de dispositivos m√≥veis de usu√°rios no sistema vulner√°vel; fazer altera√ß√Ķes na configura√ß√£o de sistemas vulner√°veis; enviar novos pacotes para endpoints m√≥veis; e acessar dados do Sistema de Posicionamento Global (GPS), se ativado.

De acordo com Ivanti, esta vulnerabilidade é uma falha de passagem de caminho com classificação CVSS v3 de 7.2. Ele permite que um invasor grave qualquer arquivo no dispositivo.

A CISA e o NCSC-NO estão preocupados com o potencial de exploração generalizada de ambas as vulnerabilidades nas redes governamentais e do sector privado, porque os sistemas MDM fornecem acesso elevado a milhares de dispositivos móveis.

Os atores da ameaça, incluindo os atores do APT, já exploraram anteriormente uma vulnerabilidade do MobileIron.

A CISA recomenda os administradores usam o modelo de n√ļcleos desenvolvido pela CISA para determinar as vulnerabilidades do Ivanti EPMM.

CISA e NCSC-NO recomendam que as organiza√ß√Ķes atualizem as vers√Ķes do Ivanti EPMM para a vers√£o mais recente o mais r√°pido poss√≠vel e tratem os sistemas MDM como ativos de alto valor (HVAs) com restri√ß√Ķes e monitoramento adicionais.

Al√©m disso, a CISA e a NCSC-NO incentivam as organiza√ß√Ķes a procurar atividades maliciosas usando as orienta√ß√Ķes de detec√ß√£o deste Aviso de Seguran√ßa Cibern√©tica (CSA).

N√≥s recomendamos:  Reliance Jiobook ser√° lan√ßado em 31 de julho, tudo o que sabemos sobre ele

Mantenha-se informado sobre as √ļltimas not√≠cias sobre seguran√ßa cibern√©tica seguindo-nos no Not√≠cias do Google, Linkedin, Twittere Facebook.