Rivelata Vulnerabilità Critica: Attivamente Sfruttata la Falla Ivanti EPMM secondo l’Agenzia per la Sicurezza Informatica USA
L’Agenzia per la Sicurezza Informatica e dell’Infrastruttura degli Stati Uniti (CISA) ha recentemente allertato sulla presenza di una vulnerabilità critica che ha colpito Ivanti Endpoint Manager Mobile (EPMM) e MobileIron Core.
La notizia è stata inclusa nel catalogo di Vulnerabilità Conosciute Sfruttate (KEV), con la CISA dichiarando che la vulnerabilità è attivamente sfruttata in ambienti reali.
La vulnerabilità in questione è identificata come CVE-2023-35082, con un punteggio CVSS di 9.8. Si tratta di un bypass di autenticazione che funge anche da bypass per un’altra vulnerabilità nella stessa soluzione, ossia la CVE-2023-35078 con un punteggio CVSS di 10.0.
Secondo le informazioni divulgate da Ivanti nel mese di agosto 2023, se sfruttata, questa vulnerabilità potrebbe consentire a un attore non autorizzato e remoto, esposto su Internet, di potenzialmente accedere alle informazioni personali degli utenti e apportare modifiche limitate al server.
La portata della vulnerabilità è estesa, colpendo tutte le versioni di Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 e 11.8, e MobileIron Core 11.7 e versioni precedenti.
La società di sicurezza informatica Rapid7, responsabile della scoperta e segnalazione della falla, ha evidenziato la possibilità di concatenare questa vulnerabilità con CVE-2023-35081, permettendo agli attaccanti di scrivere file web shell malevoli sull’apparecchio compromesso.
Attualmente, non sono disponibili dettagli su come la vulnerabilità sia sfruttata negli attacchi reali. Tuttavia, le agenzie federali sono fortemente consigliate ad applicare le correzioni fornite dal fornitore entro l’8 febbraio 2024.
La divulgazione di questa vulnerabilità si svolge in un contesto in cui altre due vulnerabilità zero-day, questa volta nei dispositivi di rete privata virtuale (VPN) Ivanti Connect Secure (ICS), sono state sfruttate su larga scala per inserire file web shell e backdoor passive.
Le CVE coinvolte sono la CVE-2023-46805 e la CVE-2024-21887, con l’azienda che prevede di rilasciare gli aggiornamenti correttivi nella prossima settimana.
“Il threat actor ha preso di mira la configurazione e la cache in esecuzione del sistema, che contiene segreti importanti per il funzionamento della VPN”, ha dichiarato Ivanti in un avviso, suggerendo anche la rotazione dei segreti dopo la ricostruzione come misura precauzionale.
Volexity, nel corso della settimana, ha rivelato prove di oltre 1.700 dispositivi compromessi in tutto il mondo.
Sebbene l’exploit iniziale sia stato associato a un presunto attore minaccioso cinese chiamato UTA0178, si è verificato il coinvolgimento di altri attori minacciosi nella campagna di sfruttamento.
Ulteriori analisi delle vulnerabilità gemelle, condotte da Assetnote, hanno scoperto un endpoint aggiuntivo (“/api/v1/totp/user-backup-code”) attraverso il quale la vulnerabilità di bypass dell’autenticazione (CVE-2023-46805) potrebbe essere abusata su versioni più datate di ICS per ottenere un reverse shell.
Gli esperti di sicurezza Shubham Shah e Dylan Pindur hanno commentato l’episodio come “un altro esempio di un dispositivo VPN sicuro che si espone a un’ampia scala di sfruttamento a causa di errori di sicurezza relativamente semplici.”
In conclusione, la comunità della sicurezza informatica è ora in allerta, con l’enfasi sulla necessità di implementare tempestivamente le correzioni fornite dagli sviluppatori e di rimanere vigili di fronte alle minacce sempre più sofisticate che mettono a rischio la sicurezza delle organizzazioni e dei loro utenti.