Vulnerabilities

Risposta alle vulnerabilità critiche in Ivanti Endpoint Manager Mobile (CVE-2023-35078)

ResilientX

È stato recentemente rivelato che Ivanti Endpoint Manager Mobile (EPMM), precedentemente MobileIron Core, contiene tre vulnerabilità ad alta gravità: CVE-2023-35078, CVE-2023-35081 e CVE-2023-35082. Questi difetti consentono agli autori delle minacce di ottenere accessi non autorizzati, aumentare i privilegi e scrivere file arbitrari negli ambienti EPMM.

Secondo le agenzie di sicurezza informatica, queste vulnerabilità vengono sfruttate attivamente per compromettere i sistemi. Qualsiasi organizzazione che utilizza versioni vulnerabili di Ivanti EPMM dovrebbe agire tempestivamente per valutare, mitigare e porre rimedio ai rischi.

Comprendere l'impatto delle vulnerabilità di Ivanti EPMM

Ivanti EPMM è uno strumento di gestione della mobilità aziendale (EMM) utilizzato dalle organizzazioni per configurare e proteggere dispositivi e applicazioni mobili. Il software fornisce una gestione centralizzata e l'applicazione delle policy per i dispositivi Bring-Your-Own-Device (BYOD) e di proprietà aziendale all'interno di un'organizzazione.

Le vulnerabilità critiche si presentano nel modo in cui Ivanti EPMM gestisce l'autenticazione:

  • CVE-2023-35078 e CVE-2023-35082 consentono agli utenti remoti non autenticati di aggirare i controlli di accesso e abusare degli endpoint API.
  • CVE-2023-35081 consente agli amministratori autenticati di eseguire scritture arbitrarie di file.

Gli aggressori possono concatenare questi difetti per assumere il controllo completo dei server EPMM senza credenziali. Possono rubare dati sensibili, apportare modifiche dannose alla configurazione, distribuire malware e creare account amministrativi backdoor.

La facilità di sfruttamento e la gravità dei potenziali impatti hanno portato a punteggi CVSS di 10.0 per CVE-2023-35078 e 7.2 per CVE-2023-35081. È probabile che CVE-2023-35082 riceva un punteggio critico simile.

Quali versioni di Ivanti EPMM sono interessate?

Ivanti ha confermato che le vulnerabilità riguardano le seguenti versioni del prodotto:

  • Ivanti Endpoint Manager Mobile 11.10
  • Ivanti Endpoint Manager Mobile 11.9
  • Ivanti Endpoint Manager Mobile 11.8
  • MobileIron Core 11.7 e versioni precedenti

Qualsiasi organizzazione che utilizza queste versioni dovrebbe agire rapidamente per evitare compromessi.

Rilevamento di una potenziale compromissione di Ivanti EPMM

Se l'organizzazione utilizza una versione EPMM vulnerabile, ispeziona attentamente i sistemi per individuare eventuali segni di intrusione:

  • Esamina i log centralizzati per le chiamate API sospette che indicano uno sfruttamento.
  • Controlla ActiveDirectory per picchi insoliti negli eventi di sicurezza critici.
  • Analizza il traffico di rete EPMM alla ricerca di comunicazioni interne non autorizzate.
  • Esamina i sistemi alla ricerca di registri o artefatti eliminati che suggeriscano una copertura.
  • Convalida gli hash e gli user agent rispetto agli indicatori di compromissione pubblicati da NCSC-NO.

Prendi sul serio qualsiasi prova di compromissione e indaga a fondo.

Mitigazione delle vulnerabilità di Ivanti EPMM

Se si utilizzano versioni vulnerabili di Ivanti EPMM, eseguire immediatamente l'aggiornamento alle versioni con patch 11.10.0.3, 11.9.1.2 o 11.8.1.2. Per le distribuzioni MobileIron Core obsolete, è necessaria la migrazione a Ivanti EPMM.

Ivanti fornisce anche due script RPM per rafforzare ulteriormente le installazioni:

  • La prima disabilita gli endpoint API vulnerabili come soluzione temporanea.
  • Il secondo fornisce una correzione ufficiale e deve essere installato dopo l'aggiornamento.

Assicurati di seguire le indicazioni di Ivanti per ricaricare il sistema dopo aver applicato ogni script. L'applicazione completa delle patch, l'aggiornamento e l'esecuzione di entrambi gli script sono fondamentali per risolvere completamente le vulnerabilità.

Rendi la gestione delle vulnerabilità una priorità

Per stare al passo con le minacce emergenti come le falle dell'EPMM di Ivanti, le organizzazioni devono monitorare continuamente le risorse, mantenere la consapevolezza delle vulnerabilità in uso e applicare tempestivamente le patch al software.

Soluzioni come ResilientX Network Security Scanner sono in grado di rilevare istantaneamente i prodotti interessati da nuove vulnerabilità tra le risorse rivolte a Internet, consentendo una risposta rapida. I controlli di configurazione e l'applicazione di patch virtuali forniscono una protezione aggiuntiva.

I processi regolari di scansione, test di penetrazione, aggiornamento e applicazione di patch sono fondamentali per ridurre i rischi. Dare priorità alla gestione e alla risposta alle vulnerabilità è fondamentale per la sicurezza negli ambienti IT moderni.

Related Blog Posts
No items found.
Related Blog Posts
CVE-2024-5217: A Technical Deep Dive into ServiceNow’s Critical RCE Vulnerability
Read full article
Il bug RegressHion: un'analisi approfondita di CVE-2024-6387 in OpenSSH
La scoperta di CVE-2024-6387, noto come bug RegressHion...
Read full article
CVE-2023-4863: una guida completa
CVE-2023-4863 è una vulnerabilità significativa scoperta in...
Read full article