Af Eskil Sørensen, 07/08/23
Softwarefirmaet Ivanti har afsløret en kritisk sårbarhed i en gammel version af MobileIron Core Endpoint mobil management-system.
Fejlen har fået id’et CVE-2023-35082 og betegnes som en uautoriseret ekstern API-adgangssårbarhed, der påvirker MobileIron Core version 11.2 og ældre. Ved udnyttelse kan angribere få mulighed for at få adgang til personligt identificerbare oplysninger fra brugerne af de mobile enheder og servere, der er kompromitterede via en bagdør. Det kan ske ved at implementere web-shells, når fejlen kædes sammen med andre fejl.
Det skriver Bleeping Computer i sidste uge i en artikel, der kommer i forlængelse af omtalen af de to andre meget omtalte fejl i Ivantis EPMM-systemet, som blev udnyttet til angreb mod norske myndigheder.
Ivanti beskriver selv fejlen som en ’authentication bypass vulnerability’ i MobileIron Core, som giver ’uautoriserede brugere adgang til begrænset funktionalitet eller ressourcer i applikationen uden korrekt godkendelse.’ Ivanti har givet sårbarheden en CVSS-score på 10.
Fejl i end-of-life-version
Fejlen er på sin vis uaktuel for brugere, der anvender version 11.3 og nyere, fordi den blev er blevet rettet i nyere versioner af produktet. I advisoriet fra Ivanti fremgår det, at MobileIron Core 11.2 ikke har modtaget rettelser siden den 15. marts 2022, hvor den nåede end-of-life. Derfor vil Ivanti ikke udstede en patch eller andre afhjælpninger for at løse denne sårbarhed i 11.2 eller tidligere versioner.
Sårbarheden påvirker således ikke nogen version af Ivanti Endpoint Manager eller MobileIron Core 11.3 og nyere.
Links:
https://cert.dk/da/news/2023-08-02/Hack-mod-norske-myndigheder-startede-maaneder-foer-opdagelsen
https://cert.dk/da/news/2023-07-31/Ivanti-advarer-om-en-ny-mobilsaarbarhed