Attacchi verso MDM MobileIron

Proto: N011120.

Con la presente Yoroi intende informarla riguardo la recente scoperta operazioni di attacco ai danni di alcune gravi vulnerabilità su MobileIron Core, elemento centrale della soluzione MobileIron di endpoint and enterprise mobility management (EMM). Le criticità sono note con gli identificativi CVE-2020-15505, CVE-2020-15506 e CVE-2020-15507.

A causa di alcune lacune nell'architettura del nodo MobileIron Core, in particolare nel componente reverse proxy, risulta possibile per un attaccante di rete accedere al sistema  bypassando il controllo degli accessi, raggiungendo così i web service interni afflitti da serie lacune nella validazione degli input utente tali da poter eseguire codice arbitrario sulle componenti di backend dell’architettura MobileIron Core.

Figura. Possibile esposizione internet MobileIron Core (Fonte:ShodanHQ)

Le criticità sono state confermata dal Vendor attraverso un apposito bollettino di sicurezza, dove risultano afflitte le versioni:

• MobileIron Core & Enterprise Connector: v10.3.0.4, v10.4.0.4, v10.5.1.1, v10.5.2.1, v10.6.0.1 
• MobileIron Sentry: v9.7.3, v9.8.1 
• MobileIron Monitor and Reporting Database (RDB): v2.0.0.2

Le criticità non si applicano alle versioni MobileIron Cloud.

Considerata la esposizione internet delle soluzioni MDM, la loro potenziale diffusione in ambito Enterprise, la disponibilità di dettagli tecnici e POC delle vulnerabilità ed i recenti tentativi di attacco in the wild proprio ai danni di questi sistemi,  Yoroi consiglia caldamente di pianificare con urgenza l’applicazione delle patch di sicurezza rese disponibili dal Vendor.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index