Vulnerabilità sfruttata in-the-wild su Ivanti MobileIron
07/25/2023
PROTO: N030723
CERT Yoroi informa che a partire nella giornata del 24 Luglio 2023 è emersa la notizia di una vulnerabilità zero-day sulla tecnologia Ivanti MobileIron con l'identificativo CVE-2023-35078.
MobileIron è stata fondata nel 2007 da Ajay Mishra e Suresh Batchu come piattaforma che implementa il concetto di Zero-Trust concepita per i dispositivi mobili, costruita su una base Unified Enpoint Management (UEM). L'approccio di MobileIron Zero-Trust è pensato per far sì che solo gli utenti, i dispositivi, le app e i servizi autorizzati potessero accedere alle risorse aziendali.
Nella giornata del 24 Luglio la società rilascia un bollettino di sicurezza, che rimane però privato fra vendor e customer (di fatto per accedervi si necessita di credenziali Ivanti) con la firma di un Non-Disclosure Agreement, riguardante la sua tecnologia MobileIron che tratta di una vulnerabilità critica di cui il vendor ha rilasciato la patch. Attraverso però fonti di Intelligence, si rileva che la vulnerabilità sia attivamente sfruttata attivamente da attaccanti ignoti e che sia di facile exploit, pertanto, si sottolinea che si tratta di vulnerabilità zero day critica di Autentication Bypass, la quale permetterebbe a un attaccante remoto privo di autenticazione di accedere alle informazioni dell’utenza e potenzialmente effettuare modifiche sul server
Le versioni che riscontrano questo bug risultano essere 11.10, 11.9 e 11.8 e anche quelle in end-of-life, nelle prime il vendor rilascia le patch 11.8.1.1, 11.9.1.1 e 11.10.0.2, mentre per quelle EOL viene rilasciato un RPM che sana provvisoriamente il problema.
Approfondendo, il team di threat intelligence di Yoroi, rileva una esposizione di circa 3000 istanze esposte online di MobileIron vulnerabili di cui 69 italiane. Inoltre, da fonti OSINT, si rileva che tale vulnerabilità è stata sfruttata in modalità 0-day contro il Parlamento norvegese.
A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite nel bollettino.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index
Riferimenti
- https://www.bleepingcomputer.com/news/security/ivanti-patches-mobileiron-zero-day-bug-exploited-in-attacks/
- https://www.shodan.io/search/facet?query=http.favicon.hash%3A362091310&facet=country
- https://cyberplace.social/@GossiTheDog/110769716667847266
- https://www.heise.de/news/Ivanti-schliesst-Zero-Day-Luecke-in-MobileIron-9225583.html
- https://www.securityweek.com/ivanti-zero-day-vulnerability-exploited-in-attack-on-norwegian-government/
