Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Năm đã thêm một lỗ hổng nghiêm trọng hiện đã được vá ảnh hưởng đến Ivanti Endpoint Manager Mobile (EPMM) và MobileIron Core vào danh mục các lỗ hổng khai thác đã biết (KEV), cho biết nó đang được khai thác tích cực trong tự nhiên.
Lỗ hổng được đề cập là CVE-2023-35082 (điểm CVSS: 9.8), một bỏ qua xác thực là một bản vá bỏ qua cho một lỗ hổng khác trong cùng một giải pháp được theo dõi là CVE-2023-35078 (điểm CVSS: 10.0).
"Nếu bị khai thác, lỗ hổng này cho phép một tác nhân trái phép, từ xa (đối mặt với internet) có khả năng truy cập thông tin nhận dạng cá nhân của người dùng và thực hiện các thay đổi hạn chế đối với máy chủ", Ivanti lưu ý vào tháng 8/2023.
Tất cả các phiên bản của Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 và 11.8 và MobileIron Core 11.7 trở xuống đều bị ảnh hưởng bởi lỗ hổng bảo mật.
Công ty an ninh mạng Rapid7, công ty đã phát hiện và báo cáo lỗ hổng, cho biết nó có thể được xích bằng CVE-2023-35081 để cho phép kẻ tấn công ghi các tệp web shell độc hại vào thiết bị.
Hiện tại không có chi tiết về cách lỗ hổng đang được vũ khí hóa trong các cuộc tấn công trong thế giới thực. Các cơ quan liên bang được khuyến nghị áp dụng các bản sửa lỗi do nhà cung cấp cung cấp trước ngày 8 tháng 2 năm 2024.
Tiết lộ được đưa ra khi hai lỗ hổng zero-day khác trong các thiết bị mạng riêng ảo (VPN) Ivanti Connect Secure (ICS) (CVE-2023-46805 và CVE-2024-21887) cũng đã bị khai thác hàng loạt để thả web shell và backdoor thụ động, với công ty dự kiến sẽ phát hành bản cập nhật vào tuần tới.
"Chúng tôi đã quan sát thấy tác nhân đe dọa nhắm mục tiêu vào cấu hình và bộ nhớ cache đang chạy của hệ thống, trong đó có chứa các bí mật quan trọng đối với hoạt động của VPN", Ivanti cho biết trong một lời khuyên.
"Mặc dù chúng tôi chưa quan sát thấy điều này trong mọi trường hợp, nhưng hết sức thận trọng, Ivanti khuyên bạn nên xoay vòng những bí mật này sau khi xây dựng lại."
Volexity, đầu tuần này, tiết lộ rằng họ đã có thể tìm thấy bằng chứng về sự xâm phạm của hơn 1.700 thiết bị trên toàn thế giới. Trong khi khai thác ban đầu có liên quan đến một tác nhân đe dọa bị nghi ngờ của Trung Quốc tên là UTA0178, các tác nhân đe dọa bổ sung đã tham gia vào nhóm khai thác.
Kỹ thuật đảo ngược hơn nữa của lỗ hổng kép của Assetnote đã phát hiện ra một điểm cuối bổ sung ("/ api / v1 / totp / user-backup-code") theo đó lỗ hổng bỏ qua xác thực (CVE-2023-46805) có thể bị lạm dụng trên các phiên bản ICS cũ hơn và có được vỏ ngược.
Các nhà nghiên cứu bảo mật Shubham Shah và Dylan Pindur đã mô tả nó là "một ví dụ khác về một thiết bị VPN an toàn tiếp xúc với việc khai thác quy mô rộng do kết quả của các lỗi bảo mật tương đối đơn giản".