Ivanti

Ivanti は、ノルウェーの十数の省庁の IT システムを侵害するゼロデイ攻撃として悪用された、Endpoint Manager Mobile ソフトウェア (旧称 MobileIron Core) の別の脆弱性を修正しました。

Ivanti は本日、 CVE-2023-35081として追跡されているパス トラバーサルの欠陥に対するセキュリティ パッチをリリースし、脆弱なアプライアンスを攻撃から守るためにできるだけ早くアップグレードすることが「重要」であると顧客に警告しました。

「CVE-2023-35081 により、認証された管理者は EPMM サーバーへの任意のファイル書き込みを実行できるようになります。この脆弱性は CVE-2023-35078 と組み合わせて使用され、管理者の認証と ACL の制限 (該当する場合) を回避できます。」と Ivanti 氏は述べています

「悪用に成功すると、悪意のあるファイルがアプライアンスに書き込まれる可能性があり、最終的には悪意のある攻撃者が Tomcat ユーザーとしてアプライアンス上で OS コマンドを実行できるようになります。

「現時点では、CVE-2023-35078 の影響を受けるお客様は、CVE-2023-35081 の影響を受けるのと同じ限られた数のお客様のみであると認識しています。」

CVE-2023-35078 は、ノルウェー政府機関を標的とした同じ攻撃でもゼロデイ攻撃として悪用され、名前、電話番号、その他のモバイル デバイスの詳細を含む個人識別情報 (PII) が盗まれました。

また、同じ欠陥により、攻撃者が EPMM 管理アカウントを作成することも可能になり、パッチが適用されていないアプライアンスにさらに変更を加えることが可能になります。

Shodan の報告によると、現在2,600 を超える MobileIron ユーザー ポータルがインターネット上でアクセス可能であり、そのうち約30は米国の地方政府および州政府機関にリンクされています。

これを考慮して、管理者とセキュリティ チームは、潜在的な攻撃から保護するために、Ivanti EPMM (MobileIron) インストールを直ちに最新バージョンにアップグレードする必要があります。

MobileIron ユーザー ポータルがオンラインで公開される
オンラインで公開される MobileIron ユーザー ポータル (Shodan)

ノルウェー国家安全保障局 (NSM) は火曜日、EPMM の脆弱性 CVE-2023-35078 が悪用され、同国の政府機関が使用するソフトウェア プラットフォームが侵害されたことを確認しました

しかし、ノルウェー安全保障サービス機構(DSS)は、サイバー攻撃はノルウェー首相官邸、国防省、法務省、外務省には影響していないと述べた

ノルウェーデータ保護局(DPA)もこの事件に関して警告を受けており、ハッカーが侵害された政府システムにアクセスしたり、そこから機密データを抽出したりした可能性があるとの懸念が高まっている。

NSMは「この脆弱性は独特で、ここノルウェーで初めて発見された」と述べた。

CISA はまた、米国連邦文民行政府機関 (FCEB) に対し、8 月 15 日までにCVE-2023-35078 に対してシステムにパッチを適用するよう命令しており、CVE-2023-35081 に対処するために同様の命令を間もなく発行する可能性があります。

「この種の脆弱性は悪意のあるサイバー攻撃者による頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらす」と CISA は警告した