米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) は本日、国家ハッカーが Ivanti の Endpoint Manager Mobile (EPMM) (旧名 MobileIron Core) の 2 つの欠陥を悪用していると警告しました。
「モバイルデバイス管理(MDM)システムは、数千台のモバイルデバイスへの昇格されたアクセスを提供するため、脅威攻撃者にとって魅力的な標的であり、APT攻撃者は以前のMobileIronの脆弱性を悪用した」とCISAは火曜日に述べた。
「したがって、CISA と NCSC-NO は、政府および民間部門のネットワークで広範な悪用が行われる可能性を懸念しています。」
欠陥の 1 つ (CVE-2023-35078) は、 ノルウェー政府機関を標的としたゼロデイ攻撃として悪用された重大な認証バイパスの脆弱性であり、脅威アクターの攻撃を可能にする2 番目のディレクトリ トラバーサルの欠陥(CVE-2023-35081) と連鎖する可能性があります。 Web シェルを展開するための管理者権限が必要です。
CVE-2023-35078 の欠陥により、攻撃者は 2 つのセキュリティ バグを連鎖させるために必要な EPMM 管理アカウントを作成できます。
悪用に成功すると、攻撃者は特定の API パスにアクセスできるようになり、名前、電話番号、その他のモバイル デバイスの詳細を含むデータが侵害され、個人識別情報 (PII) の盗難につながる可能性があります。
ノルウェー政府機関のネットワークを標的とした攻撃の後、ノルウェーデータ保護局 (DPA) にも警告が出されましたが、これはおそらくハッカーが侵害された政府システムにアクセスしたり、機密データを盗んだりした可能性があるという懸念からでしょう。
Shodan の報告によると、現在インターネット上には2,300 以上のアクセス可能な MobileIron ユーザー ポータルが公開されており、その中には米国の地方政府および州政府機関にリンクされたポータルが10 以上含まれています。
本日の警告は、ノルウェー国家サイバーセキュリティセンター(NCSC-NO)と協力して発行された共同勧告として発せられ、 米国連邦政府機関に対し、積極的に悪用されているこれら2つの欠陥のうちの1つに8月15日までにパッチを適用するよう求める命令に続くものだ。
CISAはまた月曜日、 連邦政府機関に対し、8月21日までにCVE-2023-35081の悪用に対してシステムにパッチを適用するよう命じた。
「この種の脆弱性は悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらす」と米国サイバーセキュリティ局は1週間前に警告した。
これを考慮して、セキュリティ チームと管理者は、継続的な攻撃からシステムを保護するために、Ivanti EPMM (MobileIron) を最新バージョンに直ちにアップグレードすることをお勧めします。
また、MDM システムは数千の管理対象デバイスのネットワークへの昇格されたアクセスを許可できるため、追加の制限と監視が必要な高価値資産 (HVA) であると考える必要があります。
Comments