Cabecera blog ciberseguridad

CVE-2023-35078: Evasión remota de autenticación en Ivanti EPMM API

- Unidad S.T.A².R.S

CVE-2023-35078 es una vulnerabilidad crítica

CVE-2023-35078 es una vulnerabilidad crítica que permite acceder a funcionalidades restringidas del software de gestión móvil Ivanti

Una nueva vulnerabilidad crítica ha sido descubierta en Ivanti Endpoint Manager Mobile (EPMM), anteriormente conocido como MobileIron Core. Esta vulnerabilidad, identificada como CVE-2023-35078, afecta a todas las versiones soportadas, incluyendo las Versiones 11.10, 11.9 y 11.8. Las versiones anteriores también se encuentran en riesgo.

Ivanti Endpoint Manager Mobile (Ivanti EPMM) es un software de gestión móvil que permite a las empresas gestionar los dispositivos móviles, aplicaciones y contenidos.

CVE-2023-35078 es una vulnerabilidad de evasión de autenticación en Ivanti EPMM que permite que usuarios no autorizados accedan a funcionalidades o recursos restringidos de la aplicación sin la debida autenticación. Esta vulnerabilidad está clasificada como crítica y ha sido calificada con la puntuación máxima de 10 respecto a la escala CVSS.

Características principales

A continuación, se recogen las características principales de la vulnerabilidad CVE-2023-35078:

  • Identificador CVE: CVE-2023-35078
  • Valor CVSS: 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • Fecha de publicación: 25/07/2023
  • Software afectado: Ivanti Endpoint Manager Mobile (EPMM)
  • Versiones afectadas:
    • Ivanti Endpoint Manager Mobile (Core) – 11.0.0.0, 11.10.0.0, 11.4.1.0, 11.5.0.0, 11.6.0.0, 11.7, 11.7.0.0, 11.8.0.0, 11.9.0.0, 11.9.0.1
    • Access – r43, r45, R55
    • Cloud – R87, R90, R91
    • Ivanti Neurons for MDM (Cloud) – R91
    • Sentry – 9.13.0.0
    • Connect-Secure – 9.1Rx
    • Endpoint Manager – Endpoint Security 2022.1, Endpoint Manager 2019, Endpoint Manager 2020.1, Endpoint Manager 2021.1, Endpoint Manager 2022
    • Endpoint Security – Endpoint Security 8.6.0
    • Security Controls – Security Controls 2023.1

Si esta vulnerabilidad es explotada con éxito, un actor remoto no autorizado podría potencialmente acceder a la información de identificación personal de los usuarios y realizar cambios limitados en el servidor.

Es importante destacar que Ivanti tiene conocimiento de que ya se ha estado produciendo una explotación activa de esta vulnerabilidad. Por ello, tanto Ivanti como los organismos de ciberseguridad están trabajando en conjunto con clientes y socios para investigar y mitigar esta situación.

Medidas de mitigación

Ante esta amenaza, Ivanti ha actuado rápidamente y ha implementado un parche que ya está disponible para las versiones soportadas del producto. Si el sistema se encuentra en una versión compatible, se recomienda actualizar EPMM con las versiones de parches (11.8.1.1, 11.9.1.1 y 11.10.0.2) desde el portal del gestor del sistema.

Para aquellos que estén utilizando versiones anteriores a 11.8.1.0, Ivanti recomienda encarecidamente que se actualice a la última versión de EPMM para asegurarse de contar con las últimas correcciones de seguridad y estabilidad. Ante cualquier situación que impida actualizar, se proporciona una solución basada en RPM para aplicar un parche temporal. No obstante, es fundamental actualizar a una versión de EPMM compatible que permita aplicar el parche de forma permanente.

CVE-2023-35078 afecta a Ivanti

Detección de la vulnerabilidad

Para saber si el sistema ha sido afectado, Ivanti proporciona una «Guía de Análisis» confidencial a través del soporte para clientes. Hasta ahora, solo se ha visto afectado un número limitado de clientes, e Ivanti está trabajando activamente con ellos para investigar. Si se necesita ayuda, es posible abrir un ticket de soporte o solicitar una llamada a través del Success Portal. Además, Ivanti ha manifestado que no ha sido comprometida debido a esta vulnerabilidad, afirmando que la empresa utiliza tecnología y socios de seguridad para prevenir y responder a actores de amenazas sofisticadas.

Se ha hecho pública una prueba de concepto por parte de Vaishno Chaitanya, que está disponible en su repositorio personal de Github. La prueba de concepto incluye un vídeo del exploit en funcionamiento contra una instancia EPMM vulnerable.

CVE-2023-35081

La agencia estadounidense CISA agregó una segunda vulnerabilidad activamente explotada de Ivanti Endpoint Manager Mobile (EPMM) a su catálogo de vulnerabilidades conocidas explotadas.

Esta vulnerabilidad, identificada como CVE-2023-35081, se unió a la vulnerabilidad CVE-2023-35078. CISA y el Centro Nacional de Ciberseguridad de Noruega (NCSC-NO) emitieron una advertencia conjunta en respuesta a la explotación activa de ambas vulnerabilidades. Ivanti lanzó otro parche para CVE-2023-35081 el 28 de julio de 2023. Se observó la posibilidad de encadenar las vulnerabilidades CVE-2023-35081 y CVE-2023-35078.

La vulnerabilidad afecta a las versiones 11.10, 11.9 y 11.8, y versiones más antiguas también están en riesgo. Los atacantes pueden utilizar esta vulnerabilidad para eludir la autenticación y las restricciones ACL del administrador, lo que les permite ejecutar comandos del sistema en el dispositivo como usuario tomcat. La vulnerabilidad fue explotada en ataques recientes contra el sistema de TIC utilizado por doce ministerios del gobierno noruego.

Cabe destacar que los sistemas de gestión de dispositivos móviles (MDM) son objetivos atractivos para los atacantes, ya que comprometerlos les otorga acceso elevado a miles de dispositivos móviles. CISA y NCSC-NO advierten sobre el riesgo potencial de explotación generalizada de las vulnerabilidades de Ivanti en redes gubernamentales y del sector privado.

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.