Cabecera blog ciberseguridad

CVE-2023-35082: Vulnerabilidad de acceso no autenticado a la API en MobileIron Core

- Unidad S.T.A².R.S

CVE-2023-35082 es una vulnerabilidad crítica que afecta a un gestor de dispositivos móviles

CVE-2023-35082 es una vulnerabilidad crítica que permite acceder a las API en versiones antiguas de MobileIron Core

Ivanti no levanta cabeza, tras la última vulnerabilidad crítica, un nuevo hallazgo ha sido reportado. Se trata de la vulnerabilidad CVE-2023-35082, que afecta a versiones más antiguas y no soportadas de MobileIron Core.

MobileIron Core es un producto descontinuado que permite a las organizaciones gestionar dispositivos móviles, como teléfonos y tablets.

La vulnerabilidad CVE-2023-35082 permite a atacantes no autenticados acceder a las API en versiones antiguas de MobileIron Core (11.2 y anteriores). Esto significa que un ciberdelincuente podría acceder a los endpoints de la API en el servidor de gestión expuesto sin necesidad de autenticación. Con este acceso, un atacante tendría la capacidad de acceder a datos personales o realizar modificaciones en la plataforma. Además, el atacante podría encadenar la vulnerabilidad CVE-2023-35081, aumentando el riesgo y la gravedad del ataque.

Características principales

Las características principales de la vulnerabilidad CVE-2023-35082 son:

  • Identificador CVE: CVE-2023-35082
  • Valor CVSS: 10.0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
  • Fecha de publicación: 02/08/2023
  • Software afectado: MobileIron Core
  • Versiones afectadas:
    • MobileIron Core – 11.2 y anteriores

Es importante tener en cuenta que esta vulnerabilidad se deriva de un problema de naturaleza permisiva de ciertas entradas en la cadena de filtros de seguridad de la aplicación web. Esto la convierte en evasión de otra vulnerabilidad, la CVE-2023-35078, en las versiones 11.2 y anteriores del producto.

Mitigación y recomendaciones

Ivanti, ha emitido un comunicado al respecto. Sin embargo, debido a que MobileIron Core 11.2 ya no recibe soporte desde el 15 de marzo de 2022, no se proporcionará un parche para esta vulnerabilidad ni para versiones anteriores. Por lo tanto, la mejor solución es migrar a la última versión de Ivanti Endpoint Manager Mobile (EPMM).

Indicadores de compromiso

Rapid7, la empresa detrás del hallazgo ha proporcionado indicadores de compromiso para detectar posibles intentos de explotación de esta vulnerabilidad. Los registros de Apache HTTP almacenados en el dispositivo pueden contener las siguientes entradas:

  • /var/log/httpd/https-access_log
    • Ejemplo: 192.168.86.34:61736 – – 2023-07-28–15-24-51 “GET /mifs/asfV3/api/v2/ping HTTP/1.1” 200 68 “-” “curl/8.0.1” 3285
  • /var/log/httpd/https-request_log
    • Ejemplo: 2023-07-28–15-24-51 192.168.86.34 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384 “GET /mifs/asfV3/api/v2/ping HTTP/1.1” 68 “-” “curl/8.0.1”

Es importante que los administradores de sistemas estén atentos a estas entradas en los registros para detectar actividades sospechosas y posibles intentos de explotación.

Como parte del servicio de vulnerabilidades emergentes, Tarlogic Security monitoriza proactivamente el perímetro de sus clientes para informar, detectar y notificar la presencia de esta vulnerabilidad, así como otras amenazas críticas que pudiesen tener un impacto severo en la seguridad.