La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha incluido en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) una crítica falla que afecta al Ivanti Endpoint Manager Mobile (EPMM) y al MobileIron Core. La vulnerabilidad, CVE-2023-35082, tiene una puntuación CVSS de 9,8 y se trata de una omisión de autenticación que permite a un actor no autorizado acceder potencialmente a la información de identificación personal del usuario y realizar cambios limitados en el servidor. La falla está siendo explotada activamente en la naturaleza y se puede encadenar con CVE-2023-35081 para permitir que un atacante escriba archivos maliciosos de shell web en el dispositivo. La firma de ciberseguridad Rapid7 descubrió y reportó la vulnerabilidad, y se recomienda a las agencias federales aplicar soluciones provistas por los proveedores antes del 8 de febrero de 2024.
Todas las versiones de Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 y 11.8, y MobileIron Core 11.7 y versiones anteriores se ven afectadas por la vulnerabilidad. Ivanti señaló en agosto de 2023 que la falla es un bypass para otra vulnerabilidad, CVE-2023-35078, que tiene una puntuación CVSS de 10,0.
Actualmente, no se tienen detalles sobre cómo se está utilizando la vulnerabilidad en ataques del mundo real. En otras noticias, Ivanti Connect Secure ha experimentado dos fallas de día cero que también han sido objeto de explotación en masa para soltar shell web y puertas traseras pasivas, y se espera que la compañía lance actualizaciones para resolver estos problemas la siguiente semana. Volexity ha encontrado evidencia de la compromisión de más de 1,700 dispositivos en todo el mundo, vinculando inicialmente la explotación a un presunto actor de amenazas chino llamado UTA0178. Sin embargo, otros actores de amenazas también han sido detectados en la ola de explotación.
Los investigadores de seguridad han descubierto otro punto final («/api/v1/totp/user-backup-code») mediante el cual se podría abusar de la omisión de autenticación en versiones antiguas de Ivanti Connect Secure y obtener un shell inverso. Los expertos han destacado que el error de seguridad es relativamente simple, dejando expuesto un dispositivo VPN seguro a la explotación a gran escala.