Como responder às vulnerabilidades do Ivanti EPMM/MobileIron (CVE-2023-35078)
Existem três vulnerabilidades que afetam o Ivanti Endpoint Manager Mobile (EPMM), anteriormente conhecido como MobileIron Core: CVE-2023-35078 e CVE-2023-35082, que permitem o desvio autenticado para acesso não autorizado; e CVE-2023-35081, que permite a travessia de diretórios com escalonamento de privilégios e gravação arbitrária de arquivos. Essas vulnerabilidades do Ivanti EPMM foram observadas em ataques cibernéticos ativos em sistemas que usam as versões afetadas.
Os agentes de ameaças podem usar o encadeamento de vulnerabilidades para combinar ataques por meio de todas as três vulnerabilidades para obter acesso privilegiado aos sistemas EPMM. Os seguintes produtos Ivanti são afetados:
- Ivanti Endpoint Manager Mobile 11.10
- Ivanti Endpoint Manager Mobile 11.9
- Ivanti Endpoint Manager Mobile 11.8
- MobileIron Core versão 11.7 e inferior
Além disso, o Ivanti Sentry é afetado pelo CVE-2023-38035, uma vulnerabilidade de desvio de autenticação.
Este artigo esclarecerá como essas vulnerabilidades afetam o uso do Ivanti EPMM ou do MobileIron Core, bem como como identificar e mitigar riscos potenciais.
O que são CVE-2023-35078, CVE-2023-35081 e CVE-2023-35082?
O Ivanti EPMM é uma ferramenta de gerenciamento de dispositivos móveis (MDM) frequentemente usada para definir políticas de TI para serviços móveis. Com um software de gerenciamento de endpoint, você pode usar uma interface para gerenciar dispositivos e aplicativos. Como o MDM e outras ferramentas de gerenciamento de endpoint fornecem acesso a uma variedade de dispositivos, os privilégios devem ser limitados apenas aos membros necessários da equipe.
CVE-2023-35078 e CVE-2023-35082 são vulnerabilidades críticas de dia zero que permitem explorações de acesso. Ambas são vulnerabilidades de desvio de autenticação em que um agente de ameaça remota não autorizado pode acessar o sistema, navegar por vários caminhos de API, coletar informações de identificação pessoal (PII) para usuários e fazer alterações de configuração no servidor, como implantar webshells para comprometer servidores, enviar novos pacotes para endpoints móveis e criar novas contas administrativas.
CVE-2023-35081 é uma vulnerabilidade de passagem de caminho em que um administrador autenticado pode gravar novos arquivos no servidor EPMM. Se invasores mal-intencionados encadearem o CVE-2023-35081 com qualquer uma das vulnerabilidades de desvio de autenticação, eles terão escalonamento de privilégios para o servidor web sem a autenticação adequada e poderão executar atividades maliciosas com privilégios de administrador.
CVE-2023-38035 é uma vulnerabilidade de desvio de autenticação que afeta o Ivanti/MobileIron Sentry na interface do administrador, embora não afete o Ivanti EPMM. De acordo com o artigo da base de conhecimento, a Ivanti compartilhou que essa vulnerabilidade pode ser explorada depois que as vulnerabilidades do EPMM forem exploradas. A Ivanti forneceu um script RPM para aplicar ao produto.
Impacto atual dos CVEs do Ivanti EPMM/MobileIron
Todas essas três vulnerabilidades têm o potencial de causar grandes danos ao seu sistema. O CVE-2023-35078 tem uma pontuação crítica no CVSS: 10,0 de acordo com a Autoridade de Numeração CVE (CNA) e 9,8 de acordo com o Banco de Dados Nacional de Vulnerabilidades (NVD). CVE-2023-35082 ainda não foi pontuado, mas provavelmente terá uma pontuação semelhante a CVE-2023-35078. Embora o CVE-2023-35081 ainda esteja em análise, o CNA forneceu uma alta pontuação CVSS de 7.2.
Tanto o CVE-2023-35078 quanto o CVE-2023-35081 são vulnerabilidades exploradas conhecidas (KEVs) que foram adicionadas ao Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA, e a exploração ativa de um sistema vulnerável foi observada para cada um desses CVEs. A Autoridade de Segurança Nacional Norueguesa (NSM) confirmou que várias agências governamentais norueguesas foram alvo de ataques que exploram o desvio de autenticação (CVE-2023-35078).
Seu sistema será afetado por essas vulnerabilidades se você estiver usando uma destas versões afetadas:
- Ivanti Endpoint Manager Mobile 11.10
- Ivanti Endpoint Manager Mobile 11.9
- Ivanti Endpoint Manager Mobile 11.8
- MobileIron Core versão 11.7 e inferior
O monitoramento contínuo de sua superfície de ataque externa pode ajudá-lo a tomar medidas proativas contra possíveis vulnerabilidades conhecidas e desconhecidas, incluindo os CVEs que afetam o Ivanti EPMM e o MobileIron Core. A verificação não intrusiva do UpGuard detecta quando os produtos Ivanti afetados estão em uso entre seus ativos voltados para a Internet, e você será notificado com descobertas específicas para cada CVE.
Se você ou um fornecedor estiver usando o Ivanti EPMM ou o MobileIron Core, você deve determinar se ele foi atualizado para uma versão segura. Você pode enviar uma solicitação de correção no UpGuard, o que permitirá que o proprietário da tecnologia declare a versão atual do produto.
Como mitigar as vulnerabilidades do Ivanti EPMM/MobileIron
Se você estiver usando as versões 11.10, 11.9 e 11.8 do Ivanti Endpoint Manager Mobile, atualize imediatamente sua versão e aplique o script RPM fornecido pela Ivanti. Você pode usar o portal do gerenciador do sistema para atualizar com versões de patch (11.10.0.3, 11.9.1.2 e 11.8.1.2).
Se você estiver usando o MobileIron Core 11.7 e versões anteriores, interrompa imediatamente o uso e migre para o Endpoint Manager Mobile, pois a Ivanti provavelmente não lançará um patch de segurança para o MobileIron Core.
"O MobileIron Core 11.2 está sem suporte desde 15 de março de 2022. Portanto, a Ivanti não emitirá um script RPM ou qualquer outra correção para resolver essa vulnerabilidade na versão 11.2 ou anterior. Atualizar para a versão mais recente do Ivanti Endpoint Manager Mobile (EPMM) é a melhor maneira de proteger seu ambiente contra ameaças", afirmou a Ivanti no lançamento do patch.
Se seus sistemas foram afetados por agentes mal-intencionados, você deve trabalhar com sua equipe de segurança em um plano de resposta imediata a incidentes que inclua a quarentena de sistemas comprometidos e o cumprimento das práticas de segurança recomendadas. Se o seu sistema usa qualquer uma das versões afetadas, mas não foi explorado por agentes de ameaças, você também deve seguir as recomendações de mitigação.
Execute o script RPM da Ivanti com uma atualização de segurança para CVE-2023-35082
Em seu comunicado de segurança, a Ivanti afirma que esse script foi testado no EPMM 11.7 e pode ser instalado nas versões 11.3 e superiores. Certifique-se de que seu sistema seja movido para fora das versões afetadas imediatamente e migrado para uma versão suportada para que você possa executar o script.
Acesse seu servidor como um usuário administrativo para que você possa executar dois scripts RPM. RPM é um gerenciador de pacotes de código aberto. O primeiro script limpará os downloads RPM mais antigos:
Esse script foi lançado inicialmente para mitigar os impactos do CVE-2023-35078.
Em seguida, aplique o script da Ivanti com uma atualização de segurança para CVE-2023-35082:
Depois que a atualização de segurança for executada, siga os comandos do terminal para recarregar o sistema.
Execute o script RPM da Ivanti com uma atualização de segurança para CVE-2023-35078
Se você não conseguir migrar para o EPMM versão 11.8 ou superior, poderá executar o primeiro script RPM para mitigar os impactos do CVE-2023-35078. O comunicado de segurança da Ivanti indica que esse script não persistirá após uma atualização, portanto, é recomendável atualizar para uma versão compatível (11.8 ou superior) para que essa atualização persista.
Execute o script RPM voltado para CVE-2023-35078:
Depois que a atualização de segurança for executada, siga os comandos do terminal para recarregar o sistema. Para obter mais informações sobre os scripts, consulte o artigo da Base de Dados de Conhecimento da Ivanti.
Como identificar sistemas comprometidos
Se o seu sistema estava usando uma versão afetada, você deve avaliar a atividade de ameaça potencial e validar seus controles de segurança enquanto faz as atualizações necessárias.
>Você pode usar o processo fornecido no CISA Alert AA23-213A para avaliar seu sistema por meio de dois modelos de núcleos voltados para CVE-2023-35078 e CVE-2023-35081.
O Centro Nacional de Segurança Cibernética da Noruega (NCSC-NO), que divulgou o comunicado conjunto com a CISA, forneceu uma série de verificações que você pode executar para avaliar possíveis comprometimentos:
- Pesquise [.rt-script]/mifs/aad/api/v2/[.rt-script] e [.rt-script]mifs/asfV3/api/v2/[.rt-script] em seus logs centralizados ou syslogs encaminhados. A primeira string identifica um endpoint de API direcionado resultante de CVE-2023-35078 e a segunda string identifica um endpoint de direcionamento relacionado a CVE-2023-35082.
- Revise a atividade no ActiveDirectory para obter aumentos de [.rt-script]EventCode=1644[.rt-script], bem como [.rt-script]4662[.rt-script], [.rt-script]5136[.rt-script] e [.rt-script]1153[.rt-script].
- Revise qualquer tráfego de dispositivos EPMM para servidores internos e qualquer tráfego TLS para servidores EPMM com certificados TLS não relacionados à instância do EPMM.
- Examine a retenção de disco e memória, bem como o espaço em disco não alocado, caso as entradas de log tenham sido excluídas.
- Avalie a atividade dos roteadores ASUS para dispositivos EPMM e Sentry.
- Faça referência cruzada à documentação do NCSC-NO de hashes e agentes de usuário de atividades de ameaças conhecidas para indicadores de comprometimento em seu próprio sistema.