Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)

[English]Es nimmt kein Ende mit dem Thema Schwachstellen in Ivanti MobileIron Core (Ivanti Endpoint Manager Mobile, EPMM). Nachdem bereits zwei Schwachstellen im Juli 2023, die in Hacks ausgenutzt wurden, eingestanden wurden, jetzt die nächste Baustelle. Laut einem neuen Sicherheitshinweis von Ivanti gibt es in Ivanti MobileIron Core Version 11.2 und älter eine weitere Schwachstelle CVE-2023-35082, die dringend gepatcht werden sollte. Ergänzung: Zum 7. August 2023 wurden die Informationen ergänzt.

Die Schwachstelle CVE-2023-35082

Laut diesem Ivanti-Sicherheitshinweis vom 2. August 2023 gibt es eine Authentication Bypass-Schwachstelle in der MobileIron Core Version 11.2  und in älteren Versionen. Diese Remote Unauthenticated API Access-Schwachstelle CVE-2023-35082 besitzt einen CVSS-Score von 10.0, also den höchst möglichen Wert. Die Sicherheitslücke ermöglicht die Umgehung der Authentifizierung in MobileIron Core Version 11.2 und früheren Versionen, so dass Angreifer auf eingeschränkte Funktionen oder Ressourcen der Anwendung zuzugreifen können.

Ivanti schreibt, dass die Schwachstelle zufällig in MobileIron Core 11.3 beseitigt wurde, als dort an der Beseitigung eines Produktfehlers gearbeitet wurde. Die Schwachstelle war vorher ungekannt. Die Ivanti-Verantwortlichen sehen die Gefahr, dass ein Angreifer remote auf die persönlich identifizierbaren Informationen der Benutzer zugreifen und begrenzte Änderungen am Server vornehmen können.

Allerdings heißt es, dass MobileIron Core 11.2 seit dem 15. März 2022 nicht mehr unterstützt wird. Daher wird Ivanti weder einen Patch noch andere Abhilfemaßnahmen herausgeben, um diese Schwachstelle in 11.2 oder früheren Versionen zu beheben. Ein Upgrade auf die neueste Version von Ivanti Endpoint Manager Mobile (EPMM) sei der beste Weg, um Ihre Umgebung vor Bedrohungen zu schützen, heißt es.

Ivanti erwähnt Sicherheitsforscher von Rapid7, die bei der Aufdeckung der Schwachstelle wohl beteiligt waren. Die Kollegen von Bleeping Computer haben in ihrem Beitrag auf den Post von Rapid7 verlinkt, wo Details aufgeführt werden. Dort werden auch Indicators of Compromise (ICOs) aufgeführt, an denen man einen Angriff erkennen könne.

Generell beschäftigen ja Schwachstellen im Ivanti Endpoint Manager Mobile, EPMM, die für den Einsatz zuständigen Administratoren, da das Produkt seit mindestens April 2023 über bisher unbekannte Schwachstellen angegriffen wird. Aufgefallen ist es durch eine Hack einer Plattform, die von 12 norwegischen Ministerien genutzt wird. Nachfolgende Artikellinks führen auf die Beiträge hier im Blog, die sich mit den Schwachstellen auseinandersetzen. Und im Beitrag Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar habe ich Statistiken veröffentlicht, dass der größte Teil der Ivanti-Installationen, die per Internet erreichbar sind, in Deutschland und in den USA stehen.

Ergänzung: Matthias hat mich darauf hingewiesen, dass Ivanti zum 7. August 2023 neue Informationen in diesem KB-Artikel bereitgestellt hat (danke dafür). Dort heißt es, dass Ivanti seit der ursprünglichen Meldung von CVE-2023-35082 am 2. August 2023 seine Untersuchungen fortgesetzt und zusätzliche Wege zur Ausnutzung von CVE-2023-35082 gefunden habe, die von der Konfiguration der EPMM-Appliance abhängen. Dies betrifft alle Versionen von Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 und 11.8 sowie MobileIron Core 11.7 und darunter. Ivanti hat ein RPM-Skript entwickelt, um die zusätzlichen Angriffspunkte zu beheben, und empfiehlt allen Kunden, die Lösung so bald wie möglich zu implementieren.

Ähnliche Artikel:
Norwegens Regierung über Ivanti-Zero-Day gehackt
Ivanti bestätigt 2. Schwachstelle CVE-2023-35081 bei Hack der norwegischen Regierung
Diensttelefone des Digitalministeriums über Ivanti-Schwachstellen angreifbar
Schwachstelle CVE-2023-35082 in Ivanti MobileIron Core (bis Version 11.2)