{"id":285244,"date":"2023-08-25T00:03:00","date_gmt":"2023-08-24T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285244"},"modified":"2023-08-27T08:21:53","modified_gmt":"2023-08-27T06:21:53","slug":"palo-alto-nachlese-der-schwachstellen-im-ivanti-endpoint-manager-mobile-august-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/25\/palo-alto-nachlese-der-schwachstellen-im-ivanti-endpoint-manager-mobile-august-2023\/","title":{"rendered":"Palo Alto: Nachlese der Schwachstellen im Ivanti Endpoint Manager Mobile (August 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Anbieter Ivanti musste die letzten Wochen mehrfach vor kritischen Schwachstellen in seinem Endpoint Manager Mobile (EPMM) warnen und Sicherheitsupdates herausgeben. Ausgangspunkt f\u00fcr diese Flut an Sicherheitsmeldungen war, dass Norwegens Regierung \u00fcber Ivanti-Zero-Day gehackt<\/a> worden ist. Seit nun schon mehrere Wochen melden Unternehmen weltweit \u2013 sehr viele davon auch in Deutschland, \u00d6sterreich und der Schweiz \u2013 Cyberangriffe durch die Ausnutzung diverser Schwachstellen im Ivanti Endpoint Manager Mobile. Palo Alto Networks bzw. dessen Unit 42 hat nun eine Zusammenfassung des Status ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

\"\"Ich hatte hier im Blog zeitnah \u00fcber die auftretenden Sicherheitsmeldungen berichtet (siehe Artikel am Beitragsende). Nun hat mir Palo Alto noch eine Nachlese zu diesen Schwachstellen im Ivanti Endpoint Manager Mobile (August 2023) zukommen lassen. Ich stelle die Information mal hier im Blog f\u00fcr betroffene Administratoren ein, da diese einen guten Gesamt\u00fcberblick bieten.<\/p>\n

Palo Alto Status\u00fcbersicht<\/h2>\n

Am 24. Juli 2023 ver\u00f6ffentlichte Ivanti Endpoint Manager Mobile (EPMM), fr\u00fcher bekannt als MobileIron Core, Details zu einer Zero-Day-Schwachstelle beim nicht authentifizierten API-Zugriff. CVE-2023-35078 betrifft die Versionen 11.10, 11.9 und 11.8, aber auch bei \u00e4lteren Versionen besteht das Risiko einer m\u00f6glichen Ausnutzung.<\/p>\n

Seit der ersten Angriffswelle wurden drei weitere Schwachstellen in Ivanti-Produkten entdeckt. Die erste in MobileIron Core (CVE-2023-35082), eine zweite im Ivanti Avalanche-Produkt entdeckte Schwachstelle (CVE-2023-32560) und die dritte im Ivanti Sentry-Produkt (CVE-2023-38035).<\/p>\n

Mit Stand vom 23. August deuten die Beobachtungen von Unit 42 auf eine ziemlich konsistente Gesamtzahl der Ivanti MobileIron-Server im Internet im Vergleich zur gleichen Analyse vor drei Wochen hin. Au\u00dferdem wird darauf hingewiesen, dass Hunderte von IP-Adressen, die zuvor \u00e4ltere, anf\u00e4llige Versionen zeigten, jetzt mit aktualisierten Versionen versehen sind, die die bekannten Schwachstellen abschw\u00e4chen sollten. Allerdings stellen die Experten auch fest, dass viele Internet-IP-Adressen heute immer noch Ivanti MobileIron und verwandte Dienste bedienen und potenziell anf\u00e4llige, ganz zu schweigen von nicht unterst\u00fctzten Versionen melden.<\/p>\n

Diese Schwachstelle erm\u00f6glicht nicht authentifizierten Benutzern vollen API-Zugriff \u00fcber bestimmte API-Endpunkte. Laut der CISA-Beratung k\u00f6nnen b\u00f6swillige Akteure mit diesem Zugriff personenbezogene Daten (PII) extrahieren und administrative Aktionen wie das Erstellen neuer Konten und das Vornehmen von Konfigurations\u00e4nderungen durchf\u00fchren, ohne dass dazu Anmeldeinformationen erforderlich sind.<\/p>\n

\u00dcbersicht der Schwachstellen<\/h2>\n

Mit Stand vom 23. August wurden in den vergangenen drei Wochen drei weitere Schwachstellen in Ivanti-Produkten bekannt gegeben:<\/p>\n