Ivanti, Norveç'teki bir düzine bakanlığın BT sistemlerini ihlal etmek için sıfır gün olarak sömürülen uç nokta yöneticisi mobil yazılımında (eski adıyla MobileIron Core) başka bir güvenlik açığını düzeltti.
Ivanti, bugün CVE-2023-35081 olarak izlenen yol geçiş kusuru için güvenlik yamaları yayınladı ve müşterileri, savunmasız cihazları saldırılara karşı güvence altına almak için mümkün olan en kısa sürede yükseltmenin "kritik" olduğu konusunda uyardı.
Ivanti, "CVE-2023-35081, kimlik doğrulamalı bir yöneticinin EPMM sunucusuna keyfi dosya yazmaları yapmasını sağlar. Bu güvenlik açığı, yönetici kimlik doğrulaması ve ACLS kısıtlamalarını (uygulanabilirse) atlayarak CVE-2023-35078 ile birlikte kullanılabilir." Dedi.
"Başarılı sömürü, cihaza kötü amaçlı dosyalar yazmak için kullanılabilir ve sonuçta kötü amaçlı bir aktörün cihazdaki işletim sistemi komutlarını Tomcat kullanıcısı olarak yürütmesine izin verir.
"Şu andan itibaren CVE-2023-35078'den etkilenen aynı sınırlı sayıda müşterinin CVE-2023-35081'den etkilendiği farkındayız."
CVE-2023-35078, isimler, telefon numaraları ve diğer mobil cihaz detayları da dahil olmak üzere kişisel olarak tanımlanabilir bilgileri (PII) çalmak için Norveç hükümet kuruluşlarını sıfır gün olarak hedefleyen aynı saldırılarda da kullanıldı.
Aynı kusur aynı zamanda tehdit aktörlerinin EPMM yönetim hesapları oluşturmalarını sağlar ve bu da açılmamış cihazlarda daha fazla değişiklik yapmalarını sağlar.
Shodan tarafından bildirildiği gibi, şu anda internette 2.600'den fazla MobileIRir kullanıcı portalına erişilebilir ve yaklaşık üç düzine ABD yerel ve eyalet devlet kurumlarıyla bağlantılıdır.
Bunun ışığında, yöneticiler ve güvenlik ekipleri, Ivanti EPMM (Mobileiron) kurulumlarını hemen potansiyel saldırılardan korumak için en son sürüme yükseltmelidir.
Norveç Ulusal Güvenlik İdaresi (NSM) Salı günü CVE-2023-35078 EPMM kırılganlığının, ülkenin devlet kurumları tarafından kullanılan bir yazılım platformunu ihlal etmek için istismar edildiğini doğruladı.
Ancak Norveç Güvenlik ve Hizmet Örgütü (DSS), siber saldırının Norveç'in Başbakanlığı, Savunma Bakanlığı, Adalet Bakanlığı ve Dışişleri Bakanlığı'nı etkilemediğini söyledi.
Norveç Veri Koruma Otoritesi (DPA), bilgisayar korsanlarının tehlikeye atılan hükümet sistemlerinden hassas verilere erişmeyi ve/veya sunmayı başarmış olabileceği endişelerini dile getirerek olay konusunda da uyarıldı.
NSM, "Bu güvenlik açığı benzersizdi ve Norveç'te ilk kez keşfedildi." Dedi.
CISA ayrıca ABD Federal Sivil Yürütme Şube Ajanslarına (FCEB) sistemlerini 15 Ağustos'a kadar CVE-2023-35078'e göre düzeltmelerini emretti ve muhtemelen yakında CVE-2023-35081'i ele almak için benzer bir sipariş verecek.
Cisa, "Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleridir ve federal işletme için önemli riskler oluşturmaktadır."
Ivanti Yamaları Mobileiron Saldırılarda Sömürü Sıralı Gün Böcek
Cisa, Govt ajanslarını saldırılarda sömürülen ivanti böceklerini yamaya uyardı
Norveç, Ivanti Zero Day'in Govt IT sistemlerini kesmek için kullanıldığını söylüyor
Google: Android Patch Gap, N-Days'i sıfır günler kadar tehlikeli hale getiriyor
XSS saldırılarında Zimbra Yamaları Sıfır Gün Güvenlik Açığı Sakat
Kaynak: Bleeping Computer