CVE-2023-35078 tiene una puntuación de gravedad de 10 sobre 10. Se trata de la oferta Endpoint Manager Mobile de Ivanti, anteriormente conocida como MobileIron Core. Esta brecha fue explotada en una campaña dirigida a los sistemas gubernamentales de Noruega. Según el editor, la vulnerabilidad abre el camino para eludir la autenticación del usuario y el acceso a los recursos MDM (administración de dispositivos móviles).

Índice
  1. Rutas de acceso a API vulnerables
  2. La vulnerabilidad explotada en Noruega

Rutas de acceso a API vulnerables

La CISA de EE. UU. rápidamente tomó la iniciativa y declaró que el problema estaba relacionado con rutas de acceso API vulnerables. "Los atacantes que acceden a estas rutas a través del agujero de autenticación pueden extraer información de identificación personal (PII) e incluso crear cuentas administrativas de Endpoint Manager Mobile (EPMM) para explotar aún más su acceso", dice. "La información de una fuente creíble indica que se ha producido explotación", dijo Ivanti en un breve comunicado. Añadiendo: "Seguimos trabajando con nuestros clientes y socios para investigar esta situación".

CISA no respondió de inmediato a una solicitud de comentarios sobre la explotación de la vulnerabilidad en los Estados Unidos, pero los informes indican que cerca de 3.000 portales de usuarios del tipo afectado por la vulnerabilidad eran visibles en la plataforma. Análisis de Shodan, varios de los cuales han sido identificados como pertenecientes a agencias gubernamentales de Estados Unidos. "La falla está presente en las versiones 11.4, 11.10, 11.9 y 11.8 de EPMM", dijo Ivanti. Sólo los clientes del editor pueden obtener más detalles sobre la vulnerabilidad, ya que actualmente un artículo de la base de conocimientos sobre el tema requiere el inicio de sesión del cliente. Una solicitud de comentarios no obtuvo una respuesta inmediata de la empresa.

La vulnerabilidad explotada en Noruega

Cualquiera que sea su naturaleza exacta, la vulnerabilidad ya ha sido explotada activamente en Noruega, según un comunicado de la Organización Noruega de Seguridad y Servicios, publicado el lunes. La organización dijo que aunque la vulnerabilidad del acceso remoto se ha solucionado, algunos servicios móviles, como el acceso remoto al correo electrónico, están fuera de línea y que las autoridades policiales están investigando el incidente.

El Centro Nacional de Seguridad Cibernética de Noruega también emitió un comunicado sobre la vulnerabilidad, diciendo que había pedido a todos los usuarios potencialmente vulnerables que aplicaran los últimos parches lo más rápido posible y que estaba trabajando para informar directamente a las empresas noruegas. El gobierno noruego aún no ha identificado ningún actor o grupo que haya utilizado la vulnerabilidad para acceder a sus sistemas, pero confirmó que se está llevando a cabo una investigación.