Résumé

[Mise à jourdu 15 septembre 2023]Correction de la vulnérabilitéCVE-2023-35082

Le 21 août 2023, l'éditeur a publié une mise à jour du bulletincomplémentaire de sécurité [3] pour annoncer la disponibilité d'uncorrectif concernant la vulnérabilité CVE-2023-35082. Ce correctif estinclus dans la version 11.11.0.0 d'Ivanti EPMM [5].

[Mise à jourdu 11 août 2023]Avis Ivanti concernant la vulnérabilitéCVE-2023-35082

Le 07 août 2023, Ivanti a publié un nouvel avis de sécurité [3]indiquant que la vulnérabilité CVE-2023-35082 affecte toutes lesversions de Endpoint Manager Mobile, et non pas uniquement les versionsantérieures à 11.3 comme indiqué dans l'avis du 02 août 2023 [4].

Cette vulnérabilité permet à un attaquant d'obtenir un accès nonauthentifié à des chemins d'API spécifiques afin de récupérer desinformations personnellement identifiables (PII) d'utilisateurs.

Dans l’attente de la publication de la version 11.11, Ivanti fournit unscript RPM corrigeant cette vulnérabilité pour les versions 11.8.1.2,11.9.1.2 et 11.10.0.3. Si l’équipement est dans une version antérieure,il est conseillé de le mettre à jour vers l’une de ces trois versions,puis d’exécuter le script. Cette procédure est décrite dans l’avis.

L'éditeur annonce que :

• La vulnérabilité CVE-2023-35082 est exploitable uniquement sur HTTPmais pas HTTPS ;
• Une preuve de concept est disponible publiquement ;
• La vulnérabilité CVE-2023-35082 est activement exploitée.

[Mise à jour du 02 août 2023]Compléments d'informationstechniques sur l'exploitation des vulnérabilités affectant le produitIvanti EPMM

Le 01 août 2023, la CISA conjointement avec l'agence de sécurité dessystèmes d'information norvégienne (NCSC-NO) ont publié un avis [1]concernant les vulnérabilités CVE-2023-35078 et CVE-2023-35081. Selonelles, la vulnérabilité CVE-2023-35078 est exploitée depuis au moinsavril 2023.

L'avis documente certaines des actions prises par les attaquants :

• interrogations LDAP sur les serveurs Active Directory pourl'énumération des machines ;
• utilisation de requêtes HTTP de type GET/mifs/aad/api/v2/authorized/users pour la collecte de la liste desutilisateurs enregistrés sur les EPMM ;
• altération des configurations de ces équipements ;
• surveillance et modification des journaux d'activités, notammentavec l'application malveillante mi.war(1cd358d28b626b7a23b9fd4944e29077c265db46) ;
• utilisation d'un code malveillant, dont le condensat Sha1 estc0b42bbd06d6e25dfe8faebd735944714b421388 ;
• latéralisation sur les serveurs de messagerie.

La NCSC-NO conseille de rechercher toutes les occurrences du motif/mifs/aad/api/v2/ dans les journaux (collectés à distance) afin dedéterminer si une intrusion a eu lieu. De plus, toute augmentation desévènements EventCode=1644 dans l'AD (ainsi que des valeurs 4662,5136 et 1153) en provenance de l'EPMM à partir d'avril 2023 doitêtre considérée comme suspecte.

La NCSC-NO conseille également d'analyser les flux réseaux de l'EPMMvers d'autres serveurs internes et d'analyser le disque ainsi que lamémoire de l'équipement.

La CISA fournit des indicateurs de compromission ainsi que des modèlesde l'outil de scan Nuclei, servant à déterminer si un équipement estvulnérable.

Le CERT-FR rappelle que l'application seule des correctifs n'est passuffisante. En cas de suspicion de compromission, il est recommandé decontinuer les investigations afin de déterminer les actions prises parun éventuel attaquant [1][2]. La mise à jour du système doit doncégalement s'accompagner d'analyses réseaux et systèmes dans le but dedéterminer si une intrusion a eu lieu, les indicateurs de compromissionfournis n'étant pas exhaustifs.

En cas de doute, il est préférable de réinstaller l'équipement etprocéder au renouvellement de tous les secrets associés à l'application.

[Mise à jourdu 31 juillet 2023]

Le 28 juillet 2023, Ivanti a publié un nouvel avis concernant EndpointManager Mobile, anciennement MobileIron Core. Lavulnérabilité CVE-2023-35081 permet à un attaquant ayant les droitsadministrateur d'effectuer une écriture arbitraire de fichier sur leserveur, conduisant in fine à une exécution de code arbitraire àdistance.

Selon Ivanti, cette vulnérabilité est activement exploitée dans le cadred'attaques ciblées, en combinaison avec la vulnérabilité CVE-2023-35078qui permet de contourner l'authentification administrateur.

[Publication initiale]

Le 24 juillet 2023, Ivanti a corrigé une vulnérabilité affectant leproduit EndpointManager Mobile, anciennement MobileIron Core. Cettevulnérabilité permet à un attaquant d'obtenir un accès non authentifié àdes chemins d'API spécifiques afin de récupérer des informationspersonnellement identifiables (PII) d'utilisateurs. Un attaquant peutégalement, par le biais de cette vulnérabilité, modifier laconfiguration du produit EPMM et créer un compte administrateur.

Le CERT-FR a connaissance d'exploitation de cette vulnérabilité. Il estdonc fortement recommandé d'appliquer le correctif de sécurité dans lesplus brefs délais.