Ivanti Endpoint Manager Mobile kwetsbaarheid

Deze liveblog bevat informatie over een kwetsbaarheid in Ivanti Endpoint Manager Mobile. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 8 augustus 2023.

Update 8 augustus 2023

11:00 | Op 7 augustus heeft Ivanti een nieuw artikel gepubliceerd met betrekking tot kwetsbaarheid CVE-2023-35082. Op 3 augustus schreven we ook al over deze kwetsbaarheid, welke impact heeft op versie 11.2 en ouder van MobileIron Core/Endpoint Manager Mobile (EPMM).

Het nieuwe artikel beschrijft dat niet alleen de oude en niet meer ondersteunde versie 11.2 kwetsbaar is, maar ook alle huidige ondersteunde versies. Dit is significant, omdat de CVSS-score van 10 en de impact van de kwetsbaarheid niet zijn veranderd. Daarnaast is een proof-of-concept exploit publiek beschikbaar. De nieuw toegevoegde kwetsbare versies zijn:

• 8.1.2
• 9.1.2
• 10.0.3
• 7 en ouder (MobileIron Core)

Ivanti heeft een RPM-script gepubliceerd om kwetsbaarheid CVE-2023-35082 te verhelpen. Dit script verhelpt niet de kwetsbaarheden CVE-2023–35078 en CVE-2023–35081.

Meer informatie over de kwetsbaarheid en het RPM-script kunnen hier worden gevonden:

• https://twitter.com/wdormann/status/1687105991287123968
• https://forums.ivanti.com/s/article/KB-Remote-Unauthenticated-API-Access-Vulnerability-CVE-2023-35082?language=en_US

Call to action

• Upgrade naar versie 11.8.1.2, 11.9.1.2 of 11.10.0.3 om kwetsbaarheid CVE-2023–35078 en CVE-2023–35081 te verhelpen;
• Pas het RPM-script toe om kwetsbaarheid CVE-2023-35082 te verhelpen;
• Zoek in de logs in /var/log/httpd voor verdachte paden, bijvoorbeeld met het volgende commando:
  • zgrep -E “\/.+\/.+\/api\/v2\/” /var/log/httpd/*
• Voer aanvullende compromise scans uit. Dit kan worden gedaan met de Nextron THOR scanner zoals beschreven in onze update van 4 augustus.

Mocht u iets verdachts vinden, een uitgevoerde scan willen laten uitvoeren op uw systeem, of onze assistentie willen, neem dan contact op met T-CERT via [email protected]. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Update 4 augustus 2023

16:00 | Op 3 augustus is een exploit gepubliceerd voor CVE-2023-35082. De exploit is vergelijkbaar met de exploit voor CVE-2023–35078 met als verschil het gebruikte pad. De detectie stappen die genoemd zijn in onze eerdere blog van 26 juli voor CVE-2023–35078 zijn ook van toepassing op deze kwetsbaarheid.

Meer informatie over de exploit kan hier worden gevonden:

• https://twitter.com/wdormann/status/1687105991287123968

Onze partner Nextron heeft een blog gepubliceerd waarin stapsgewijs wordt uitgelegd hoe de THOR APT scanner kan worden gebruikt om mogelijke uitbuiting van CVE-2023-35078, CVE-2023-35081 en/of CVE-2023-35082 te detecteren op uw Ivanti EPMM / Mobile Iron Core appliance. Deze blog gebruikt de THOR Lite scanner en legt uit hoe een scan uitgevoerd kan worden.

T-CERT kan een diepgaandere scan aanbieden door middel van de volledige versie van de THOR APT scanner. Daarnaast worden de scan resultaten geïnterpreteerd en wordt er op basis van de uitkomst een advies geven.

De blog gepubliceerd door Nextron kan hier worden gevonden:

• https://www.nextron-systems.com/2023/07/25/how-to-scan-ivanti-endpoint-manager-mobile-epmm-mobileiron-core-for-cve-2023-35078-exploitation/

Mocht u onze assistentie willen, neem dan contact op met T-CERT via [email protected]. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Update 3 augustus 2023

15:00 | Op twee augustus heeft Ivanti een nieuwe securityblog gepubliceerd met betrekking tot een kritische kwetsbaarheid. Deze kwetsbaarheid is geregistreerd als CVE-2023-35082 en is geclassificeerd als een authentication-bypass kwetsbaarheid in het product MobileIron Core/Endpoint Manager Mobile(EPMM). Wanneer de kwetsbaarheid wordt uitgebuit is het mogelijk voor een ongeautoriseerde aanvaller op afstand persoonsgegevens te bemachtigen en aanpassingen te doen aan de server. De kwetsbaarheid heeft een CVSS-score van 10 wat impliceert dat het gaat om een kwetsbaarheid met een lage complexiteit en een hoog risico op uitbuiting met een grote impact.

De kwetsbaarheid bestaat in de versie 11.2 en ouder en is verholpen in versie 11.3. Op versie 11.2 wordt geen support meer geleverd sinds 15 maart 2022. Het advies is om alleen gebruik te maken van ondersteunde versies van producten. Wanneer een ondersteunde versie gebruikt wordt en de benodigde beveiligingsupdates zijn geïnstalleerd voor de twee eerdere kwetsbaarheden (CVE-2023-35078 en CVE-2023-35081), is er geen actie vereist.

Meer informatie met betrekking tot CVE-2023-35082 kan hier worden gevonden:

• https://forums.ivanti.com/s/article/CVE-2023-35082-Remote-Unauthenticated-API-Access-Vulnerability-in-MobileIron-Core-11-2-and-older

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Update 31 juli 2023

12:00 | Een proof-of-concept exploit voor CVE-2023-35078 is gepubliceerd op GitHub. Dit was reeds de verwachting op basis van de beschikbare informatie en de lage complexiteit van de kwetsbaarheid. De kwetsbaarheid werd al uitgebuit door een specifieke groep hackers, maar is nu dus ook publiek bekend. Uitbuiting van de kwetsbaarheid op basis van de proof-of-concept exploit kan worden gedetecteerd in de logging op basis van de instructies die we eerder hebben gedeeld.

Wanneer een Ivanti Endpoint Manager Mobile (EPMM) server op dit moment nog niet is voorzien van de beveiligingsupdate voor CVE-2023-35078 moet deze als gecompromitteerd worden beschouwd en is het advies deze te onderzoeken op uitbuiting van de kwetsbaarheid. Voor assistentie kunt u contact opnemen met T-CERT op [email protected].

De proof-of-concept exploit kan hier worden gevonden:

• https://github.com/vchan-in/CVE-2023-35078-Exploit-POC/tree/main

Daarnaast is een nieuwe kwetsbaarheid gepubliceerd voor EPMM welke is geregistreerd als CVE-2023-35081. De kwetsbaarheid geeft een geauthentiseerde administrator de mogelijkheid om willekeurige bestanden te schrijven op de EPMM server. Deze kwetsbaarheid kan worden gebruikt in combinatie met CVE-2023-35078, wat de administrator authenticatie en eventuele ACL’s omzeild. De volgende versies van Ivanti EPMM zijn kwetsbaar:

• Versie 11.4 releases 11.10.0.2, 11.9.1.1 en 11.8.1.1 of ouder;
• Oudere versies/releases

Beveiligingsupdates zijn beschikbaar. Het advies is om de software bij te werken naar één van de volgende versies:

• EPMM 11.8.1.2
• EPMM 11.9.1.2
• EPMM 11.10.0.3

Het advies van Ivanti met betrekking tot CVE-2023-35081 kan hier worden gevonden:

https://forums.ivanti.com/s/article/KB-Arbitrary-File-Write-CVE-2023-35081?language=en_US

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Update 26 juli 2023

12:30 | Het Noorse cybersecurity bedrijf Mnemonic heeft een blog gepubliceerd met meer details met betrekking tot kwetsbaarheid CVE-2023-35078 en de ontdekking ervan. De beschreven details in combinatie met de lage complexiteit van de kwetsbaarheid en eerder gepubliceerde informatie, maakt uitbuiting van de kwetsbaarheid eenvoudig. De verwachting is dat andere actoren ook toegang hebben tot deze informatie en de kwetsbaarheid ook zullen uitbuiten. Het wordt sterk aanbevolen om de beschikbare beveiligingsupdates zo snel mogelijk toe te passen!

Daarnaast is het advies om de HTTP-logs te controleren op de aanwezigheid van verdachte webrequests. Zoals beschreven in de blog van Mnemonic is de basis URL voor alle API calls https://[core server]/api/v2/. Wanneer dit pad aan een kwetsbare endpoint wordt toegevoegd, is er geen authenticatie nodig voor het uitvoeren van commando’s. Bijvoorbeeld: https://[core server]/<vulnerable>/<path>/api/v2/. Na het toepassen van de beveiligingsupdates, is het advies de HTTP log bestanden in /var/log/httpd te controleren op verdachte webrequests op basis van het volgende patroon:

• /<vulnerable>/<path>/api/v2/

Onderstaand commando is een voorbeeld hiervoor:

• zgrep -E “\/.+\/.+\/api\/v2\/” /var/log/httpd/*

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Update 25 juli 2023

10:00 | Op 24 juli heeft Ivanti een security blog gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven. De kwetsbaarheid is geregistreerd als CVE-2023-35078 en stelt een unauthenticated externe aanvaller in staat toegang te krijgen tot persoonlijk identificeerbare informatie van gebruikers en beperkte wijzigingen te maken op de server, waaronder het aanmaken van een EPMM-beheerdersaccount die verdere wijzigingen kan aanbrengen in een kwetsbaar systeem.

Uitbuiting van CVE-2023-35078 is reeds in het wild waargenomen tegen een zeer klein aantal klanten. Ivanti heeft software-updates uitgebracht. Het wordt ten zeerste aanbevolen om deze beveiligingspatches zo snel mogelijk toe te passen.