Erkennung der CVE-2023-35078 Ausnutzung: Kritische Authentifizierungsumgehung Zero-Day in Ivanti Endpoint Manager Mobile (EPMM)
Inhaltsverzeichnis:
Cybersecurity-Warnung! Nach einer Reihe von Sicherheitslücken in der Pulse Connect Secure SSL VPN-Appliance die 2021 mehrere Organisationen betroffen haben, wurde kürzlich eine neue kritische Zero-Day-Schwachstelle in Ivanti-Produkten aufgedeckt. Das neue Sicherheitsproblem, das Ivanti Endpoint Manager Mobile (EPMM) betrifft, ermöglicht einen nicht authentifizierten Fernzugriff auf bestimmte API-Pfade. Durch Ausnutzung der Schwachstelle könnten Angreifer persönlich identifizierbare Informationen (PII) und andere sensible Daten von exponierten Geräten erlangen sowie bösartige Änderungen an den betroffenen Systemen vornehmen. Eine Warnung von Ivanti bestätigt, dass diese kritische Zero-Day-Schwachstelle bereits im Feld gegen eine begrenzte Anzahl von Kunden ausgenutzt wurde, während Nachrichtenportale auf die norwegische Regierung als potenzielles Opfer des CVE-2023-35078 Angriffs hinweisen.
CVE-2023-35078-Erkennung
Um Cyber-Abwehrkräfte proaktiv bei der Erkennung verdächtiger Aktivitäten im Zusammenhang mit der Ausnutzung von CVE-2023-25078 zu unterstützen und die Bedrohungsjagd zu optimieren, aggregiert die SOC Prime Plattform für kollektive Cyber-Abwehr eine Reihe dedizierter Sigma-Regeln. Alle Erkennungen sind mit 28 SIEM-, EDR- und XDR-Technologien kompatibel und an das MITRE ATT&CK-Framework v12 angepasst, um den tiefen Einstieg in die kritische Bedrohung zu erleichtern.
Um die vollständige Liste der kuratierten Regeln zu erkunden, klicken Sie auf den Explorieren Sie Erkennungen Button unten. Sicherheitsexperten können auf umfangreiche Cyber-Bedrohungskontexte zugreifen, die von ATT&CK-Referenzen und CTI-Links begleitet werden, sowie relevantere Metadaten erhalten, die den aktuellen Sicherheitsanforderungen entsprechen und die Bedrohungsuntersuchung fördern.
CVE-2023-35078-Analyse
Am 24. Juli 2023 veröffentlichte Ivanti eine Warnung die die kritische Zero-Day-Schwachstelle im Detail beschreibt und Patches für die Schwachstelle bereitstellt. Laut dem Anbieter ermöglicht der kürzlich identifizierte Fehler in Ivanti EPMM (mit dem höchsten CVSS-Wert von 10,0) nicht autorisierten Bedrohungsakteuren, auf die eingeschränkte Funktionalität und Ressourcen der App ohne ordnungsgemäße Authentifizierung zuzugreifen.
Die Schwachstelle des nicht authentifizierten Fernzugriffs auf API betrifft alle derzeit unterstützten Versionen der Software (v11.10, 11.9, 11.8) sowie ältere, nicht mehr unterstützte Versionen. Angesichts der Tatsache, dass Cyber-Verteidigungsexperten die Schwachstelle als äußerst leicht ausnutzbar betrachten, werden alle Benutzer dringend aufgefordert, so schnell wie möglich Patches zu installieren, indem sie die Versionen 11.10.0.2, 11.9.1.1 und 11.8.1.1 installieren. the flaw extremely easy to exploit, all users are urged to patch ASAP by installing versions 11.10.0.2, 11.9.1.1., and 11.8.1.1.
Dennoch schätzen Forscher, dass die Mehrheit der Organisationen ungeschützt bleibt, wobei 2.900 dem Internet zugewandte EPMM-Portale laut Shodan exponiert sind. Die meisten dieser Server wurden in den USA, der EU, dem Vereinigten Königreich und Hongkong identifiziert. Insbesondere glauben Experten, dass die Regierungen von Großbritannien und den USA Opfer der CVE-2023-35078-Angriffe werden könnten. Am Sonntag gab CISA eine Sicherheitswarnung heraus die Benutzer aufforderte, die Sicherheitslücke umgehend zu schließen.
Optimieren Sie Ihre Cybersecurity-Verteidigung mit der SOC Prime Plattform, die umfassende Erkennungsinhalte gegen alle in laufenden Cyber-Angriffen verwendeten TTPs bietet. Bleiben Sie auf dem Laufenden mit den neuesten, einsatzbereiten Algorithmen zur Verhaltensanalyse, um sicherzustellen, dass Ihre Organisation gut vorbereitet ist, um sich gegen sich entwickelnde Bedrohungen zu verteidigen. Entdecken Sie einen Reichtum an Kontextinformationen zu Cyberangriffen und Bedrohungen, einschließlich Zero-Days, CTI und ATT&CK-Referenzen sowie Einblicke in Red-Team-Tools. Validieren Sie Ihren Erkennungs-Stack mühelos mit einem automatischen Nur-Lese-ATT&CK-Daten-Audit, identifizieren Sie blinde Flecken und beseitigen Sie diese proaktiv, um vollständige Bedrohungstransparenz basierend auf den spezifischen Protokollen Ihrer Organisation zu erreichen. Mit der SOC Prime Plattform statten Sie Ihr Team mit den richtigen Werkzeugen und Kenntnissen aus, um effektiv gegen aufkommende Bedrohungen zu verteidigen.
