Rileva lo sfruttamento di CVE-2023-35078: vulnerabilità critica di bypass di autenticazione Zero-Day in Ivanti Endpoint Manager Mobile (EPMM)
Indice:
Avviso di Cybersecurity! Dopo una serie di vulnerabilità di sicurezza nel dispositivo Pulse Connect Secure SSL VPN che ha colpito molte organizzazioni nel 2021, di recente è stata rivelata una nuova zero-day critica nei prodotti Ivanti. Il problema di sicurezza inedito che colpisce Ivanti Endpoint Manager Mobile (EPMM) consente l’accesso API remoto non autenticato a percorsi specifici. Sfruttando il difetto, gli avversari potrebbero ottenere informazioni di identificazione personale (PII) e altri dati sensibili archiviati sui dispositivi esposti, oltre a introdurre modifiche malevoli nei sistemi colpiti. L’avviso di Ivanti conferma che questa zero-day critica è già stata sfruttata in situazioni reali contro un numero limitato di clienti, mentre i portali di notizie puntano al governo norvegese come potenziale vittima dell’attacco CVE-2023-35078.
Rilevamento CVE-2023-35078
Per aiutare i difensori cyber a identificare proattivamente attività sospette associate allo sfruttamento della CVE-2023-25078 e semplificare le attività di caccia alle minacce, la Piattaforma SOC Prime per la difesa collettiva aggrega un set di regole Sigma dedicate. Tutti i rilevamenti sono compatibili con 28 tecnologie SIEM, EDR e XDR e allineati con il framework MITRE ATT&CK v12 per facilitare l’approfondimento della minaccia critica.
Per esplorare l’elenco completo delle regole curate, premi il pulsante Esplora Rilevamenti qui sotto. I professionisti della sicurezza possono accedere a un ampio contesto di minacce cyber accompagnato da riferimenti ATT&CK e link CTI, nonché ottenere metadati più rilevanti che corrispondono alle esigenze di sicurezza attuali e aumentano l’indagine sulle minacce.
Analisi CVE-2023-35078
Il 24 luglio 2023, Ivanti ha pubblicato un avviso che dettaglia la zero-day critica e fornisce patch per il difetto. Secondo il fornitore, il bug recentemente identificato in Ivanti EPMM (con il punteggio CVSS più alto di 10.0) consente ad attori di minacce non autorizzati di accedere alla funzionalità e alle risorse limitate dell’app senza la corretta autenticazione.
La vulnerabilità di accesso API remoto non autenticato colpisce tutte le versioni attualmente supportate del software (v11.10, 11.9, 11.8) insieme a versioni precedenti che non sono più supportate. Visto che gli esperti di difesa cibernetica considerano il difetto estremamente facile da sfruttare, tutti gli utenti sono esortati a installare le versioni 11.10.0.2, 11.9.1.1 e 11.8.1.1 al più presto.
Tuttavia, i ricercatori stimano che la maggior parte delle organizzazioni rimanga non aggiornata, con 2.900 portali EPMM esposti a internet, secondo Shodan. La maggior parte di questi server è stata identificata negli USA, UE, UK e Hong Kong. In particolare, gli esperti ritengono che i governi del Regno Unito e degli USA possano cadere vittime degli attacchi CVE-2023-35078. Domenica CISA ha emesso un avviso di sicurezza incitando gli utenti a colmare immediatamente il divario di sicurezza.
Ottimizza le tue difese di cybersecurity con la Piattaforma SOC Prime, che offre contenuti di rilevamento completi contro tutti i TTP utilizzati negli attacchi cyber in corso. Resta aggiornato con gli ultimi algoritmi di rilevamento comportamentale pronti all’uso, assicurando che la tua organizzazione sia ben preparata per contrastare le minacce in evoluzione. Esplora una ricchezza di informazioni contestuali su attacchi e minacce cyber, inclusi zero-days, CTI e riferimenti ATT&CK, oltre a intuizioni sugli strumenti del Red Team. Valida facilmente il tuo stack di rilevamento con un controllo automatico di dati ATT&CK in sola lettura, identificando i punti ciechi e affrontandoli proattivamente per ottenere una visibilità completa delle minacce basata sui log specifici della tua organizzazione. Con la Piattaforma SOC Prime, equipaggia il tuo team con i giusti strumenti e conoscenze per difendersi efficacemente contro le minacce emergenti.
