Detectar a Exploração da CVE-2023-35078: Zero-Day Crítico de Bypass de Autenticação no Ivanti Endpoint Manager Mobile (EPMM)
Índice:
Atenção à cibersegurança! Após uma série de falhas de segurança no appliance Pulse Connect Secure SSL VPN ter afetado múltiplas organizações em 2021, uma nova vulnerabilidade crítica de dia zero foi recentemente revelada em produtos Ivanti. O novo problema de segurança que afeta o Ivanti Endpoint Manager Mobile (EPMM) permite acesso remoto não autenticado a APIs em caminhos específicos. Explorando a falha, adversários podem obter informações pessoalmente identificáveis (PII) e outros dados sensíveis armazenados em dispositivos expostos, além de introduzir mudanças maliciosas nos sistemas afetados. O aviso da Ivanti confirma que esta vulnerabilidade crítica de dia zero já foi explorada in loco contra um número limitado de clientes, enquanto os portais de notícias apontam para o governo norueguês como uma possível vítima do ataque CVE-20230-35078.
Detecção CVE-2023-35078
Para ajudar os defensores cibernéticos a identificar proativamente atividades suspeitas associadas à exploração do CVE-2023-25078 e agilizar as atividades de caça a ameaças, a Plataforma SOC Prime para defesa cibernética coletiva agrega um conjunto de regras Sigma dedicadas. Todas as detecções são compatíveis com 28 tecnologias SIEM, EDR e XDR, e estão alinhadas com o framework MITRE ATT&CK v12 para facilitar a análise detalhada da ameaça crítica.
Para explorar a lista completa de regras selecionadas, clique no botão Explorar Detecções abaixo. Profissionais de segurança podem acessar um amplo contexto de ameaças cibernéticas acompanhado de referências ATT&CK e links CTI, além de obterem mais metadados relevantes que atendem às necessidades atuais de segurança e aumentam a investigação de ameaças.
Análise CVE-2023-35078
Em 24 de julho de 2023, a Ivanti publicou um aviso detalhando a vulnerabilidade crítica de dia zero e fornecendo patches para a falha. De acordo com o fornecedor, o bug recentemente identificado no Ivanti EPMM (com a pontuação CVSS mais alta de 10.0) permite que agentes de ameaça não autorizados acessem a funcionalidade restrita e os recursos do aplicativo sem a devida autenticação.
A vulnerabilidade de acesso à API remoto não autenticado impacta todas as versões atualmente suportadas do software (v11.10, 11.9, 11.8) junto com versões mais antigas que não são mais suportadas. Dado que os especialistas em defesa cibernética consideram a falha extremamente fácil de explorar, todos os usuários são instados a corrigir o mais rápido possível instalando as versões 11.10.0.2, 11.9.1.1. e 11.8.1.1.
No entanto, os pesquisadores estimam que a maioria das organizações ainda não está protegida, com 2.900 portais EPMM voltados para a internet sendo expostos, de acordo com o Shodan. A maioria desses servidores foi identificada nos EUA, UE, Reino Unido e Hong Kong. Notavelmente, especialistas acreditam que os governos do Reino Unido e dos EUA podem ser vítimas dos ataques CVE-2023-35078. No domingo, a CISA emitiu um alerta de segurança instando os usuários a abordar a lacuna de segurança imediatamente.
Otimize suas defesas de cibersegurança com a Plataforma SOC Prime, que oferece conteúdo de detecção abrangente contra todas as TTPs usadas em ataques cibernéticos em andamento. Mantenha-se atualizado com os mais recentes algoritmos de detecção comportamental prontos para implantar, garantindo que sua organização esteja bem preparada para enfrentar ameaças em evolução. Explore uma riqueza de informações contextuais sobre ataques e ameaças cibernéticas, incluindo zero-days, CTI e referências ATT&CK, bem como insights sobre ferramentas de Red Team. Valide sua pilha de detecção sem esforço com uma auditoria automática de dados ATT&CK somente leitura, identificando pontos cegos e abordando-os proativamente para alcançar visibilidade completa da ameaça com base nos logs específicos da sua organização. Com a Plataforma SOC Prime, equipe sua equipe com as ferramentas e conhecimentos certos para defender-se eficazmente contra ameaças emergentes.
