“La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) anunció el jueves la inclusión de una falla crítica, ya parcheada, que afecta a Ivanti Endpoint Manager Mobile (EPMM) y MobileIron Core en su catálogo de vulnerabilidades explotadas conocidas (KEV), indicando que actualmente está siendo activamente explotada en la naturaleza.

La vulnerabilidad identificada como CVE-2023-35082 (puntuación CVSS: 9,8) es una omisión de autenticación, siendo una extensión no solucionada de otra falla en la misma solución catalogada como CVE-2023-35078 (puntuación CVSS: 10,0).

Ivanti advirtió en agosto de 2023: ‘Si se explota, esta vulnerabilidad permite que un actor remoto no autorizado (con acceso a Internet) potencialmente acceda a la información de identificación personal de los usuarios y realice cambios limitados en el servidor’.

Todas las versiones de Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 y 11.8, así como MobileIron Core 11.7 y anteriores, se ven afectadas por esta vulnerabilidad.

La firma de ciberseguridad Rapid7, que descubrió e informó sobre la falla, señala que esta puede ser encadenada con CVE-2023-35081, permitiendo que un atacante escriba archivos web shell maliciosos en el dispositivo.

Actualmente, no se disponen de detalles sobre cómo se está utilizando la vulnerabilidad en ataques del mundo real. Se insta a las agencias federales a aplicar las correcciones proporcionadas por los proveedores antes del 8 de febrero de 2024.

Esta divulgación coincide con el descubrimiento de otras dos fallas de día cero en los dispositivos de red privada virtual (VPN) Ivanti Connect Secure (ICS) (CVE-2023-46805 y CVE-2024-21887), que también han sido objeto de explotación masiva para eliminar shells web y puertas traseras pasivas. Se espera que la empresa lance actualizaciones la próxima semana.

Ivanti advierte: ‘Hemos observado que el actor de amenazas se dirige a la configuración y al caché de ejecución del sistema, que contiene secretos importantes para el funcionamiento de la VPN’. Aunque inicialmente se vinculó la explotación a un presunto actor de amenazas chino llamado UTA0178, otros actores de amenazas se han sumado al aprovechamiento.

Una investigación más profunda realizada por Assetnote ha descubierto un punto final adicional (“/api/v1/totp/user-backup-code”) mediante el cual se podría abusar de la falla de omisión de autenticación (CVE-2023-46805) en versiones anteriores de ICS para obtener un shell inverso.

Los investigadores de seguridad Shubham Shah y Dylan Pindur describen esto como ‘otro ejemplo de un dispositivo VPN seguro que se expone a una explotación a gran escala como resultado de errores de seguridad relativamente simples’.