Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Vulnerability in Ivanti Endpoint Manager Mobile (EPMM) / MobileIron Core

For English, see below.

Beschrijving

Er is een kwetsbaarheid ontdekt in Ivanti Endpoint Manager Mobile (EPMM), voorheen MobileIron Core, welke een ongeautoriseerde aanvaller in staat stelt om via het internet toegang te krijgen tot gebruikersdata, waaronder persoonsgegevens. Daarnaast kan de aanvaller de kwetsbaarheid misbruiken om een beheeraccount aan te maken en hiermee configuratiewijzigingen door te voeren. De kwetsbaarheid, bekend als CVE-2023-35078, zit in een API end-point van EPMM.

Ivanti heeft aangegeven dat de kwetsbaarheid op beperkte schaal actief gebruikt wordt. De verwachting is echter dat er binnenkort aanvalscode beschikbaar wordt gemaakt en de kwetsbaarheid op grotere schaal misbruikt zal worden.

Kwetsbare versies

De volgende versies van Ivanti EPMM zijn kwetsbaar:

  • Ivanti EPMM 11.10
  • Ivanti EPMM 11.9
  • Ivanti EPMM 11.8
  • Oudere Ivanti EPMM versies die niet meer ondersteund worden

Oplossingen en tijdelijke mitigaties

Ivanti adviseert om zo snel mogelijk de meest recente versie van Ivanti EPMM te installeren:

  • Ivanti EPMM 11.10.0.2 (of hoger)
  • Ivanti EPMM 11.9.1.1 (of hoger)
  • Ivanti EPMM 11.8.1.1 (of hoger)

Gedetailleerde informatie over hoe u de patch installeert, vindt u in Ivanti’s Knowledge Base-artikel.

Naast het verhelpen van de kwetsbaarheid is het advies om kwetsbare servers te onderzoeken op sporen van misbruik. Op dit moment is er weinig bekend over de sporen die een geslaagde aanval achterlaten. Zodra hier meer over bekend wordt, adviseren wij u de betreffende systemen te controleren.

Pinewood Security Operations Center (SOC)

Het Pinewood SOC blijft de situatie monitoren en zal detectie instellen als er IOC’s beschikbaar worden.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

A vulnerability has been discovered in Ivanti Endpoint Manager Mobile (EPMM), formerly MobileIron Core, which would allow an unauthorized remote attacker to gain access to user data, including users’ personal identifiable information. In addition, the attacker could exploit the vulnerability to create an administration account and use it to make configuration changes. The vulnerability, known as CVE-2023-35078, appears to be in an API endpoint.

Ivanti has indicated that the vulnerability is being actively used on a limited scale. However, exploit code is expected to be made available soon and the vulnerability will be more widely exploited.

Vulnerable versions

The following versions of Ivanti EPMM are vulnerable:

  • EPMM 11.10
  • EPMM 11.9
  • EPMM 11.8
  • Older EPMM versions that are no longer supported

Solutions and workarounds

Ivanti recommends installing the latest version of Ivanti EPMM as soon as possible:

  • EPMM 11.10.0.2 (or higher)
  • EPMM 11.9.1.1 (or higher)
  • EPMM 11.8.1.1 (or higher)

Detailed information on how to install the patch can be found in Ivanti’s Knowledge Base article.

In addition to fixing the vulnerability, the advice is to examine vulnerable servers for signs of abuse. Currently, little is known about the traces left by a successful attack. As soon as more becomes known about this, we recommend that you check the affected systems.

Pinewood Security Operations Center (SOC)

The Pinewood SOC continues to monitor the situation and will setup detection when IOCs become available.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl