Ivanti schließt Zero-Day-Lücke in MobileIron
Ein Update soll Angriffe auf das Mobile Device Management mit MobileIron verhindern.
(Bild: blackzheep/Shutterstock.com)
Der Ivanti Endpoint Manager Mobile (EPMM), früher als MobileIron bekannt, weist eine Sicherheitslücke auf, die Angreifer ohne Zugangskennung aus dem Internet ausnutzen können. Der Hersteller stellt zwar Updates bereit, beschränkt dabei aber den Zugang zu diesen Informationen.
Betroffen von der Sicherheitslücke (CVE-2023-35078) sind sowohl die unterstützten Versionen 11.10, 11.9 und 11.8 als auch ältere End-of-Life-Installationen. Für erstere stellt der Hersteller Updates auf 11.8.1.1, 11.9.1.1 und 11.10.0.2 bereit und empfiehlt dringend, diese einzuspielen. Für nicht mehr unterstützte Versionen gibt es offenbar ein RPM, das die Lücke provisorisch schließt.
Seltsame Informationspolitik
Dieses akute Sicherheitsproblem habe laut Ivanti nichts mit dem kürzlich geschlossenen Loch CVE-2023-25690 zu tun. Dem Advisory kann man entnehmen, dass es anscheinend bereits aktiv ausgenutzt wird. Auf Anfrage will Ivanti betroffenen Kunden ein Dokument zur Verfügung stellen, das bei der Analyse möglicherweise betroffener Systeme helfe. Das steht dann allerdings unter einem Non Disclosure Agreement (NDA). Auch der zugehörige Knowledge-Base-Eintrag zu Ivanti MobileIron MDM unauthenticated API access CVE-2023-35078 ist erst nach einem Login zugänglich. Der Grund für diese seltsame Informationspolitik ist uns nicht bekannt.
Medienberichten zufolge bestätigt die norwegische National Security Authority, dass die Zero-Day-Lücken für gezielte Angriffe auf Norwegen genutzt wurden; ganze zwölf norwegische Ministerien wurden demnach angegriffen und kompromittiert.
Mittlerweile gibt es auch eine öffentlich zugängliche Informationsseite von Ivanti zu CVE-2023-35078 - Remote Unauthenticated API Access Vulnerability
(ju)
