Sicherheitslücken in Ivanti Endpoint Manager Mobile – Security vulnerabilities in Ivanti Endpoint Manager Mobile

Unit 42, das Forschungsteam von Palo Alto Networks, warnt in seinem jüngsten Threat Brief vor mehreren Sicherheitslücken in Ivanti Endpoint Manager Mobile (EPMM). Am 24. Juli 2023 veröffentlichte Ivanti EPMM, früher bekannt als MobileIron Core, Details zu einer Zero-Day-Schwachstelle mit nicht authentifiziertem API-Zugriff.  Besonders betroffen ist Deutschland mit 42,0 Prozent. Zusammen mit der Schweiz (4,5 Prozent) und Österreich (2,9 Prozent) ist damit der deutschsprachige Raum der Hauptangriffspunkt der Hacker.

CVE-2023-35078 betrifft die Versionen 11.10, 11.9 und 11.8 von Ivanti EPMM, aber auch ältere Versionen sind von einer möglichen Ausnutzung bedroht. Im aktuellen Bericht präsentiert Unit 42 die neuesten Erkenntnisse zu dieser Bedrohung.

Mit Stand vom 24. Juli hat die Cortex Xpanse-Datenanalyse für das Angriffsflächenmanagement ergeben, dass in insgesamt 85 Ländern über 5.500 IEMM-Server in verschiedenen Versionen im Internet öffentlich zugänglich sind. Die regionalen Statistiken dieses Scans zeigen, dass über 80 Prozent dieser Server in westlichen Ländern stehen und sich auf mehrere Bereiche und Branchen erstrecken. Hierzu zählen Regierungsbehörden, das Gesundheitswesen, Anwaltskanzleien, Universitäten, Finanzinstitute, Wohltätigkeitsorganisationen und der Einzelhandel.

In Deutschland und den USA waren es zu diesem Zeitpunkt jeweils über 1.000 Server. Die mit Abstand meisten Angriffe haben die Bedrohungsforscher in Deutschland festgestellt, gefolgt von den USA und Großbritannien. Angesichts der Anzahl der potenziell gefährdeten Server im Internet, auf denen diese Software läuft, ist es sehr wahrscheinlich, dass viele Institutionen oder Unternehmen in verschiedenen Ländern zum Angriffsziel werden könnten oder bereits geworden sind. Open-Source-Berichte deuten darauf hin, dass erste Angriffe höchstwahrscheinlich stattfanden, bevor Ivanti von der Sicherheitslücke wusste.

Diese Schwachstelle ermöglicht nicht authentifizierten Benutzern den vollständigen API-Zugriff über bestimmte API-Endpunkte. Laut CISA Advisory können Angreifer dabei ohne Zugangsdaten personenbezogene Daten extrahieren und administrative Aktionen durchführen, wie das Anlegen neuer Konten und das Vornehmen von Konfigurationsänderungen. Angesichts der globalen Reichweite dieses Vorfalls und der Tatsache, dass die Sicherheitslücke bereits in freier Wildbahn ausgenutzt wurde, sollten Unternehmen die Schwachstellen in ihrem Netzwerk untersuchen und so schnell wie möglich mit den von Ivanti bereitgestellten Produkt-Upgrades beheben.

Weitere Sicherheitslücke in Ivanti EPMM entdeckt

Seit der Entdeckung der kritischen Sicherheitslücke CVE-2023-35078 folgte die Meldung einer weiteren Sicherheitslücke mit einer hohen CVSS-Einstufung in Ivanti Endpoint Manager Mobile. Bei CVE-2023-35081 handelt es sich um eine Remote-File-Write-Schwachstelle, bei der ein authentifizierter Administrator Dateien auf den kompromittierten Server schreiben muss, die zusätzliche Nutzdaten enthalten können, um weiteren Zugriff zu ermöglichen.

Die jüngste Nachricht über eine weitere Schwachstelle in der Ivanti EPMM-Anwendung kam kurz nach der Veröffentlichung der ursprünglichen Schwachstelle. Ähnliches war bereits bei der MOVEit-Schwachstelle in den letzten Monaten zu beobachten. So wird die Aufmerksamkeit von Sicherheitsforschern, Angreifern und Softwareanbietern aus unterschiedlichen Motivationen auf zusätzliche Schwachstellen gelenkt, sobald eine bedeutende Schwachstelle in einer Software identifiziert wurde.

Empfehlungen von Unit 42

Unit 42 empfiehlt den Nutzern der betroffenen Software ein Upgrade auf die neuesten Versionen, die Korrekturen für diese Sicherheitslücken enthalten. Es ist besonders wichtig, dass Administratoren ihre Netzwerktopologie überprüfen, um sicherzustellen, dass alle öffentlich zugänglichen Ivanti EPMM-Dienste mit dem neuesten Patch aktualisiert sind. Ist eine Aktualisierung auf die korrigierten Versionen der Software nicht möglich, empfiehlt Unit 42 außerdem, Vorsichtsmaßnahmen zu ergreifen, um den Zugang zu den anfälligen Servern zu kontrollieren und den öffentlichen Zugang einzuschränken, bis sie gepatcht werden können.

CVE-2023-35078 affects Ivanti EPMM versions 11.10, 11.9 and 11.8, but older versions are also at risk of possible exploitation. In the latest report, Unit 42 presents the latest findings on this threat.

As of July 24, Cortex Xpanse attack surface management data analysis has revealed that a total of more than 5,500 IEMM servers in various versions are publicly accessible on the Internet in 85 countries. Regional statistics from this scan show that over 80 percent of these servers are located in Western countries and span multiple sectors and industries. These include government agencies, healthcare, law firms, universities, financial institutions, charities and retail.

Germany and the U.S. each had more than 1,000 servers at the time. Threat researchers found by far the most attacks in Germany, followed by the U.S. and the UK. Given the number of potentially vulnerable servers on the Internet running this software, it is very likely that many institutions or companies in different countries could become, or have already become, targets of the attack. Open source reports indicate that initial attacks most likely took place before Ivanti knew about the vulnerability.

This vulnerability allows unauthenticated users to gain full API access through certain API endpoints. According to the CISA Advisory, this allows attackers to extract personal data and perform administrative actions, such as creating new accounts and making configuration changes, without credentials. Given the global reach of this incident and the fact that the vulnerability has already been exploited in the wild, organizations should investigate the vulnerabilities in their network and address them as soon as possible with product upgrades provided by Ivanti.

Another vulnerability discovered in Ivanti EPMM

Since the discovery of the critical vulnerability CVE-2023-35078, it was followed by the notification of another vulnerability with a high CVSS rating in Ivanti Endpoint Manager Mobile. CVE-2023-35081 is a remote file write vulnerability that requires an authenticated administrator to write files to the compromised server, which may contain additional payload data to allow further access.

The recent news about another vulnerability in the Ivanti EPMM application came shortly after the original vulnerability was published. A similar situation was already observed with the MOVEit vulnerability in recent months. Thus, once a significant vulnerability is identified in a piece of software, the attention of security researchers, attackers, and software vendors is drawn to additional vulnerabilities for a variety of motivations.

Recommendations from Unit 42

Unit 42 recommends that users of affected software upgrade to the latest versions that contain fixes for these vulnerabilities. It is especially important that administrators review their network topology to ensure that all publicly available Ivanti EPMM services are updated with the latest patch. If updating to the corrected versions of the software is not possible, Unit 42 also recommends taking precautions to control access to vulnerable servers and restrict public access until they can be patched.