Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat einen nun behobenen kritischen Fehler in Ivanti Endpoint Manager Mobile (EPMM) und MobileIron Core in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Es wird gemeldet, dass dieser Fehler aktiv in freier Wildbahn ausgenutzt wird. Es handelt sich um eine Authentifizierungsumgehung (${match}), die einen anderen Fehler in derselben Lösung umgeht (${match}). Die Verwundbarkeit betrifft alle Versionen von Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 und 11.8 sowie MobileIron Core 11.7 und früher. Das Cybersicherheitsunternehmen Rapid7, das den Fehler entdeckt und gemeldet hat, sagt, dass er mit ${match} verkettet werden kann, um einem Angreifer zu ermöglichen, bösartige Webshell-Dateien auf dem Gerät zu schreiben. Es gibt bisher keine Informationen darüber, wie die Verwundbarkeit in realen Angriffen genutzt wird. Bundesbehörden werden aufgefordert, die vom Hersteller bereitgestellten Fixes bis zum 8. Februar 2024 anzuwenden. Zusätzlich zu diesem Fehler sind auch zwei andere Zero-Day-Schwachstellen in den Ivanti Connect Secure (ICS) Virtual Private Network (VPN)-Geräten aufgetaucht und werden in großem Umfang ausgenutzt. Das Unternehmen plant, nächste Woche Updates dafür zu veröffentlichen. Es wurde festgestellt, dass ein Angreifer über diese Schwachstellen Webshell-Dateien und passive Backdoors installieren kann. Das Unternehmen Ivanti empfiehlt den Benutzern, nach dem Wiederaufbau ihre Geheimnisse zu ändern, um sicherzustellen, dass keine Kompromittierung besteht. Ein Sicherheitsunternehmen namens Volexity berichtet von über 1.700 betroffenen Geräten weltweit. Während die anfängliche Ausnutzung mit einem chinesischen Angreifer namens UTA0178 in Verbindung gebracht wurde, haben sich weitere Angreifer dem Ausnutzungsversuch angeschlossen. Weitere Untersuchungen haben ergeben, dass ältere Versionen von ICS einen zusätzlichen Endpunkt („/api/v1/totp/user-backup-code“) haben, der ausgenutzt werden kann, um eine Authentifizierungsumgehung zu ermöglichen und eine umgedrehte Shell zu erhalten. Die Sicherheitsforscher Shubham Shah und Dylan Pindur beschrieben dies als „ein weiteres Beispiel für ein sicheres VPN-Gerät, das sich selbst aufgrund relativer einfacher Sicherheitsfehler einer groß angelegten Ausbeutung aussetzt“.