Perusahaan perangkat lunak TI yang berbasis di AS, Ivanti, telah menambal kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi perangkat lunak manajemen perangkat seluler Endpoint Manager Mobile (EPMM) (sebelumnya MobileIron Core).
Ivanti merilis tambalan keamanan untuk kerentanan akses API jarak jauh yang tidak diautentikasi yang dilacak sebagai CVE-2023-35078 pada hari Minggu.
Tambalan dapat diinstal oleh memutakhirkan ke EPMM 11.8.1.1, 11.9.1.1, dan 11.10.0.2. Mereka juga menargetkan versi perangkat lunak yang tidak didukung dan habis masa pakainya lebih rendah dari 11.8.1.0 (misalnya, 11.7.0.0, 11.5.0.0)
Sementara Ivanti telah menerbitkan a penasehat keamanan untuk memberikan detail tentang kerentanan keamanan, informasi tersebut diblokir oleh login, mengingat artikel tersebut hanya dapat diakses dengan akun yang terhubung dengan informasi pelanggan Ivanti.
“Artikel tetap aktif di balik kredensial masuk untuk pelanggan kami,” kata juru bicara Ivanti kepada BleepingComputer ketika kami meminta detail lebih lanjut tentang kelemahan keamanan dan untuk konfirmasi bahwa itu telah disalahgunakan dalam serangan.
“Kerentanan ini memengaruhi semua versi yang didukung 11.10, 11.9, dan 11.8. Versi/rilis yang lebih lama juga berisiko,” kata Ivanti dalam penasehat keamanan yang dilihat oleh BleepingComputer.
“Aktor yang tidak sah, jarak jauh (internet-facing) dapat mengakses informasi pengenal pribadi pengguna dan dapat memungkinkan perubahan terbatas pada server.”
Sudah dimanfaatkan oleh penyerang di alam liar
Setelah berita tentang kerentanan beredar di kalangan komunitas cybersecurity, pakar keamanan Kevin Beaumont memperingatkan bahwa admin harus menerapkan tambalan sesegera mungkin karena kemudahan eksploitasi.
Sementara perusahaan belum secara terbuka mengakui bahwa zero-day dieksploitasi secara aktif, buletin pribadi mengatakan bahwa “sumber tepercaya” memberi tahu Ivanti bahwa CVE-2023-35078 dieksploitasi dalam serangan terhadap sejumlah pelanggan.
“Kami telah menerima informasi dari sumber yang kredibel yang menunjukkan eksploitasi terhadap sejumlah kecil pelanggan (mis., Kurang dari 10). Kami tidak memiliki informasi lebih lanjut tentang bagian tersebut saat ini,” tulis penasihat swasta itu.
Ivanti menambahkan bahwa bug tersebut tidak dieksploitasi sebagai bagian dari serangan rantai pasokan, mengatakan bahwa ia tidak menemukan “indikasi apa pun bahwa kerentanan ini dimasukkan ke dalam proses pengembangan kode kami secara jahat.”
Beberapa pelanggan juga melaporkan bahwa Ivanti bertanya kepada mereka untuk menandatangani perjanjian kerahasiaan ketika meminta informasi lebih lanjut mengenai kerentanan CVE-2023-35078. Namun, BleepingComptuer belum dapat mengonfirmasi hal ini secara independen.
“Ivanti menjadi sadar dan mengatasi kerentanan yang berdampak pada pelanggan Ivanti Endpoint Manager Mobile (sebelumnya MobileIron Core),” juru bicara Ivanti BleepingComputer, setelah penyelidikan kedua meminta konfirmasi eksploitasi dalam serangan dan apakah perusahaan akan merilis penasihat publik.
“Kami segera mengembangkan dan merilis tambalan dan secara aktif terlibat dengan pelanggan untuk membantu mereka menerapkan perbaikan.”
Menurut pencarian Shodan yang dibagikan oleh Konsultan Keamanan Cyber PwnDefend Daniel Card, lebih dari 2.900 portal pengguna MobileIron diekspos secara online, dengan tiga lusin terkait dengan lembaga pemerintah lokal dan negara bagian AS.
Sebagian besar server yang terbuka berlokasi di Amerika Serikat, diikuti oleh Jerman, Inggris Raya, dan Hong Kong.
Sangat disarankan agar semua admin jaringan menerapkan tambalan Ivanti Endpoint Manager Mobile (MobileIron) sesegera mungkin.
