Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan agen federal AS hari ini untuk mengamankan sistem mereka terhadap kerentanan bypass otentikasi tingkat keparahan maksimum di Endpoint Manager Mobile (EPMM) Ivanti, sebelumnya MobileIron Core.
Dilacak sebagai CVE-2023-35078, kelemahan ini telah dieksploitasi sebagai zero-day untuk meretas platform perangkat lunak digunakan oleh 12 kementerian Norwegiamenurut Otoritas Keamanan Nasional negara itu.
Eksploitasi yang berhasil memungkinkan penyerang yang tidak diautentikasi mengakses jalur API tertentu dari jarak jauh untuk mencuri informasi identitas pribadi (PII), termasuk nama, nomor telepon, dan detail perangkat seluler lainnya.
Mereka juga dapat melakukan perubahan konfigurasi pada perangkat yang disusupi, termasuk membuat akun administratif EPMM, yang memberi mereka izin yang diperlukan untuk melakukan perubahan lebih lanjut pada sistem yang rentan.
Ivanti pun membenarkan hal itu bug secara aktif dieksploitasi dalam serangan dan memperingatkan pelanggan bahwa sangat penting untuk “segera mengambil tindakan” untuk memastikan sistem mereka terlindungi sepenuhnya.
Sementara perusahaan belum secara terbuka merilis indikator kompromi (IOC), pakar keamanan dan peneliti mengatakan [1, 2, 3] mereka berisi info tentang titik akhir yang rentan yang diperlukan untuk mengeksploitasi kerentanan, yang akan memungkinkan pelaku ancaman dengan cepat membuat eksploit mereka sendiri dan meningkatkan serangan lebih lanjut.
Meskipun BleepingComputer belum dapat memverifikasi ini secara independen, pelanggan telah mengklaim bahwa Ivanti meminta mereka untuk menandatangani perjanjian kerahasiaan saat mencari detail lebih lanjut tentang kerentanan CVE-2023-35078.
Menurut Shodan, hampir 2.900 portal pengguna MobileIron saat ini dapat diakses di internet; diantara mereka, kurang lebih tiga lusin milik lembaga pemerintah lokal dan negara bagian AS.
Mengingat situasi ini, semua administrator jaringan harus segera memutakhirkan instalasi Ivanti EPMM (MobileIron) mereka ke versi terbaru untuk melindungi sistem mereka dari serangan potensial.
.png)
Agen federal diperintahkan untuk menambal pada 15 Agustus
Badan Cabang Eksekutif Sipil Federal AS (FCEB) memiliki tenggat waktu tiga minggu, hingga 15 Agustus, untuk mengamankan perangkat mereka dari serangan yang menargetkan cacat CVE-2023-35078, yang ditambahkan ke Daftar CISA tentang Kerentanan Tereksploitasi yang Diketahui pada hari Selasa.
Di bawah petunjuk operasional yang mengikat (BOD 22-01) dikeluarkan pada November 2021, agen federal sekarang terikat untuk memindai jaringan mereka untuk perangkat yang rentan dan mengatasi setiap kelemahan keamanan yang ditambahkan ke katalog KEV CISA.
Meskipun katalog tersebut terutama berkaitan dengan agen federal AS, sangat disarankan agar perusahaan swasta juga memprioritaskan dan menerapkan tambalan untuk semua kerentanan yang tercantum dalam daftar bug CISA yang dieksploitasi dalam serangan.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku dunia maya berbahaya dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA diperingatkan Hari ini.
Badan keamanan siber AS juga memberi waktu tiga minggu kepada agen federal untuk menambal server Adobe ColdFusion mereka terhadap dua kelemahan keamanan kritis yang dieksploitasi dalam serangan, salah satunya sebagai zero-day.
Pekan lalu, CISA juga memperingatkan aktor ancaman yang tidak diketahui melanggar jaringan organisasi infrastruktur kritis untuk mencuri data Active Directory setelah mengeksploitasi kerentanan RCE zero-day (CVE-2023-3519) di NetScaler ADC dan Gateway.
