Các lỗ hổng trong Ivanti EPMM vừa được vá đã bị khai thác

Các nhà nghiên cứu an ninh mạng cho biết đã khai thác thành công một lỗ hổng mới được vá gần đây trong một số phiên bản của Ivanti Endpoint Manager Mobile (EPMM), khiến hãng này phải phát hành một bản vá mới.

EPMM là giải pháp quản lý thiết bị di động đầu cuối, hỗ trợ quản trị viên kiểm soát, tăng cường bảo mật các thiết bị di động từ một trung tâm điều khiển duy nhất.

Lỗ hổng có mã định danh là CVE-2023-35082 (điểm CVSS 10/10), cho phép kẻ tấn công chưa xác thực truy cập vào API trong các phiên bản cũ không còn được hỗ trợ của MobileIron Core (11.2 trở về trước). Lỗ hổng do các nhà nghiên cứu đến từ Rapid7 phát hiện.

Nếu bị khai thác lỗ hổng có thể cho phép nhân tố chưa xác thực từ xa (có kết nối Internet) có thể truy cập thông tin nhận dạng cá nhân của người dùng và thực hiện một số thay đổi có giới hạn trên máy chủ.

Theo chuyên gia Stephen Fewer đến từ Rapid 7: “Lỗ hổng này có cùng xuất phát điểm như CVE-2023-35078, đặc biệt là tính năng cấp phép cho một số đầu vào nhất định trong chuỗi lọc bảo mật của ứng dụng web mifs”.

Với tiết lộ mới nhất này, Ivanti đã vá tổng cộng 3 lỗ hổng liên tiếp ảnh hưởng đến sản phẩm EPMM của mình chỉ trong vòng có 2 tuần.

Hiện chưa có bằng chứng cho thấy CVE-2023-35082 đang bị khai thác trên thực tế. Người dùng được khuyến cáo nâng cấp lên phiên bản được hỗ trợ mới nhất để đảm bảo an toàn.

Phiên bản MobileIron Core 11.2 đã không còn được hỗ trợ từ 15/03/2022, do đó Ivanti sẽ không phát hành bản vá hay biện pháp giảm thiểu để xử lý lỗ hổng này cho các phiên bản 11.2 trở về trước.