Objet: [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile

Risque(s)

• Contournement de la politique de sécurité
• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Exécution de code arbitraire à distance

Systèmes affectés

• Ivanti Endpoint Manager Mobile (EPMM), anciennement MobileIron Core, toutes versions sans le dernier correctif de sécurité

Ivanti précise que seules les versions supportées, à savoir 11.10, 11.9 et 11.8, recevront un correctif de sécurité.

Résumé

[Mise à jour du 15 septembre 2023] Correction de la vulnérabilité CVE-2023-35082

Le 21 août 2023, l'éditeur a publié une mise à jour du bulletin complémentaire de sécurité [3] pour annoncer la disponibilité d'un correctif concernant la vulnérabilité CVE-2023-35082. Ce correctif est inclus dans la version 11.11.0.0 d'Ivanti EPMM [5].

[Mise à jour du 11 août 2023] Avis Ivanti concernant la vulnérabilité CVE-2023-35082

Le 07 août 2023, Ivanti a publié un nouvel avis de sécurité [3] indiquant que la vulnérabilité CVE-2023-35082 affecte toutes les versions de Endpoint Manager Mobile, et non pas uniquement les versions antérieures à 11.3 comme indiqué dans l'avis du 02 août 2023 [4].

Cette vulnérabilité permet à un attaquant d'obtenir un accès non authentifié à des chemins d'API spécifiques afin de récupérer des informations personnellement identifiables (PII) d'utilisateurs.

Dans l’attente de la publication de la version 11.11, Ivanti fournit un script RPM corrigeant cette vulnérabilité pour les versions 11.8.1.2, 11.9.1.2 et 11.10.0.3. Si l’équipement est dans une version antérieure, il est conseillé de le mettre à jour vers l’une de ces trois versions, puis d’exécuter le script. Cette procédure est décrite dans l’avis.

L'éditeur annonce que :

• La vulnérabilité CVE-2023-35082 est exploitable uniquement sur HTTP mais pas HTTPS ;
• Une preuve de concept est disponible publiquement ;
• La vulnérabilité CVE-2023-35082 est activement exploitée.

[Mise à jour du 02 août 2023] Compléments d'informations techniques sur l'exploitation des vulnérabilités affectant le produit Ivanti EPMM

Le 01 août 2023, la CISA conjointement avec l'agence de sécurité des systèmes d'information norvégienne (NCSC-NO) ont publié un avis [1] concernant les vulnérabilités CVE-2023-35078 et CVE-2023-35081. Selon elles, la vulnérabilité CVE-2023-35078 est exploitée depuis au moins avril 2023.

L'avis documente certaines des actions prises par les attaquants :

• interrogations LDAP sur les serveurs Active Directory pour l'énumération des machines ;
• utilisation de requêtes HTTP de type GET /mifs/aad/api/v2/authorized/users pour la collecte de la liste des utilisateurs enregistrés sur les EPMM ;
• altération des configurations de ces équipements ;
• surveillance et modification des journaux d'activités, notamment avec l'application malveillante mi.war (1cd358d28b626b7a23b9fd4944e29077c265db46) ;
• utilisation d'un code malveillant, dont le condensat Sha1 est c0b42bbd06d6e25dfe8faebd735944714b421388 ;
• latéralisation sur les serveurs de messagerie.

La NCSC-NO conseille de rechercher toutes les occurrences du motif /mifs/aad/api/v2/ dans les journaux (collectés à distance) afin de déterminer si une intrusion a eu lieu. De plus, toute augmentation des évènements EventCode=1644 dans l'AD (ainsi que des valeurs 4662, 5136 et 1153) en provenance de l'EPMM à partir d'avril 2023 doit être considérée comme suspecte.

La NCSC-NO conseille également d'analyser les flux réseaux de l'EPMM vers d'autres serveurs internes et d'analyser le disque ainsi que la mémoire de l'équipement.

La CISA fournit des indicateurs de compromission ainsi que des modèles de l'outil de scan Nuclei, servant à déterminer si un équipement est vulnérable.

Le CERT-FR rappelle que l'application seule des correctifs n'est pas suffisante. En cas de suspicion de compromission, il est recommandé de continuer les investigations afin de déterminer les actions prises par un éventuel attaquant [1][2]. La mise à jour du système doit donc également s'accompagner d'analyses réseaux et systèmes dans le but de déterminer si une intrusion a eu lieu, les indicateurs de compromission fournis n'étant pas exhaustifs.

En cas de doute, il est préférable de réinstaller l'équipement et procéder au renouvellement de tous les secrets associés à l'application.

[Mise à jour du 31 juillet 2023]

Le 28 juillet 2023, Ivanti a publié un nouvel avis concernant Endpoint Manager Mobile, anciennement MobileIron Core. La vulnérabilité CVE-2023-35081 permet à un attaquant ayant les droits administrateur d'effectuer une écriture arbitraire de fichier sur le serveur, conduisant in fine à une exécution de code arbitraire à distance.

Selon Ivanti, cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées, en combinaison avec la vulnérabilité CVE-2023-35078 qui permet de contourner l'authentification administrateur.

[Publication initiale]

Le 24 juillet 2023, Ivanti a corrigé une vulnérabilité affectant le produit Endpoint Manager Mobile, anciennement MobileIron Core. Cette vulnérabilité permet à un attaquant d'obtenir un accès non authentifié à des chemins d'API spécifiques afin de récupérer des informations personnellement identifiables (PII) d'utilisateurs. Un attaquant peut également, par le biais de cette vulnérabilité, modifier la configuration du produit EPMM et créer un compte administrateur.

Le CERT-FR a connaissance d'exploitation de cette vulnérabilité. Il est donc fortement recommandé d'appliquer le correctif de sécurité dans les plus brefs délais.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Ivanti CVE-2023-35078 du 24 juillet 2023
  https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability
• Avis de sécurité CERTFR-2023-AVI-0584 du 25 juillet 2023
  https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0584/
• Bulletin de sécurité Ivanti CVE-2023-35081 du 28 juillet 2023
  https://forums.ivanti.com/s/article/CVE-2023-35081-Arbitrary-File-Write
• Avis de sécurité CERTFR-2023-AVI-0604 du 31 juillet 2023
  https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0604/
• [1] Publication de la CISA et de la NCSC-NO
  https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a
• [2] Les bons réflexes en cas d’intrusion sur un système d’information
  https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
• [3] Bulletin complémentaire de sécurité Ivanti CVE-2023-35082 du 07 août 2023
  https://forums.ivanti.com/s/article/KB-Remote-Unauthenticated-API-Access-Vulnerability-CVE-2023-35082?language=en_US
• [4] Avis de sécurité CERTFR-2023-AVI-0615 du 03 août 2023
  https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0615/
• [5] Mises à jour Ivanti EPMM
  https://help.ivanti.com/mi/help/en_us/core/11.x/rn/CoreConnectorReleaseNotes/Resolved_issues.htm
• Référence CVE CVE-2023-35078
  https://www.cve.org/CVERecord?id=CVE-2023-35078
• Référence CVE CVE-2023-35081
  https://www.cve.org/CVERecord?id=CVE-2023-35081
• Référence CVE CVE-2023-35082
  https://www.cve.org/CVERecord?id=CVE-2023-35082