S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 31 juillet 2023
N° CERTFR-2023-AVI-0604
Affaire suivie par: CERT-FR
le 31 juillet 2023

Avis du CERT-FR

Objet: Vulnérabilité dans Ivanti Endpoint Manager Mobile

Gestion du document

Référence CERTFR-2023-AVI-0604
Titre Vulnérabilité dans Ivanti Endpoint Manager Mobile
Date de la première version 31 juillet 2023
Date de la dernière version 31 juillet 2023
Source(s) Bulletin de sécurité Ivanti CVE-2023-35081 du 28 juillet 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance
  • Atteinte à l'intégrité des données

Systèmes affectés

  • Ivanti Endpoint Manager Mobile (EPMM), anciennement MobileIron Core, versions 11.10, 11.9 et 11.8 sans le dernier correctif de sécurité

Les anciennes versions sont également affectées, mais n'étant plus supportées, ne recevront pas de correctif de sécurité.

Résumé

Une vulnérabilité a été découverte dans Ivanti Endpoint Manager Mobile et Endpoint Manager. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et une atteinte à l'intégrité des données.

Ivanti indique que la vulnérabilité CVE-2023-35081 est activement exploitée dans le cadre d'attaques ciblées, tout comme la vulnérabilité CVE-2023-35078.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 31 juillet 2023
    Version initiale