La CVE-2023-35078 affiche un score de gravité de 10 sur 10. Elle concerne l’offre Endpoint Manager Mobile d’Ivanti, anciennement connu sous les nom de MobileIron Core. Cette brèche a été exploitée dans une campagne ciblant les systèmes gouvernementaux de Norvège. Selon l’éditeur, la vulnérabilité ouvre la voie au contournement de l'authentification de l'utilisateur et l’accès aux ressources du MDM (mobile device management)

Des chemins d'accès à l'API, vulnérables

La CISA américaine est rapidement monté au créneau et a déclaré que le problème était lié à des chemins d'accès vulnérables à l'API. « Les attaquants qui accèdent à ces chemins via la faille d'authentification peuvent extraire des informations personnelles identifiables (Personally Identifiable Information, PII) et même créer des comptes d’administration Endpoint Manager Mobile (EPMM) pour exploiter davantage leur accès », déclare-t-elle. « Des informations d'une source crédible indiquent qu'une exploitation a eu lieu », a déclaré Ivanti dans un bref communiqué. Ajoutant : « Nous continuons à travailler avec nos clients et nos partenaires pour enquêter sur cette situation ».

La CISA n'a pas immédiatement répondu à une demande de commentaire sur l'exploitation de la vulnérabilité aux États-Unis, mais des rapports indiquent que près de 3 000 portails d'utilisateurs du type affecté par la vulnérabilité étaient visibles sur la plateforme d'analyse Shodan, dont plusieurs ont été identifiés comme appartenant à des agences gouvernementales américaines. « La faille est présente dans les versions 11.4, 11.10, 11.9 et 11.8 de l’EPMM », a déclaré Ivanti. Seuls les clients de l’éditeur peuvent obtenir plus de détails sur la vulnérabilité, car actuellement, un article de la base de connaissances sur le sujet nécessite une connexion client. Une demande de commentaire n'a pas suscité de réponse immédiate de la part de l'entreprise.

La vulnérabilité exploitée en Norvège

Quelle que soit sa nature exacte, la vulnérabilité a déjà été activement exploitée en Norvège, selon une déclaration de la Norwegian Security and Service Organization, publiée lundi. L'organisation a indiqué que, même si la vulnérabilité de l'accès à distance a été corrigée, certains services mobiles comme l'accès à distance au courrier électronique sont hors ligne, et que les autorités judiciaires enquêtaient sur l'incident.

Le Centre national de cybersécurité norvégien a également publié une déclaration sur la vulnérabilité, indiquant qu'il avait demandé à tous les utilisateurs potentiellement vulnérables d'appliquer les derniers correctifs le plus rapidement possible et qu'il s'efforçait d'informer directement les entreprises norvégiennes. Le gouvernement norvégien n'a pas encore identifié d'acteurs ou de groupes ayant utilisé la vulnérabilité pour accéder à ses systèmes, mais il a confirmé qu'une enquête était en cours.