Beschrijving dreigingsbeeld
Op 26 juli 2023 heeft het NFIR TI Watchtower-team informatie verzameld over het dreigingsbeeld inzake de kwetsbaarheid met CVE-nummer CVE-2023-35078.Specifiek inzake de dreiging waarin actors actief misbruik maken van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM), dat in het verleden bekend stond als IronMobile Core MDM. Ivanti EPMM is een Mobile Device Management (MDM) oplossing. De oplossing maakt het mogelijk om mobiele apparaten binnen een bedrijf te beheren. Deze kwetsbaarheid stelt een aanvaller in staat om toegang te verkrijgen tot de getroffen systemen en achterliggende doelsystemen. Ivanti meldt dat de kwetsbaarheid met kenmerk CVE-2023-35078 actief wordt misbruikt.
Met het uitbuiten van deze kwetsbaarheid, kan een actor vanaf het internet toegang verkrijgen tot persoonlijk identificeerbare informatie van gebruikers en wijzigingen aan de server aanbrengen. De volgende versies van Ivanti EPMM / MobileIron Core zijn volgens Ivanti kwetsbaar voor misbruik:
| Product | Platform | CVSS-score |
| Ivanti EPMM / MobileIron Core | 10 – Kritiek |
Tabel 1: Overzicht van de getroffen producten
De volgende versies van Ivanti’s EPPM / MobileIron Core zijn door Ivanti gepubliceerd om de kwetsbaarheden te mitigeren:
- EPMM-versies 8.1.1, 11.9.1.1, en 11.10.0.2
De volgende CVSS-vector string is door Ivanti toegewezen is aan de kwetsbaarheid:
NFIR adviseert aan organisaties die Ivanti-producten gebruiken (specifiek Ivanti EPMM / MobileIron Core) om vast te stellen of de kwetsbare versies van Ivanti EPMM / MobileIron Core, zoals hierboven beschreven, aanwezig zijn op systemen binnen uw organisatie.
Indien er een kwetsbare versie geconstateerd wordt, adviseert NFIR om een (forensisch) kopie of snapshot van de machine te maken en aansluitend de software-versie te updaten. Indien er indicaties over misbruik door actoren aanwezig zijn, wordt geadviseerd om forensisch onderzoek en/of incident response uit te laten voeren.
NFIR heeft op verzoek software beschikbaar om vast te stellen wat de status is van de getroffen omgeving.
Advies
NFIR adviseert organisaties die Ivanti-producten gebruiken (specifiek Ivanti EPMM / MobileIron Core) om vast te stellen of de kwetsbare versies van Ivanti EPMM / MobileIron Core zoals hierboven beschreven aanwezig zijn op systemen binnen uw organisatie.
Indien er een kwetsbare versie geconstateerd wordt, adviseren wij om een (forensisch) kopie of snapshot van de machine te maken en aansluitend software-versie te updaten. Indien er indicaties over misbruik door actoren aanwezig zijn om forensisch onderzoek en/of incident response uit te laten voeren om te achterhalen of er sporen van misbruik van de kwetsbaarheid zijn.
Acuut hulp nodig? Bel dan onze 24/7 CERT-lijn via 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.
Actieplan
Het is belangrijk voor organisaties welke gebruik maken van Ivanti EPMM / MobileIron Core om ten minste de volgende stappen te nemen:
Indien uw organisatie gebruikmaakt van Ivanti EPMM / MobileIron Core om vast te stellen of uw systemen kwetsbaar zijn. Controleer hiervoor de Ivanti EPMM / MobileIron Core-versie van de aanwezige (virtuele) systemen binnen uw netwerkomgeving;
Indien uw systemen kwetsbaar zijn adviseert NFIR om de getroffen systemen te updaten naar versies welke niet langer kwetsbaar zijn;
Indien er indicaties zijn dat uw systemen misbruikt zijn adviseert NFIR om forensisch onderzoek uit te laten voeren om vast te stellen of uw omgeving gecompromitteerd is;
Controleer (indien beschikbaar) publiek beschikbare Indicators-of-Compromise (IoC’s) op uw systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern preventief onderzoek uitvoeren naar uw systemen.
Zijn systemen kwetsbaar en zijn er systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem van het netwerk af te koppelen, totdat deze geüpdatet kan worden.
Tactics, Techniques and Procedures (TTPs) – CVE-2023-35078
TTPs – CVE-
CVE-2023-35078
Tactics, Techniques and Procedures (TTPs) gerelateerd aan handelingen van CVE-2023-35078 zoals waargenomen bij NFIR Watchtower zijn als volgt:
Initial Access
- T1190 - Exploit Public-Facing Application
De v2 API is toegankelijk zonder enige authenticatie door de URI-pad te wijzigen. De beschikbare API- documentatie van Ivanti beschrijft dat ‘https://[coreserver]/api/v2/’ de basis-URL is voor alle API-calls.
Als er vervolgens een pad toegevoegd wordt aan een kwetsbaar API-endpoint, is het niet langer vereist om authenticatie toe te passen. Een voorbeeld hiervan is:
Authenticatie vereist
- https://[coreserver]/api/v2/
Geen authenticatie vereist
- https://[coreserver]/vulnerable/path/api/v2/
Op basis van beschikbare log-informatie kan in bepaalde gevallen worden gedetecteerd of er exploitatie (pogingen) geweest zijn, hiervoor dient onderzoek te worden gedaan naar de aanwezige logs.
Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen. Hier vindt u meer informatie over onze Incident Response dienst.
Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.
