Lỗ hổng trên phần mềm quản lý thiết bị di động đang bị khai thác

Tập đoàn công nghệ Ivanti đã tiết lộ một lỗ hổng bảo mật ảnh hưởng đến phần mềm quản lý thiết bị di động Endpoint Manager Mobile (EPMM), trước đây gọi là MobileIron Core. Lỗ hổng này đã bị các tác nhân độc hại lợi dụng để biến thành một phần của chuỗi khai thác.

Lỗ hổng mới có số hiệu là CVE-2023-35081 (điểm CVSS là 7,8), ảnh hưởng đến các phiên bản 11.10, 11.9 và 11.8 cũng như các phiên bản hiện đang hết hạn sử dụng.

Ivanti cho biết: "CVE-2023-35081 cho phép quản trị viên được xác thực thực hiện ghi tệp tùy ý vào máy chủ EPMM. Lỗ hổng này có thể kết hợp với lỗ hổng CVE-2023-35078, để bỏ qua xác thực quản trị viên và các giới hạn lọc gói tin của mạng (ACL) (nếu có)".

Nếu khai thác thành công thì tác nhân độc hại có thể ghi các tệp tùy ý và thực thi các lệnh của hệ điều hành trên thiết bị với tư cách là người dùng tomcat (một loại web server HTTP được phát triển bởi Apache Software Foundation).

Cho đến thời điểm hiện tại, Ivanti cũng chưa nắm hết được số lượng khách hàng bị ảnh hưởng bởi CVE-2023-35078 cũng như CVE-2023-35081.

Tuy nhiên, cần lưu ý rằng CVE-2023-35078 là một lỗ hổng truy cập API không được xác thực từ xa nguy cấp, cho phép những kẻ tấn công từ xa lấy được thông tin nhạy cảm, thêm tài khoản quản trị EPMM và thay đổi cấu hình.

Các lỗ hổng bảo mật đã bị các tác nhân khai thác nhắm mục tiêu vào những tổ chức chính phủ Na Uy khiến cơ quan an ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đưa ra phải cảnh báo kêu gọi người dùng và tổ chức áp dụng các bản sửa lỗi mới nhất.

Sự phát triển này cũng diễn ra khi nhóm Google Project Zero cho biết 41 lỗ hổng zero day đã được phát hiện và tiết lộ vào năm 2022, giảm từ 69 lỗ hổng vào năm 2021. Tuy nhiên, 17 lỗ hổng trong số đó là biến thể của các lỗ hổng công khai trước đây.

Maddie Stone, nhà nghiên cứu của Google TAG cho biết: “Trong 40% số lượng trình duyệt bị nhắm mục tiêu vào lỗ hổng zero-day được phát hiện thì số lượng bị khai thác từ năm 2021 - 2022 giảm từ 26% xuống 15%”.

Thông tin từ phía Ivanti đánh giá rằng, điều này cho thấy những nỗ lực của các trình duyệt trong việc ngăn chặn khai thác nói chung khi những kẻ tấn công chuyển hướng sang nhắm mục tiêu vào các thành phần khác trên thiết bị./.