Ivanti tiene una vez más encontré un error que afecta y corrige su software Endpoint Manager. Esto a pesar del hecho de que Ivanti había eliminó una vulnerabilidad de día cero que apuntaba al mismo producto unos días antes.
Los analistas encontraron una nueva vulnerabilidad en Ivanti EPMM
Actualmente, dos vulnerabilidades están siendo activamente explotado por actores cibernéticos maliciosos. Los convierte en un vector de ataque común que plantea riesgos importantes para la empresa federal.. Se recomienda encarecidamente a los usuarios de EPMM que aplicar los parches disponibles lo antes posible para protegerse. La semana pasada, se reveló que una de las vulnerabilidades, conocido como CVE-2023-35078 y con una clasificación CVSS v3 máxima posible de 10, se utilizó en un ataque contra doce ministerios del gobierno noruego.
Muchos departamentos de TI en todo el mundo, incluyendo varios EE.UU.. agencias gubernamentales, utilice el software EPMM de Ivanti para gestionar dispositivos móviles, aplicaciones, y contenido. Sin embargo, un error recién descubierto (CVE-2023-35081) ha sido identificado. Esta vulnerabilidad es una falla de recorrido de ruta con una clasificación CVSS v3 de 7.2. Permite a un atacante escribir cualquier archivo. en el aparato.
La empresa expresó su agradecimiento a la empresa de ciberseguridad Mnemonic por ayudarlos. identificar una nueva vulnerabilidad. Mnemonic advirtió en una publicación de blog que la escritura remota de archivos las vulnerabilidades pueden comprometer seriamente la seguridad del sistema. También, está dando lugar a varios tipos de ataques, como violaciones de datos y adquisiciones de sistemas. Investigadores de Mnemonic informaron que la nueva vulnerabilidad EPMM fue explotada con CVE-2023-35078 para escribir páginas de servidor Java y Java .class
archivos al disco.
Informe de CISA
El viernes, los Estados Unidos. Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una alerta instando a los equipos de seguridad a parchear las vulnerabilidades informado recientemente por Ivanti. CISA especificó que tanto CVE-2023-35081 como CVE-2023-35078 estaban siendo explotados activamente. Los parches recién lanzados para CVE-2023-35081 también incluyen parches para CVE-2023-35078.
CISA explicó que si CVE-2023-35078 permanece sin parchear, los atacantes pueden obtener privilegios de administrador de EPMM, permitiéndoles escribir archivos arbitrarios con los privilegios del sistema operativo del servidor de aplicaciones web. La agencia advirtió que el atacante podría ejecutar el archivo cargado, como un shell web.
Last week, CISA added CVE-2023-35078 a su catálogo de vulnerabilidades explotadas conocidas y ordenó a todas las agencias gubernamentales del Poder Ejecutivo Civil Federal que solucionen el problema antes de agosto. 15. Sin embargo, el La agencia aún tiene que tomar medidas similares. con respecto a CVE-2023-35081.
Cómo evitar un ciberataque importante?
Organizaciones que podrían potencialmente ser víctima de ciberataques debe priorizar su defensa. Si se produce un ciberataque importante, Se recomienda que la organización restablezca su enfoque y postura de seguridad cibernética.. Después de tal incidente, Toda organización debe reflexionar sobre sus acciones. y decisiones. Esto debería servir de lección no sólo para los servicios gubernamentales sino también para las empresas..
- Es fundamental implementar controles de acceso estrictos, como contraseñas seguras., autenticación multifactor (Ministerio de Asuntos Exteriores), y acceso basado en roles Control para evitar el acceso no autorizado. a datos y sistemas sensibles.
- Mantenga sus sistemas operativos, software, y aplicaciones actualizadas con los parches de seguridad y actualizaciones más morosos para corregir vulnerabilidades conocidas. Asegúrese de actualizar estos sistemas periódicamente para una seguridad óptima.
- Una responsabilidad crucial de las organizaciones es adoptar los principios de Confianza Cero, que puede mejorar significativamente las medidas de seguridad siguiendo el comando 'trust-ninguno', verificar todo'. Cada usuario, dispositivo, y la conexión debe autenticarse antes de acceder a la red de su empresa y a sus activos esenciales y datos confidenciales..
- Es esencial mantenerse actualizado sobre las últimas vulnerabilidades. y aprenda prácticas seguras en línea para protegerse a usted y a su equipo. Tenga siempre cuidado al compartir información confidencial en línea o con personas que no conoce.