Vulnérabilité dans Ivanti Endpoint Manager Mobile

Risque(s)

- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- Ivanti Endpoint Manager Mobile (EPMM), anciennement MobileIron Core, toutes versions sans le dernier correctif de sécurité

Résumé

Le 24 juillet 2023, Ivanti a corrigé une vulnérabilité affectant le produit Endpoint Manager Mobile, anciennement MobileIron Core. Cette vulnérabilité permet à un attaquant d'obtenir un accès non authentifié à des chemins d'API spécifiques afin de récupérer des informations personnellement identifiables (PII) d'utilisateurs. Un attaquant peut également, par le biais de cette vulnérabilité, modifier la configuration du produit EPMM et créer un compte administrateur.

Le CERT-FR a connaissance d'exploitation de cette vulnérabilité. Il est donc fortement recommandé d'appliquer le correctif de sécurité dans les plus brefs délais.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Ivanti CVE-2023-35078 du 24 juillet 2023
https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability  
Avis de sécurité CERTFR-2023-AVI-0584
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0584/  

Référence CVE CVE-2023-35078
https://www.cve.org/CVERecord?id=CVE-2023-35078  

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-009/