Accueil > Alertes du CERT-MC et du CERT-FR > Vulnérabilité dans Ivanti Endpoint Manager Mobile

Vulnérabilité dans Ivanti Endpoint Manager Mobile

Référence : CERT-FR-2023-ALE-009

Risque(s)

- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données

Systèmes affectés

- Ivanti Endpoint Manager Mobile (EPMM), anciennement MobileIron Core, toutes versions sans le dernier correctif de sécurité

Résumé

Le 24 juillet 2023, Ivanti a corrigé une vulnérabilité affectant le produit Endpoint Manager Mobile, anciennement MobileIron Core. Cette vulnérabilité permet à un attaquant d'obtenir un accès non authentifié à des chemins d'API spécifiques afin de récupérer des informations personnellement identifiables (PII) d'utilisateurs. Un attaquant peut également, par le biais de cette vulnérabilité, modifier la configuration du produit EPMM et créer un compte administrateur.

Le CERT-FR a connaissance d'exploitation de cette vulnérabilité. Il est donc fortement recommandé d'appliquer le correctif de sécurité dans les plus brefs délais.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Ivanti CVE-2023-35078 du 24 juillet 2023
https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability  
Avis de sécurité CERTFR-2023-AVI-0584
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0584/  

Référence CVE CVE-2023-35078
https://www.cve.org/CVERecord?id=CVE-2023-35078  

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-009/

CERTFR-2024-ALE-005_Vulnerabilite dans Microsoft Outlook

15 février 2024
actualite

Objet : Vulnérabilité dans Microsoft OutlookRéférence : CERTFR-2024-ALE-005Risque(s) - Exécution de code arbitraire à distance- Atteinte à la confi... Lire la suite[+]

CERTFR-2024-ALE-004_Vulnerabilite dans Fortinet FortiOS

09 février 2024
actualite

Objet : Vulnérabilité dans Fortinet FortiOSRéférence : CERTFR-2024-ALE-004Risque(s)- Exécution de code arbitraire à distanceSystèmes affectés - For... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/Vulnerabilite-dans-Ivanti-Endpoint-Manager-Mobile