2023年7月24日、Ivanti Endpoint Manager Mobile (EPMM、旧称MobileIron Core)の脆弱性「CVE-2023-35078」が公表されました。これは、承認を受けていないユーザーが、特定のAPIエンドポイントを通じて自由にAPIアクセスを行える脆弱性です。不正アクセスに成功すれば、新規アカウントの作成や設定変更などの管理者アクションや、個人を特定できる情報(PII)の抽出を資格情報なしで行えます。

2023年7月25日には、多数の政府機関がこの脆弱性を悪用した攻撃を受けたことをノルウェー政府が認めました。Cortex Xpanseの調査員によると、この記事の投稿時点で脆弱性を抱えていたIvanti Endpoint Manager Mobileのサーバーは5,500台超であり、脆弱性が最も多く発見された国はドイツ、米国、英国でした。

インシデントの世界的な広がりと、脆弱性が実際に悪用されている事実から、可及的速やかにネットワーク上の脆弱性を調査して是正することが必要です。

このようなインターネット危機に対応するセキュリティチームを支援するため、Cortex Xpanseは製品に搭載されたポリシーモジュールを用いて、組織のネットワーク上で影響を受けるデバイスを検出して警告します。また、HTTPレスポンスの様々なフィールドを広く調査して、カバー範囲を拡大する機能も有します。例えば、HTTPボディの特定文字列や各種HTTPヘッダーのほか、市場の他のツールが見逃す可能性がある重要な痕跡情報を調査できます。

Cortex Xpanseの脅威レスポンスセンターからは、厳選された脅威情報の概要、エクスプロイトによる影響、以前のエクスプロイトアクティビティ、追加情報取得用の別ソースへのリンクなどを確認できます。これにより、組織全体に分散したリスクを把握して、ガイドを基に是正計画を策定することが可能です。 Cortex Xpanse はサービスの所有者を自動的に識別するので、適切な担当者にチケットを割り当てることも容易です。

Ivanti Endpoint Manager Mobileの脆弱性エクスプロイトに関しては、今すぐ調査を実施して、アタックサーフェス上の脆弱性を発見することが必要です。修正しなければ、重大なセキュリティ侵害のリスクにさらされます。なお、追加の情報を入手次第、脅威レスポンスセンターは継続的・流動的に更新されます。

Cortex Xpanseの脅威レスポンスセンターの詳細については、データシートをご覧ください。

On July 24th, 2023, Ivanti Endpoint Manager Mobile (EPMM), previously known as MobileIron Core, publicly disclosed CVE-2023-35078. This vulnerability allows unauthenticated users full API access through specific API endpoints whereby malicious actors can extract personally identifiable information (PII) and perform administrative actions, like creating new accounts and making configuration changes, without needing any credentials.

Norwegian authorities confirmed on July 25th, 2023 that a dozen of its government ministries had been targeted in a cyberattack exploiting this vulnerability. According to Cortex Xpanse researchers, over 5,500 Ivanti Endpoint Manager Mobile servers were exposed at the time of this post, with the highest number of exposures found in Germany, the United States and the United Kingdom.

Given the global reach of this incident and the fact that the vulnerability has already been exploited in the wild, organizations should investigate exposures on their network and remediate as quickly as possible.

To help security teams respond to internet emergencies like this, Cortex Xpanse detects impacted devices on an organization's network and alerts you to those through an in-product policy module. Cortex Xpanse is able to provide increased coverage due to its extensive searching across multiple fields in an HTTP response, such as specific strings in the HTTP body, various HTTP headers, and other key indicators that other tools on the market might miss.

Within Cortex Xpanse’s Threat Response Center, organizations can also find curated threat intel summaries, exploit consequences, previous exploit activity, and links to other sources for additional information. This empowers you to see how risk is distributed across your organization and build a remediation plan based on the guidance provided. Cortex Xpanse identifies service owners automatically, so organizations can easily assign a ticket to the right person.

The exploitation of the Ivanti Endpoint Manager Mobile vulnerability calls for immediate examination to uncover vulnerabilities on your attack surface. If left unpatched, organizations are at risk of a major security breach. The Threat Response Center will continue to be updated dynamically as additional information becomes available.

To learn more about the Threat Response Center in Cortex Xpanse, read our datasheet.