Tilkynnt var um nokkra alvarlega veikleika í Endpoint Manager Mobile (EPMM) hjá Ivanti og iOS/iPadOS hjá Apple. Í báðum tilfellum er að ræða um nýveilur (e. zero-day) sem ógnaraðilar eru nú þegar farnir að misnota.
CERT-IS mælir með að uppfæra eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar (e. critical)
Ivanti Endpoint Manager Mobile (EPMM) (áður þekkt sem MobileIron Core)
Veikleikinn CVE-2023-35078 með CVSSv3 skor upp á 10.0 gerir fjartengdum ógnaraðila kleift að komast í viðkvæm gögn og gera breytingar í vefþjónum án þess að þurfa að auðkenna sig [3]. Veikleikinn hefur verið misnotaður í netárás á 12 ráðuneyti í Noregi [1, 2].
Apple iOS og iPadOS
Í nýjustu öryggisuppfærslu lagfærir Apple 16 veikleika, tveir þeirra hafa verið misnotaðir nú þegar (CVE-2023-37450 og CVE-2023-38606) [4,5]. Þeir gera fjartengdum ógnaraðilum kleift að breyta kjarna stillingum og keyra kóða sem gæti leitt til uppsetningu á njósnarforriti (e. spyware).
Eftirfarandi kerfi eru veik fyrir göllunum:
Ivanti Endpoint Manager Mobile: <=11.10
iOS og iPadOS: <16.6
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Ivanti Endpoint Manager Mobile: >11.10 [6]
iOS og iPadOS: 16.6
Tilvísanir:
[1] https://nsm.no/aktuelt/nulldagssarbarhet-i-ivanti-endpoint-manager-mobileiron-core
[2] https://www.bleepingcomputer.com/news/security/norway-says-ivanti-zero-day-was-used-to-hack-govt-it-systems/
[3] https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability?language=en_US
[4] https://support.apple.com/en-gb/HT213841
[5] https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-macs/
[6] https://forums.ivanti.com/s/article/KB-Remote-unauthenticated-API-access-vulnerability-CVE-2023-35078 (krefst innskráningu)
