Upgrade nötig: Kritische Lücke bedroht ältere MobileIron-Ausgaben von Ivanti
Alert! 03.08.2023 10:48 Uhr Dennis Schirrmacher
Du musst angemeldet sein, um Bilder zu sehen.
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer können an einer kritischen Schwachstelle in der nicht mehr im Support befindlichen Mobile-Device-Management-Lösung Ivanti MobileIron ansetzen.
Admins, die in Unternehmen zum Verwalten von mobilen Geräten MobileIron von Ivanti einsetzen, sollten aus Sicherheitsgründen auf den Nachfolger Endpoint Manager Mobile (EPMM) upgraden. Eine "kritische" Lücke gefährdet MobileIron. Weil der Support ausgelaufen ist, gibt es kein Sicherheitsupdate.
Jetzt upgraden!
In einer Warnmeldung schreiben die Entwickler [1], dass die Schwachstelle (CVE-2023-35082) MobileIron Core bis einschließlich Version 11.2 bedroht. An der Lücke sollen Angreifer ohne Authentifizierung über das Internet ansetzen können. Nach einer erfolgreichen Attacke komme es zum Leak von persönlichen Daten und limitierte Änderungen am Server sind möglich.Auf die Schwachstelle sind Sicherheitsforscher von Rapid7 gestoßen. In einem Beitrag geben sie an [2], dass die Lücke den API-Endpoint von über das Internet erreichbaren Management-Servern betrifft. Ihnen zufolge können Angreifer die Lücke mit einer weiteren Schwachstelle (CVE-2023-35081) kombinieren, um sich mit einer Webshell auf Servern einzunisten.
Ivanti gibt an, dass das Sicherheitsproblem "zufällig" als Teil der Arbeit an MobileIron Core 11.3 im Kontext eines Produktfehlers gelöst wurde. Zuvor wurde das Problem nicht als Sicherheitslücke identifiziert.
Im Fokus von Angreifern
In jüngster Vergangenheit sorgten bereits zwei Lücken [3] (CVE-2023-35081 "hoch", CVE-2023-35078 "kritisch") in EPMM für Schlagzeilen. Die Schwachstellen nutzen Angreifer aus und attackieren etwa norwegische Ministerien. Admins sollten also sicherstellen, dass eine der abgesicherten Ausgaben 11.8.1.1, 11.9.1.2 oder 11.10.0.3 installiert ist. Für Versionen vor 11.8.1.1 ist der Support ausgelaufen. Hier schafft ein Upgrade Abhilfe.(des [4])
URL dieses Artikels:
Upgrade nötig: Kritische Lücke bedroht ältere MobileIron-Ausgaben von Ivanti
Angreifer können an einer kritischen Schwachstelle in der nicht mehr im Support befindlichen Mobile-Device-Management-Lösung Ivanti MobileIron ansetzen.
