{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Ivanti pr\u00e9cise que seules les versions support\u00e9es, \u00e0 savoir\u00a011.10, 11.9 et 11.8, recevront un correctif de s\u00e9curit\u00e9.

","closed_at":"2023-09-15","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2023-35081","url":"https://www.cve.org/CVERecord?id=CVE-2023-35081"},{"name":"CVE-2023-35082","url":"https://www.cve.org/CVERecord?id=CVE-2023-35082"},{"name":"CVE-2023-35078","url":"https://www.cve.org/CVERecord?id=CVE-2023-35078"}],"links":[{"title":"[3] Bulletin compl\u00e9mentaire de s\u00e9curit\u00e9 Ivanti CVE-2023-35082 du 07 ao\u00fbt 2023","url":"https://forums.ivanti.com/s/article/KB-Remote-Unauthenticated-API-Access-Vulnerability-CVE-2023-35082?language=en_US"},{"title":"[2] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"Avis de s\u00e9curit\u00e9 CERTFR-2023-AVI-0584 du 25 juillet 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0584/"},{"title":"[5] Mises \u00e0 jour Ivanti EPMM","url":"https://help.ivanti.com/mi/help/en_us/core/11.x/rn/CoreConnectorReleaseNotes/Resolved_issues.htm"},{"title":"[1] Publication de la CISA et de la NCSC-NO","url":"https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a"},{"title":"Avis de s\u00e9curit\u00e9 CERTFR-2023-AVI-0604 du 31 juillet 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0604/"},{"title":"[4] Avis de s\u00e9curit\u00e9 CERTFR-2023-AVI-0615 du 03 ao\u00fbt 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0615/"}],"reference":"CERTFR-2023-ALE-009","revisions":[{"description":"Version initiale","revision_date":"2023-07-26T00:00:00.000000"},{"description":"Mise \u00e0 jour de l'alerte pour inclure les informations concernant la vuln\u00e9rabilit\u00e9 CVE-2023-35081.","revision_date":"2023-07-31T00:00:00.000000"},{"description":"Ajout de la publication de la CISA et de la NCSC-NO.","revision_date":"2023-08-02T00:00:00.000000"},{"description":"Avis Ivanti concernant la vuln\u00e9rabilit\u00e9 CVE-2023-35082.","revision_date":"2023-08-11T00:00:00.000000"},{"description":"Avis Ivanti concernant la disponibilit\u00e9 d'un correctif.","revision_date":"2023-09-15T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2023-09-15T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"\\[Mise \u00e0 jour\ndu 15 septembre 2023\\] Correction de la vuln\u00e9rabilit\u00e9\nCVE-2023-35082\n\nLe 21 ao\u00fbt 2023, l'\u00e9diteur a publi\u00e9 une mise \u00e0 jour du bulletin\ncompl\u00e9mentaire de s\u00e9curit\u00e9 \\[3\\] pour annoncer la disponibilit\u00e9 d'un\ncorrectif concernant la vuln\u00e9rabilit\u00e9 CVE-2023-35082. Ce correctif est\ninclus dans la version 11.11.0.0 d'Ivanti EPMM \\[5\\].\n\n\\[Mise \u00e0 jour\ndu 11 ao\u00fbt 2023\\] Avis Ivanti concernant la vuln\u00e9rabilit\u00e9\nCVE-2023-35082\n\nLe 07 ao\u00fbt 2023, Ivanti a publi\u00e9 un nouvel avis de s\u00e9curit\u00e9 \\[3\\]\nindiquant que la vuln\u00e9rabilit\u00e9 CVE-2023-35082 affecte toutes les\nversions de Endpoint Manager Mobile, et non pas uniquement les versions\nant\u00e9rieures \u00e0 11.3 comme indiqu\u00e9 dans l'avis du 02 ao\u00fbt 2023 \\[4\\].\n\nCette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant d'obtenir un acc\u00e8s non\nauthentifi\u00e9 \u00e0 des chemins d'API sp\u00e9cifiques afin de r\u00e9cup\u00e9rer des\ninformations personnellement identifiables (PII) d'utilisateurs.\n\nDans l\u2019attente de la publication de la version 11.11, Ivanti fournit un\nscript RPM corrigeant cette vuln\u00e9rabilit\u00e9 pour les versions 11.8.1.2,\n11.9.1.2 et 11.10.0.3. Si l\u2019\u00e9quipement est dans une version ant\u00e9rieure,\nil est conseill\u00e9 de le mettre \u00e0 jour vers l\u2019une de ces trois versions,\npuis d\u2019ex\u00e9cuter le script. Cette proc\u00e9dure est d\u00e9crite dans l\u2019avis.\n\nL'\u00e9diteur annonce que :\n\n- La vuln\u00e9rabilit\u00e9 CVE-2023-35082 est exploitable uniquement sur HTTP\n mais pas HTTPS ;\n- Une preuve de concept est disponible publiquement ;\n- La vuln\u00e9rabilit\u00e9 CVE-2023-35082 est activement exploit\u00e9e.\n\n\\[Mise \u00e0 jour du 02 ao\u00fbt 2023\\] Compl\u00e9ments d'informations\ntechniques sur l'exploitation des vuln\u00e9rabilit\u00e9s affectant le produit\nIvanti EPMM \n\n\nLe 01 ao\u00fbt 2023, la CISA conjointement avec l'agence de s\u00e9curit\u00e9 des\nsyst\u00e8mes d'information norv\u00e9gienne (NCSC-NO) ont publi\u00e9 un avis \\[1\\]\nconcernant les vuln\u00e9rabilit\u00e9s CVE-2023-35078 et CVE-2023-35081. Selon\nelles, la vuln\u00e9rabilit\u00e9 CVE-2023-35078 est exploit\u00e9e depuis au moins\navril 2023.\n\nL'avis documente certaines des actions prises par les attaquants :\n\n- interrogations *LDAP* sur les serveurs *Active Directory* pour\n l'\u00e9num\u00e9ration des machines ;\n- utilisation de requ\u00eates *HTTP* de type *GET\n /mifs/aad/api/v2/authorized/users* pour la collecte de la liste des\n utilisateurs enregistr\u00e9s sur les EPMM ;\n- alt\u00e9ration des configurations de ces \u00e9quipements ;\n- surveillance et modification des journaux d'activit\u00e9s, notamment\n avec l'application malveillante *mi.war*\n (*1cd358d28b626b7a23b9fd4944e29077c265db46*) ;\n- utilisation d'un code malveillant, dont le condensat Sha1 est\n *c0b42bbd06d6e25dfe8faebd735944714b421388* ;\n- lat\u00e9ralisation sur les serveurs de messagerie.\n\nLa NCSC-NO conseille de rechercher toutes les occurrences du motif\n*/mifs/aad/api/v2/* dans les journaux (collect\u00e9s \u00e0 distance) afin de\nd\u00e9terminer si une intrusion a eu lieu. De plus, toute augmentation des\n\u00e9v\u00e8nements *EventCode=1644* dans l'AD (ainsi que des valeurs *4662*,\n*5136* et *1153*) en provenance de l'EPMM \u00e0 partir d'avril 2023 doit\n\u00eatre consid\u00e9r\u00e9e comme suspecte.\n\nLa NCSC-NO conseille \u00e9galement d'analyser les flux r\u00e9seaux de l'EPMM\nvers d'autres serveurs internes et d'analyser le disque ainsi que la\nm\u00e9moire de l'\u00e9quipement.\n\nLa CISA fournit des indicateurs de compromission ainsi que des mod\u00e8les\nde l'outil de scan *Nuclei,* servant \u00e0 d\u00e9terminer si un \u00e9quipement est\nvuln\u00e9rable.\n\nLe CERT-FR rappelle que l'application seule des correctifs n'est pas\nsuffisante. En cas de suspicion de compromission, il est recommand\u00e9 de\ncontinuer les investigations afin de d\u00e9terminer les actions prises par\nun \u00e9ventuel attaquant \\[1\\]\\[2\\]. La mise \u00e0 jour du syst\u00e8me doit donc\n\u00e9galement s'accompagner d'analyses r\u00e9seaux et syst\u00e8mes dans le but de\nd\u00e9terminer si une intrusion a eu lieu, les indicateurs de compromission\nfournis n'\u00e9tant pas exhaustifs.\n\nEn cas de doute, il est pr\u00e9f\u00e9rable de r\u00e9installer l'\u00e9quipement et\nproc\u00e9der au renouvellement de tous les secrets associ\u00e9s \u00e0 l'application.\n\n\\[Mise \u00e0 jour\ndu 31 juillet 2023\\]\n\nLe 28 juillet 2023, Ivanti a publi\u00e9 un nouvel avis concernant Endpoint\nManager Mobile, anciennement MobileIron Core. La\nvuln\u00e9rabilit\u00e9 CVE-2023-35081 permet \u00e0 un attaquant ayant les droits\nadministrateur d'effectuer une \u00e9criture arbitraire de fichier sur le\nserveur, conduisant *in fine* \u00e0 une ex\u00e9cution de code arbitraire \u00e0\ndistance.\n\nSelon Ivanti, cette vuln\u00e9rabilit\u00e9 est activement exploit\u00e9e dans le cadre\nd'attaques cibl\u00e9es, en combinaison avec la vuln\u00e9rabilit\u00e9 CVE-2023-35078\nqui permet de contourner l'authentification administrateur.\n\n\\[Publication initiale\\]\n\nLe 24 juillet 2023, Ivanti a corrig\u00e9 une vuln\u00e9rabilit\u00e9 affectant le\nproduit Endpoint\nManager Mobile, anciennement MobileIron Core. Cette\nvuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant d'obtenir un acc\u00e8s non authentifi\u00e9 \u00e0\ndes chemins d'API sp\u00e9cifiques afin de r\u00e9cup\u00e9rer des informations\npersonnellement identifiables (PII) d'utilisateurs. Un attaquant peut\n\u00e9galement, par le biais de cette vuln\u00e9rabilit\u00e9, modifier la\nconfiguration du produit EPMM et cr\u00e9er un compte administrateur.\n\nLe CERT-FR a connaissance d'exploitation de cette vuln\u00e9rabilit\u00e9. Il est\ndonc fortement recommand\u00e9 d'appliquer le correctif de s\u00e9curit\u00e9 dans les\nplus brefs d\u00e9lais.\n","title":"[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Ivanti Endpoint Manager Mobile","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Ivanti CVE-2023-35078 du 24 juillet 2023","url":"https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability"},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Ivanti CVE-2023-35081 du 28 juillet 2023","url":"https://forums.ivanti.com/s/article/CVE-2023-35081-Arbitrary-File-Write"}]}