Alerte - Des auteures et auteurs de menace exploitent la vulnérabilité CVE-2023-35078 d’Ivanti Endpoint Manager Mobile - Mise à jour 1

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 24 juillet 2023, Ivanti a publié un article^{Note de bas de page 1} faisant mention d’une vulnérabilité exploitable à distance (CVE-2023-35078) touchant le produit Ivanti Endpoint Manager Mobile (EPMM) (anciennement MobileIron Core). Ivanti a indiqué que l’exploitation de cette vulnérabilité permettait à une auteure ou un auteur de menace distant (connecté à Internet) non autorisé d’accéder potentiellement à l’information nominative des utilisatrices et utilisateurs, et d’apporter des changements limités au serveur. La Cybersecurity and Infrastructure Security Agency (CISA) a depuis publié un bulletin dans lequel elle précisait que cette vulnérabilité pouvait également donner lieu à d’autres changements dans la configuration, dont la création d’un compte d’administrateur EPMM pouvant servir à apporter de plus amples changements sur un système vulnérable.^{Note de bas de page 2} Ivanti a par ailleurs signalé que cette vulnérabilité avait été exploitée. L’autorité en matière de sécurité nationale et l’Organisation de sécurité et de service du gouvernement de la Norvège ont déclaré publiquement^{Note de bas de page 3} avoir été touchées par cette vulnérabilité du jour zéro.

Le 25 juillet 2023, le Centre pour la cybersécurité a publié le bulletin AV23-434^{Note de bas de page 4} faisant rapport de la vulnérabilité qui touche le produit Ivanti Endpoint Manager Mobile (EPMM). Le bulletin visait à aviser le public de l’existence d’une vulnérabilité et de l’exploitation de cette dernière. Le Centre pour la cybersécurité a évalué que bon nombre de dispositifs avaient été potentiellement touchés au Canada.

Mise à jour 1

Le 28 juillet 2023, Ivanti a publié un article^{Note de bas de page 6} dans lequel il fait état d’une autre vulnérabilité qui a été exploitée récemment par des auteurs et auteurs de menace. Ivanti déclare que la vulnérabilité CVE 2023-35081 permet à une administratrice ou un administrateur authentifié d’écrire des fichiers arbitraires sur le serveur d’EPMM. Cette vulnérabilité peut être utilisée conjointement avec la vulnérabilité CVE-2023-35078 afin de contourner l’authentification de l’administratrice ou de l’administrateur ainsi que les restrictions des listes de contrôle d’accès (LCA) (le cas échéant). Ivanti a également signalé que des correctifs sont maintenant offerts pour la vulnérabilité CVE-2023-35081. Les organisations sont invitées à lire l’article et à installer les correctifs recommandés.

Recommandations

Le Centre pour la cybersécurité recommande à toutes les organisations qui utilisent ces dispositifs de veiller à appliquer les correctifs dès que possible.

Des conseils supplémentaires sont offerts dans Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information (ITSM.00.089)^{Note de bas de page 5} du Centre pour la cybersécurité. Ces publications sont basées sur une analyse des tendances des cybermenaces pour aider à réduire au minimum les intrusions ou les répercussions des cyberintrusions réussies.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.