Vulnerabilidades expõem milhares de servidores MobileIron a ataques remotos
Os pesquisadores divulgaram os detalhes de várias vulnerabilidades potencialmente graves que afetam as soluções de gerenciamento de dispositivos móveis (MDM) da MobileIron, incluindo uma falha que pode ser explorada por um invasor não autenticado para execução remota de código em servidores afetados.
As vulnerabilidades foram identificadas por pesquisadores da empresa de consultoria de segurança DEVCORE e relatadas à MobileIron no início de abril. Os patches foram lançados em 15 de junho e o fornecedor lançou um comunicado em 1º de julho.
As falhas de segurança podem ser exploradas para execução remota de código (CVE-2020-15505), para ler arquivos arbitrários de um sistema direcionado (CVE-2020-15507) e ignorar mecanismos de autenticação remotamente (CVE-2020-15506). Os produtos afetados incluem MobileIron Core (versão 10.6 e anterior), MobileIron Sentry, MobileIron Cloud, Enterprise Connector e Reporting Database.
Em uma postagem de blog publicada na semana passada, Orange Tsai do DEVCORE relatou que decidiu analisar os produtos da MobileIron devido ao seu uso difundido – o fornecedor afirma que mais de 20.000 empresas usam suas soluções e a análise dos pesquisadores mostrou que mais de 15% da Global Fortune 500 organizações expuseram seus servidores MobileIron à Internet, incluindo o Facebook.
É importante notar que Orange Tsai é um dos pesquisadores que no ano passado divulgou várias vulnerabilidades críticas que afetam produtos VPN corporativos da Palo Alto Networks, Fortinet e Pulse Secure. Essas falhas acabaram sendo exploradas em muitos ataques, inclusive por grupos de ameaças patrocinados pelo estado .
Orange Tsai disse à SecurityWeek que explorar o CVE-2020-15505, que é um problema relacionado à desserialização, é suficiente para que um invasor remoto não autenticado consiga a execução arbitrária de código em um servidor MobileIron vulnerável.
O pesquisador diz que existem atualmente cerca de 10.000 servidores potencialmente expostos na Internet e, embora um patch esteja disponível há meses, ele afirma que cerca de 30% dos servidores na Internet permanecem sem patch.
Depois de ver que o Facebook falhou em corrigir seu servidor MobileIron duas semanas após o lançamento de uma correção, o DEVCORE relatou o problema ao gigante da mídia social por meio de seu programa de recompensa de bug. O impacto da vulnerabilidade foi demonstrado para o Facebook “abrindo um shell” em um de seus servidores. O Facebook concedeu uma recompensa por bug pelo relatório, mas o valor não está sendo divulgado.
Pouco depois que Orange Tsai revelou os detalhes das vulnerabilidades , alguém criou e lançou uma exploração de prova de conceito (PoC) para CVE-2020-15505. O hacker de chapéu branco afirma estar ciente das tentativas de exploração bem-sucedidas feitas por membros da comunidade bug bounty.
Fonte: https://www.securityweek.com/vulnerabilities-expose-thousands-mobileiron-servers-remote-attacks