Elkerülhetetlen frissítés
Az Ivanti már kiadta a megfelelő hotfixeket RPM-szkriptek formájában az érintett EPMM-verziókhoz – ezek alkalmazása nem jár szolgáltatáskieséssel vagy működésbeli változással. Ezért mindenkinek mihamarabb ajánlott telepíteni őket. Fontos tudni, hogy egy nagyobb verziófrissítéskor ezek a javítások elvesznek, ezért frissítés után ismét telepíteni kell őket. A végleges, teljes körű javítás a 12.8.0.0 verzióban lesz elérhető, ami várhatóan 2026 első negyedévében jelenik meg.
Mit vihetnek a támadók?
Sikeres támadás esetén a hackerek hozzáférhetnek az EPMM platformon tárolt összes érzékeny adathoz: adminisztrátor- és felhasználónevekhez, e-mail-címekhez, valamint a kezelt mobileszközökről is széles körű információt szerezhetnek – például telefonszámokat, IP-címeket, a telepített alkalmazások listáját, IMEI- és MAC-azonosítókat. Ha be van kapcsolva a helymeghatározás, akár a GPS-koordinátákhoz és a közelben lévő mobiltornyok helyéhez is hozzájuthatnak. Sőt, még a rendszer konfigurációs beállításait is megváltoztathatják, így például átírhatják a hitelesítési szabályokat is.
Hogyan fedezhető fel a támadás?
A mostani nulladik napi támadások elsősorban az In-House Application Distribution és az Android File Transfer Configuration funkciókon keresztül történnek. Gyanús tevékenység az Apache-hozzáférési naplóban szűrhető, amely a /var/log/httpd/https-access_log útvonalon található. Ehhez az Ivanti egy speciális reguláris kifejezést adott ki, amely segít a gyanús HTTP 404-es válaszok kiszűrésében, amennyiben azok sebezhető aloldalakat céloznak. Ha azonban már sikerült kompromittálni egy készüléket, a támadók akár törölhetik is a naplókat, ezért ha van külső naplófájl, azt célszerű vizsgálni.
Mit tehetnek az áldozatok?
Az Ivanti nem javasolja az EPMM „takarítását”, ha feltételezhető, hogy megfertőződött. Ehelyett ajánlott ismert, tiszta biztonsági mentésből visszaállítani a rendszert, vagy teljesen újratelepíteni, és migrálni az adatokat. A helyreállítás után mindenképpen jelszót kell módosítani minden helyi EPMM-, LDAP-, KDC- és egyéb kapcsolódó szolgáltatásnál, valamint a nyilvános tanúsítványokat is érdemes cserélni.
Ezek csak az első jelek
Jelenleg a hibák csak az EPMM-re vonatkoznak, de az Ivanti azt javasolja, hogy nézzük át a Sentry-naplókat is, hiszen azon keresztül további támadási útvonalak nyílhatnak meg az üzleti hálózat felé. Az Egyesült Államok kiberbiztonsági ügynöksége kötelezővé tette a javítások alkalmazását az állami szervezetek számára is. Nem ez az első alkalom, hogy az Ivanti esetében hasonló sebezhetőségeket észleltek – tavaly két másik, nulladik napi hibát már javítani kellett.
