Vulnerabilidades expõem milhares de servidores MobileIron a ataques remotos

As vulnerabilidades foram identificadas por pesquisadores da empresa de consultoria de segurança DEVCORE e relatadas à MobileIron no início de abril. Os patches foram lançados em 15 de junho e o fornecedor lançou um comunicado em 1º de julho.

As falhas de segurança podem ser exploradas para execução remota de código (CVE-2020-15505), para ler arquivos arbitrários de um sistema direcionado (CVE-2020-15507) e ignorar mecanismos de autenticação remotamente (CVE-2020-15506). Os produtos afetados incluem MobileIron Core (versão 10.6 e anterior), MobileIron Sentry, MobileIron Cloud, Enterprise Connector e Reporting Database.

Em uma postagem de blog publicada na semana passada, Orange Tsai do DEVCORE relatou que decidiu analisar os produtos da MobileIron devido ao seu uso difundido – o fornecedor afirma que mais de 20.000 empresas usam suas soluções e a análise dos pesquisadores mostrou que mais de 15% da Global Fortune 500 organizações expuseram seus servidores MobileIron à Internet, incluindo o Facebook.

É importante notar que Orange Tsai é um dos pesquisadores que no ano passado divulgou várias vulnerabilidades críticas que afetam produtos VPN corporativos da Palo Alto Networks, Fortinet e Pulse Secure. Essas falhas acabaram sendo exploradas em muitos ataques, inclusive por grupos de ameaças patrocinados pelo estado .

Orange Tsai disse à SecurityWeek que explorar o CVE-2020-15505, que é um problema relacionado à desserialização, é suficiente para que um invasor remoto não autenticado consiga a execução arbitrária de código em um servidor MobileIron vulnerável.

O pesquisador diz que existem atualmente cerca de 10.000 servidores potencialmente expostos na Internet e, embora um patch esteja disponível há meses, ele afirma que cerca de 30% dos servidores na Internet permanecem sem patch.

Depois de ver que o Facebook falhou em corrigir seu servidor MobileIron duas semanas após o lançamento de uma correção, o DEVCORE relatou o problema ao gigante da mídia social por meio de seu programa de recompensa de bug. O impacto da vulnerabilidade foi demonstrado para o Facebook “abrindo um shell” em um de seus servidores. O Facebook concedeu uma recompensa por bug pelo relatório, mas o valor não está sendo divulgado.

Pouco depois que Orange Tsai revelou os detalhes das vulnerabilidades , alguém criou e lançou uma exploração de prova de conceito (PoC) para CVE-2020-15505. O hacker de chapéu branco afirma estar ciente das tentativas de exploração bem-sucedidas feitas por membros da comunidade bug bounty.

Fonte: https://www.securityweek.com/vulnerabilities-expose-thousands-mobileiron-servers-remote-attacks