Version 1.1: Weitere kritische Schwachstelle in Ivanti Endpoint Manager Mobile (EPMM) und MobileIron Core

Beschreibung

Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits im Juli vor einer Verwundbarkeit des Endpoint Manager Mobile (EPMM) – ehemals vertrieben unter dem Namen MobileIron Core – gewarnt hatte, veröffentlichte der Hersteller Ivanti am 3. August 2023 Informationen zu einer weiteren Sicherheitslücke in diesem Produkt. Die Sicherheitslücke wird gemäß Common Vulnerabilities and Exposures (CVE) unter der Nummer CVE-2023-35082 gelistet und hat erneut eine CVSS-Bewertung von 10.0 ("kritisch").

Zunächst wurden nur die End-of-Life (EoL) Versionen von EPMM bzw. MobileIron Core kleiner 11.3 als betroffen aufgeführt. Am 7. August veröffentlichte Ivanti jedoch ein Update zu dem Security Advisory, wonach nun alle Versionen von Ivanti EPMM bzw. MobileIron Core durch CVE-2023-35082 verwundbar sind.

Die Schwachstelle ist ähnlich zu der kürzlich bekanntgewordenen und aktiv ausgenutzten Schwachstelle CVE-2023-35078. Sie ermöglicht einem nicht-authentifizierten Angreifer aus dem Internet den Zugriff auf die API Endpunkte (Authentication Bypass).