HR EN
Naslovnica » Sigurnosne objave » Ranjivosti u Ivanti Endpoint Manager Mobile (EPMM) softveru

Ranjivosti u Ivanti Endpoint Manager Mobile (EPMM) softveru

Dana 9. studenog 2023. godine, tvrtka Ivanti je objavila dvije ranjivosti, CVE-2023-39335 i CVE-2023-39337, koje pogađaju sve verzije softvera Endpoint Manager Mobile (EPMM), ranije poznatog pod nazivom MobileIron Core.
Ranjivosti mogu biti iskorištene zajedno kako bi omogućile neautentificiranom korisniku pristup resursima iza softverskog sigurnosnog rješenja, Sentry
 
Tehnički detalji ključnih ranjivosti popravljenih ovim ažuriranjem:
  • CVE-2023-39335 (CVSS ocjena 8.5): omogućuje autentificiranom korisniku (upisanom uređaju) da upiše uređaj za drugog korisnika EPMM-a.
  • CVE-2023-39337 (CVSS ocjena 6.8): omogućuje autentificiranom korisniku (upisanom uređaju) da dobije valjani certifikat za drugog korisnika EPMM-a. 
Za obje ranjivosti napadač mora posjedovati dodatne informacije, primjerice praćenje TLS prometa, radi identificiranja korisnika kojeg želi imitirati.

Zahvaćeni proizvodi:
Navedene ranjivosti zahvaćaju sve podržane verzije proizvoda - EPMM verzije 11.10, 11.9 i 11.8 te Sentry verzije 9.18, 9.17 i 9.16. Također zahvaćene su starije verzije softvera.
 
Preporuke: 
Tvrtka Ivanti je izdala sigurnosna ažuriranja za obje ranjivosti, a u trenutku pisanja ove objave zakrpe su dostupne u verzijama EPMM (Core): 11.10.0.4, 11.11.0.2, 11.12.0.0.
Preporuča se žurno ažuriranje ranjivih verzija softvera na najnovije dostupne verzije sukladno smjernicama tvrtke Ivanti.
 
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 14.11.2023 - 12:55]

Normativni akti


Sigurnosna akreditacija

Standardi sigurnosti

Kriptografska zaštita

Prevencija i odgovor na RSI

Kibernetička sigurnosna certifikacija

© Zavod za sigurnost informacijskih sustava, Fra Filipa Grabovca 3, 10000 Zagreb
Sva prava pridržana