Ερευνητές ασφαλείας της DEVCORE αποκάλυψαν λεπτομέρειες σχετικά με κάποιες ευπάθειες που επηρεάζουν τις λύσεις διαχείρισης κινητών συσκευών (MDM) της MobileIron. Μια από αυτές τις ευπάθειες, μπορεί να χρησιμοποιηθεί από έναν μη εξουσιοδοτημένο χρήστη για απομακρυσμένη εκτέλεση κώδικα στους ευάλωτους servers.
Οι ερευνητές ανακάλυψαν τις ευπάθειες και τις ανέφεραν στη MobileIron στις αρχές Απριλίου. Τα patches κυκλοφόρησαν στις 15 Ιουνίου, ενώ την 1η Ιουλίου κυκλοφόρησε και ένας οδηγός.
Οι ευπάθειες μπορούν να χρησιμοποιηθούν από hackers για απομακρυσμένη εκτέλεση κώδικα (CVE-2020-15505), για ανάγνωση αρχείων από ένα στοχευμένο σύστημα (CVE-2020-15507) και για παράκαμψη μηχανισμών ελέγχου ταυτότητας (CVE-2020-15506).
Ποια προϊόντα της MobileIron επηρεάζονται;
Τα προϊόντα, που επηρεάζονται, περιλαμβάνουν το MobileIron Core (έκδοση 10.6 και παλαιότερες εκδόσεις), το MobileIron Sentry, το MobileIron Cloud, το Enterprise Connector και το Reporting Database.
Η εταιρεία (DEVCORE) ανέφερε ότι αποφάσισε να αναλύσει τα προϊόντα της MobileIron λόγω της ευρείας χρήσης τους. Σύμφωνα με τις εκτιμήσεις των ερευνητών, τουλάχιστον 20.000 επιχειρήσεις χρησιμοποιούν τις προϊόντα της και πάνω από το 15% των εταιρειών Global Fortune 500 είχαν εκτεθειμένους τους MobileIron servers στο Διαδίκτυο. Ανάμεσα σε αυτές τις εταιρείες είναι και το Facebook.
Πέρυσι, ένας από τους ερευνητές της DEVCORE, ο Orange Tsai, είχε αποκαλύψει και πολλές άλλες κρίσιμες ευπάθειες που επηρέαζαν εταιρικά προϊόντα VPN από τις Palo Alto Networks, Fortinet και Pulse Secure. Εκείνες οι ευπάθειες είχαν χρησιμοποιηθεί από διάφορους hackers, συμπεριλαμβανομένων κρατικών hacking ομάδων.
Ο Orange Tsai είπε στο SecurityWeek ότι η εκμετάλλευση της ευπάθειας CVE-2020-15505, θα μπορούσε να επιτρέψει απομακρυσμένη εκτέλεση κώδικα σε έναν ευάλωτο MobileIron server.
Σύμφωνα με τους ερευνητές, υπάρχουν περίπου 10.000 δυνητικά εκτεθειμένοι servers στο Διαδίκτυο. Το ανησυχητικό είναι ότι, ενώ υπάρχει το patch εδώ και μήνες, το 30% των servers δεν έχει λάβει την ενημέρωση και άρα παραμένει ευάλωτο.
Το Facebook δεν είχε ενημερώσει τον server του ακόμα και δύο εβδομάδες μετά την κυκλοφορία του patch. Γι’ αυτό το λόγο, οι ερευνητές του ανέφεραν το ζήτημα μέσω του bug bounty προγράμματος.
Λίγο μετά την αποκάλυψη της ευπάθειας από τον Orange Tsai, κάποιος δημιούργησε και κυκλοφόρησε ένα proof-of-concept (PoC) exploit για το CVE-2020-15505.