Kritisk sårbarhet i MobileIron-produkter
MobileIron slapp en oppdatering til MobileIron-produkter i juli1.
Denne oppdateringen fikser en kritisk sårbarhet som muliggjør kjøring av vilkårlig kode (CVE-2020-15505) av en uautentisert angriper. MobileIron benyttes i forbindelse med sikkerhet på mobil/endepunkt.
Produktene dette gjelder er:
- MobileIron Core og Connector versjoner opp til og med 10.6
- Sentry versjoner opp til og med 9.8
Kode for utnyttelse av sårbarheten ble gjort offentlig tilgjengelig2 tidligere denne uken. Tekniske detaljer kan i tillegg finnes i en bloggpost3 av Orange Tsai som fant sårbarheten.
NCSC forventer at utnyttelse vil bli forsøkt i nærmeste fremtid om dette ikke allerede pågår, og anbefaler derfor virksomheter som ikke enda har oppdatert å gjøre dette så snart det lar seg gjøre.
Referanser:
1 - https://www.mobileiron.com/en/blog/mobileiron-security-updates-available
2 - https://github.com/iamnoooob/CVE-Reverse/tree/master/CVE-2020-15505
3 - https://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html