Ivanti EPMM: útočník odpovědný za 83 % nedávných RCE útoků
Edge a správcovské systémy (MDM/EMM) zůstávají častým cílem – jsou totiž vysoce hodnotné a často vystavené do sítě. Zpráva shrnuje, že velká část nedávných útoků zneužívajících RCE na Ivanti EPMM se váže na jednoho aktéra.
BleepingComputer popisuje situaci okolo zneužívání zranitelností v Ivanti Endpoint Manager Mobile (EPMM) a upozorňuje na výraznou koncentraci aktivity: jeden aktér měl stát za převážnou částí pozorovaných útoků typu vzdálené spuštění kódu.
Pro obranu organizace je podstatné, že podobné platformy často spravují:
registrace zařízení a politiky,
přístupové profily (VPN, Wi-Fi, certifikáty),
integrace na identity a adresářové služby,
distribuci aplikací a konfigurací.
Kompromitace EMM/MDM proto není „jen“ incident jednoho serveru – může se promítnout do celé flotily zařízení a následně do interních systémů (např. přes vydané profily, přístupové tokeny nebo manipulaci s konfigurací). Doporučit lze zejména:
ověřit verzi a stav oprav dle doporučení výrobce,
dočasně omezit vystavení a přístupy do administračních rozhraní,
auditovat účty a integrace (SSO, API tokeny, servisní účty),
nastavit dohled nad podezřelými změnami politik a profilů.
Článek je dobrým připomenutím, že prioritizace patchů má mít vysokou váhu právě u systémů „na hraně“ a u nástrojů správy (IT/OT/MDM), protože kompromitace těchto vrstev obvykle urychlí laterální pohyb útočníka.
Zdroj: The Hacker News
Další články
Zákon o kritické infrastruktuře: do 1. března zbývají dny.
ENISA vydala „State of the Cybersecurity in the Union“ – přehled vyspělosti a doporučení
