Het Britse National Cyber Security Centre (NCSC) heeft een waarschuwing afgegeven voor een kwetsbaarheid in de software van MDM-aanbieder MobileIron waar landen en criminelen gebruik van maken om Britse organisaties aan te vallen. MobileIron is een aanbieder van mobile device management (MDM)-software waarmee organisaties de apparaten van hun medewerkers op afstand kunnen beheren.

De centrale server waarop de MDM-software draait is een aantrekkelijk doelwit voor aanvallers, aldus het NCSC. Op 15 juni kwam MobileIron met een beveiligingsupdate voor een kritieke kwetsbaarheid in MobileIron Core & Connector, MobileIron Sentry en MobileIron Monitor and Reporting Database (RDB). Het beveiligingslek (CVE-2020-15505) is op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. Door middel van "ongespecificeerde vectoren" kan een aanvaller op afstand willekeurige code op de MDM-server uitvoeren.

In september verscheen er proof-of-concept exploitcode waarmee kwetsbare systemen zijn aan te vallen. Sindsdien maken zowel vijandelijke statelijke actoren als cybercriminelen misbruik van de kwetsbaarheid, aldus het NCSC. Zowel gezondheidszorg, lokale overheden, logistieke bedrijven en de juridische sector zijn het doelwit van aanvallen geweest. In oktober waarschuwden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat organisaties via het MobileIron-lek waren aangevallen. Daarnaast stond CVE-2020-15505 in een Top 25 van meest aangevallen kwetsbaarheden die de NSA publiceerde.

Eind oktober kwam MobileIron met een bericht dat het sinds het verschijnen van de beveiligingsupdate klanten onder andere heeft gebeld en gemaild om de patch te installeren. Dat zou ervoor hebben gezorgd dat eind oktober naar schatting tussen de 90 en 95 procent van alle MDM-systemen up-to-date was. Organisaties die de update nog niet hebben geïnstalleerd worden door het NCSC en MobileIron opgeroepen dit te doen.