Softwarebedrijf Ivanti heeft een tweede zerodaylek verholpen dat is gebruikt bij een aanval op de Noorse overheid. Het beveiligingslek, aangeduid als CVE-2023-35081, is aanwezig in Ivanti Endpoint Manager Mobile (EPMM), dat eerder bekend stond als MobileIron Core. EPMM is een oplossing voor mobile device management en mobile application management waarmee organisaties de apparaten van hun medewerkers kunnen beheren.

Vorige week maakte de Noorse overheid bekend dat een zerodaylek (CVE-2023-35078) was gebruikt tegen een niet nader genoemd ict-platform waar twaalf Noorse ministeries mee werken. Een dag later bleek het om Ivanti Endpoint Manager Mobile te gaan. CVE-2023-35078 is een "authentication bypass" waardoor een ongeautoriseerde aanvaller toegang tot het systeem kan krijgen. Vervolgens is het mogelijk om aanpassingen aan de server door te voeren of toegang tot persoonlijke informatie van gebruikers te krijgen. Ook zou een aanvaller een beheerdersaccount kunnen aanmaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

Nu blijkt dat de aanvallers ook van een tweede zerodaylek gebruik hebben gemaakt. CVE-2023-35081 betreft een "path traversal" kwetsbaarheid waardoor een aanvaller met beheerdersrechten willekeurige bestanden naar de EPMM-server kan schrijven. Daardoor kan de aanvaller uiteindelijk OS-commando's als de Tomcat-gebruiker uitvoeren. Het beveiligingslek is in combinatie met CVE-2023-35078 gebruikt, zo meldt securitybedrijf mnemonic dat onderzoek naar de aanval deed. CVE-2023-35081 heeft een impactscore van 7.2 gekregen. Ivanti stelt dat een "beperkt aantal klanten" slachtoffer van de zeroday-aanval is geworden maar geeft geen exacte aantallen. Organisaties worden opgeroepen om de beschikbaar gestelde updates meteen te installeren.