Les chercheurs ont révélé les détails de plusieurs vulnérabilités potentiellement graves affectant les solutions de gestion des appareils mobiles (MDM) de MobileIron, y compris une faille qui pourrait être exploitée par un attaquant non authentifié pour l’exécution de code à distance sur les serveurs affectés.

Les vulnérabilités ont été identifiées par des chercheurs de la société de conseil en sécurité DEVCORE et ont été signalées à MobileIron début avril. Les correctifs ont été publiés le 15 juin et le fournisseur a publié un avis le 1er juillet.

Les failles de sécurité peuvent être exploitées pour l’exécution de code à distance (CVE-2020-15505), pour lire des fichiers arbitraires à partir d’un système ciblé (CVE-2020-15507) et contourner les mécanismes d’authentification à distance (CVE-2020-15506). Les produits concernés incluent MobileIron Core (version 10.6 et antérieure), MobileIron Sentry, MobileIron Cloud, Enterprise Connector et Reporting Database.

Dans un article de blog publié la semaine dernière, Orange Tsai de DEVCORE a rapporté avoir décidé d’analyser les produits de MobileIron en raison de leur utilisation répandue – le fournisseur affirme que plus de 20000 entreprises utilisent ses solutions et l’analyse des chercheurs a montré que plus de 15% de Global Fortune 500 organisations ont exposé leurs serveurs MobileIron à Internet, y compris Facebook.

Il convient de noter qu’Orange Tsai est l’un des chercheurs qui a révélé l’année dernière plusieurs vulnérabilités critiques affectant les produits VPN d’entreprise de Palo Alto Networks, Fortinet et Pulse Secure. Ces failles ont fini par être exploitées dans de nombreuses attaques, notamment par des groupes menaçants parrainés par l’État.

Orange Tsai a dit SecurityWeek que l’exploitation de CVE-2020-15505, qui est un problème lié à la désérialisation, est suffisante pour qu’un attaquant distant et non authentifié exécute du code arbitraire sur un serveur MobileIron vulnérable.

Le chercheur dit qu’il y a actuellement environ 10000 serveurs potentiellement exposés sur Internet, et alors qu’un correctif a été …