[NCSC-varsel] Kritisk sårbarhet i MobileIron-produkter

MobileIron slapp en oppdatering til MobileIron-produkter i juli [1]. Denne oppdateringen fikser en kritisk sårbarhet som muliggjør kjøring av vilkårlig kode (CVE-2020-15505) av en uautentisert angriper. MobileIron benyttes i forbindelse med sikkerhet på mobil/endepunkt.

Produktene dette gjelder er:

• MobileIron Core og Connector versjoner opp til og med 10.6
• MobileIron Sentry versjoner opp til og med 9.8

Kode for utnyttelse av sårbarheten ble gjort offentlig tilgjengelig [2] tidligere denne uken. Tekniske detaljer kan i tillegg finnes i en bloggpost [3] av Orange Tsai som fant sårbarheten.

Anbefalinger:

• NCSC forventer at utnyttelse vil bli forsøkt i nærmeste fremtid om dette ikke allerede pågår, og anbefaler derfor virksomheter som ikke enda har oppdatert å gjøre dette så snart det lar seg gjøre.

NCSC-pulsen blir værende på nivå tre (3).

Referanser:

[1] https://www.mobileiron.com/en/blog/mobileiron-security-updates-available
[2] https://github.com/iamnoooob/CVE-Reverse/tree/master/CVE-2020-15505
[3] https://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html