Хакеры активно атакуют корпоративные MDM-серверы MobileIron
22/10/20
Спустя всего один месяц после раскрытия трех опасных уязвимостей в решениях для управления парком мобильных устройств MobileIron киберпреступники всех мастей начали активно эксплуатировать их для взломов корпоративных серверов и даже для организации вторжений в корпоративные сети.
Злоумышленники атакуют MDM-серверы от производителя программного обеспечения MobileIron. Аббревиатура MDM (Mobile Device Management) расшифровывается как «управление мобильными устройствами». MDM-системы используются на предприятиях для управления мобильными устройствами работников и позволяют системным администраторам с одного центрального сервера развертывать на них сертификаты, приложения, списки для контроля доступа, а также стирать данные с украденных устройств. Для этого MDM-серверы должны все время быть online и доступны через интернет, чтобы смартфоны удаленных сотрудников могли отправлять данные предприятию и получать последние обновления.
Летом нынешнего года исследователь безопасности компании DEVCORE Оранж Цай (Orange Tsai) обнаружил в MDM-решениях MobileIron три опасные уязвимости, сообщил о них производителю, и в июле было выпущено исправление. Поначалу Цай не публиковал подробности об уязвимостях (CVE-2020-15507, CVE-2020-15506 и самая опасная из них CVE-2020-15505), чтобы дать компаниям время на их исправление. Однако многие предприятия проигнорировали опасность и так и не установили обновления, поэтому в сентябре исследователь выложил всю информацию по трем уязвимостям.
Вскоре после публикации другие исследователи безопасности воспользовались предоставленными Цаем данными, написали PoC-эксплоиты для CVE-2020-15505 и опубликовали на GitHub.
Атаки не заставили себя долго ждать. Первая волна была зафиксирована в нынешнем месяце специалистами компании RiskIQ. Хотя они не представили подробностей об атаках, это сделали их коллеги из BlackArrow. Согласно отчету специалистов от 13 октября, злоумышленники атакуют MDM-решения MobileIron и включают их в DDoS-ботнет Kaiten.
Однако это еще не самое страшное. По данным Агентства национальной безопасности США, CVE-2020-15505 входит в топ-25 уязвимостей, эксплуатируемых хакерами, работающими на китайское правительство. Как сообщает АНБ, китайские киберпреступники используют ее для получения первоначального доступа к подключенным к интернету устройствам, с помощью которых затем проникают в корпоративные сети.