# CVE-2023-35078 > [!critical] CVSS 10.0 - Bypass de autenticação no Ivanti EPMM/MobileIron - exploração por estado-nação > Zero-day crítico com CVSS máximo no Ivanti Endpoint Manager Mobile que permite acesso irrestrito à API sem autenticação. Explorado por ator estado-nação antes do patch para comprometer infraestrutura governamental norueguesa. ## Visão Geral A [[cve-2023-35078|CVE-2023-35078]] é uma vulnerabilidade de bypass de autenticação com CVSS máximo de 10.0 no Ivanti Endpoint Manager Mobile (EPMM), anteriormente conhecido como MobileIron Core. A falha permite que qualquer atacante remoto acesse endpoints de API privilegiados sem qualquer forma de autenticação, expondo dados de usuários, dispositivos gerenciados e configurações corporativas. Divulgada e patcheada em julho de 2023 após alertas da CISA e do centro norueguês de cibersegurança (NSM), a vulnerabilidade foi explorada como zero-day em ataques contra ministérios governamentais da Noruega - demonstrando interesse de atores estado-nação em plataformas MDM como vetor para acesso a dispositivos corporativos gerenciados. Para organizações brasileiras e latinoamericanas que utilizam Ivanti EPMM para gestão de dispositivos móveis corporativos - comum em empresas financeiras, governamentais e de saúde - esta CVE representa risco de exposição de toda a base de dispositivos gerenciados e das credenciais armazenadas na plataforma MDM. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 10.0 (Critical - máximo) | | **Tipo** | Authentication Bypass via API | | **Produto** | Ivanti EPMM / MobileIron Core | | **Versões afetadas** | < 11.10.0.3, < 11.9.1.2, < 11.8.1.2 | | **Patch** | Julho 2023 | | **Exploração** | Confirmada contra governo norueguês | ## Impacto e Superfície de Ataque A API exposta sem autenticação permite: - Enumeração de todos os usuários e dispositivos gerenciados - Acesso a informações de contato e localização de dispositivos - Modificação de configurações MDM e políticas de dispositivo - Potencial para instalar perfis de configuração maliciosos em dispositivos gerenciados **TTPs relacionados:** [[t1190-exploit-public-facing-application|T1190]] · [[t1078-valid-accounts|T1078]] · [[t1005-data-from-local-system|T1005]] · [[t1530-data-from-cloud-storage|T1530]] ## Detecção e Defesa **Mitigação imediata:** - Aplicar patch Ivanti EPMM urgentemente - Restringir acesso à API EPMM por IP de gerenciamento - Auditar logs de API por acessos sem autenticação **Detecção:** - Alertar em requisições à API EPMM sem token de autenticação - Monitorar mudanças inesperadas em configurações de dispositivos **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1030-network-segmentation|M1030]] · [[m1035-limit-access-to-resource-over-network|M1035]] > [!latam] Relevância LATAM > Ivanti EPMM é utilizado por organizações financeiras e governamentais brasileiras para gestão de dispositivos móveis corporativos. O comprometimento de uma plataforma MDM via esta CVE expõe não apenas dados da plataforma, mas potencialmente todos os dispositivos gerenciados da organização. ## Referências - [Ivanti Security Advisory](https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability) - [CISA Alert - Ivanti EPMM](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-213a) - [Norwegian NSM Advisory](https://nsm.no/aktuelt/kritisk-saarbarhet-i-ivanti-endpoint-manager-mobile)