Endpoint Manager Mobile (EPMM) and MobileIron Core

Die Schwachstelle betrifft die Mobilgeräteverwaltung Ivanti Endpoint Manager Mobile (EPMM) und das Vorgängerprodukt MobileIron Core. Es handelt sich um eine Umgehung der Authentifizierung: Ein Angreifer kann auf eigentlich geschützte Funktionen und Ressourcen der Anwendung zugreifen, ohne sich zuvor ordnungsgemäß anmelden zu müssen. Die normalerweise vorgeschaltete Zugangskontrolle greift hier also nicht, sodass auch nicht berechtigte Nutzer abgeschottete Bereiche der Verwaltung erreichen. Damit lassen sich Aktionen ausführen oder Daten einsehen, die eigentlich nur authentifizierten Benutzern vorbehalten sein sollten. Besonders kritisch ist das, weil EPMM und MobileIron Core zentral die mobilen Endgeräte einer Organisation verwalten – ein unautorisierter Zugriff auf diese Verwaltungsschicht kann sich auf den gesamten verwalteten Gerätebestand und die darüber gesteuerten Konfigurationen auswirken. Die Lücke ist eine eigenständige Schwäche und nicht mit der früher gemeldeten Umgehungsschwachstelle identisch.