Vulnerabilidad en el archivo com/mobileiron/common/utils/C4928m.java en los agentes de MobileIron para Android e iOS (CVE-2020-35138)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
29/03/2021
Última modificación:
04/08/2024
Descripción
** EN DISPUTA ** Los agentes de MobileIron hasta el 2021-03-22 para Android e iOS contienen una clave de cifrado codificada, utilizada para cifrar el envío de los detalles de nombre de usuario/contraseña durante el proceso de autenticación, tal y como demuestra Mobile@Work (también conocido como com.mobileiron). La clave se encuentra en el archivo com/mobileiron/common/utils/C4928m.java. NOTA: Se ha afirmado que no existe ninguna causalidad o conexión entre el cifrado de credenciales y el ataque MiTM
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mobileiron:mobile\@work:*:*:*:*:*:android:*:* | 2021-03-22 (incluyendo) | |
| cpe:2.3:a:mobileiron:mobile\@work:*:*:*:*:*:iphone_os:*:* | 2021-03-22 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/optiv/rustyIron
- https://play.google.com/store/apps/details?id=com.mobileiron&hl=en_US&gl=US
- https://www.ivanti.com/blog/a-warranted-response-to-inaccurate-optiv-research
- https://www.optiv.com/explore-optiv-insights/source-zero/mobileiron-mdm-contains-static-key-allowing-account-enumeration
- https://www.optiv.com/insights/source-zero/blog/mobileiron-mdm-contains-static-key-allowing-account-enumeration