cve - 2023 - 35078: Ivanti端点管理器移动(EPMM) / MobileIron核心未经身份验证的API访问漏洞

关键漏洞从Ivanti流行的移动设备管理解决方案已经在野外利用有限的攻击

背景

7月24日来自Heise Online的帖子(英语翻译)详细最近修补零日漏洞在Ivanti端点管理器移动(EPMM),移动管理软件,可用于移动设备管理(MDM),移动应用程序管理(MAM)和移动内容管理(MCM)。原名MobileIron的核心之前在2020年收购Ivanti。

Ivanti发表了一博客和公众咨询对于这个漏洞,其中包含额外的信息,然而更多的细节可以在知识库(KB)文章只有Ivanti客户访问。

分析

cve - 2023 - 35078是一个认证绕过漏洞Ivanti EPMM。一个未经身份验证的远程攻击者可以利用这个漏洞获得服务器的应用程序编程接口(API),通常只有通过身份验证的用户访问。成功的开发将使攻击者能够访问根据“特定API的路径”警戒级别从网络安全和基础设施安全机构(CISA)。

这些API路径可能允许攻击者获得个人身份信息(PII)从服务器,可能包括但不限于姓名、电话号码和移动设备的细节被EPMM管理。

此外,攻击者可能会利用无限制的API路径修改服务器的配置文件,这可能导致服务器上创建一个管理员账户,允许攻击者“脆弱的系统做出进一步更改。”

知识库文章局限于客户

更多细节周围的cve - 2023 - 35078是目前限制知识库文章这只是访问客户提供有效的登录凭证。站得住脚的访问提供了支持我们的博客文章,反映了我们目前所知道的关于这个弱点。

证实了利用零日cve - 2023 - 35078

根据知识库文章和博客Ivanti以及BleepingComputer报告在野外,漏洞被利用零日”与一个非常小的数量的客户(例如,小于10)。”这篇文章没有提供任何其他细节关于在野外的剥削。知识库文章建议如果客户认为他们受到影响,他们可以从Ivanti请求一个“分析指导”文档支持。

攻击12挪威政府部门与cve - 2023 - 35078

安全研究员和Runa山特维克Granitt创始人指出,据LinkedIn发布从Nasjonal sikkerhetsmyndighet,挪威国家安全机关网络攻击12挪威政府部门7月12日首次发现与开发cve - 2023 - 35078:

挪威国家安全机关共享供应链攻击的细节透露今天早上:0天Ivanti端点管理器,政府安全使用和服务组织(DSS)。https://t.co/TYLWVCGUOn

——Runa山特维克(@runasand)2023年7月25日

探索脆弱EPMM系统已经开始了

安全研究员凯文·博蒙特称为脆弱性”完全坚果,”并补充说他设置蜜罐是“通过API已经探索”

概念验证

在这篇文章发表的时候,没有公众的概念用于cve - 2023 - 35078。

解决方案

分析了基于知识库文章,7月25日,下面的表细节的影响和固定版本Ivanti EPMM:

Ivanti还强调,不支持的版本的EPMM 11.8.1.0之前也受到影响,建议客户使用这些不受支持的版本升级到支持的版本。然而,如果升级是不可能的,Ivanti的形式提供了一个临时修复一个RPM包管理器文件,将继续在升级后重新启动,但是不会持续下去。在应用RPM补丁的更多信息,客户应该参考知识库文章。

确定影响系统

组织使用Ivanti EPMM可以利用以下检测插件识别资产在它们的环境中:

*请注意,这些插件的名称如有更改,恕但插件id将保持不变。

站得住脚的插件的列表来确定这个漏洞将会出现在这里当他们被释放。这个链接将显示所有可用的插件等cve - 2023 - 35078即将到来的插件中插件管道。

获得更多的信息

• Heise Online文章:Ivanti零日差距MobileIron关门
• Ivanti博客:cve - 2023 - 35078 -新Ivanti EPMM脆弱性
• Ivanti 000087041条cve - 2023 - 35078 -远程未经身份验证的API访问漏洞
• LinkedIn从挪威国家安全管理局(销售经理)

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于成立一个现代风险管理平台的攻击表面。