cve - 2023 - 38035: Ivanti哨兵API认证绕过零日利用在野外

在一个月内第三次,Ivanti揭露一个零日漏洞的一个产品,已经在野外利用

背景

8月21日,Ivanti发布一个顾问的一个关键漏洞Ivanti哨兵(原名MobileIron哨兵,一个安全的移动网关是Ivanti统一端点管理的一部分(UEM)平台。

披露这个漏洞是记忆的研究人员认为,发表自己的博客的发现。

分析

cve - 2023 - 38035是一个认证绕过漏洞MobileIron配置服务(麦克风)管理门户的Ivanti哨兵系统管理器。默认情况下,系统管理器管理门户访问通过TCP端口8443。一个未经身份验证的远程攻击者可以利用这个漏洞通过发送一个请求到脆弱的管理门户设计的比较特别的查询。成功开发允许攻击者执行各种各样的操作包括修改系统配置,执行系统命令,以及写文件到磁盘上。

在其知识库文章缺陷,Ivanti明确指出恶意利用这个漏洞的演员可能“在设备上执行操作系统命令作为根。”

零日攻击链中发现涉及端点移动管理(EPMM)缺陷

在相同的知识库文章,Ivanti证实了cve - 2023 - 38035是在野外利用零日漏洞“有限数量的客户。“Ivanti还说他们“通知”的剥削的攻击链涉及两个最近的零日漏洞Ivanti端点管理器移动(EPMM)。

第一个弱点,cve - 2023 - 35078,这是首次披露7月24日,是一个零日漏洞在Ivanti EPMM是利用在野外对十二挪威政府部门早在2023年4月。第二个弱点,cve - 2023 - 35081披露,7月28日,是另一个在EPMM零日漏洞,还利用在野外。就像cve - 2023 - 38035,它的发现是也研究人员认为记忆。

概念验证

8月23日,研究人员Horizon3攻击团队发表了博客和一个概念验证(PoC)利用cve - 2023 - 35078。

解决方案

解决这个漏洞,Ivanti发布了RPM包管理器支持版本的脚本。

有关如何使用RPM脚本的更多信息,请参阅该决议Ivanti的部分知识库文章。

虽然Ivanti建议升级来解决这个问题,他们提供缓解指导确保端口8443并不是互联网访问通过阻断外部访问防火墙。虽然这不是一个完整的决议,建议只用于如果修补不是一个选择。我们强烈建议尽快升级。

确定影响系统

站得住脚的插件的列表来确定可以位于单独的CVE页面cve - 2023 - 38035当他们被释放。这个链接将显示所有可用的插件对于这个漏洞,包括在我们即将到来的插件插件管道。

此外,客户可以利用以下插件识别Ivanti哨兵资产在它们的环境中:

• 门户插件ID 180021: Ivanti哨兵系统管理器检测
• 插件ID 180099: Ivanti哨兵检测

获得更多的信息

• Ivanti博客:cve - 2023 - 38035 -脆弱性影响Ivanti哨兵
• Ivanti 000087498条cve - 2023 - 38035 - API认证绕过哨兵管理员接口上
• Ivanti解决和缓解指导cve - 2023 - 38035

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于开云app安装不了怎么办 现代风险管理平台的攻击表面。