cve - 2023 - 35078: Ivanti端点管理器移动(EPMM) / MobileIron核心未经身份验证的API访问漏洞
![一个零日漏洞(标识为cve - 2023 - 35078)在Ivanti端点管理器移动(EPMM)以前MobileIron的核心是利用野生在有限的攻击](http://www.yyueer.com/de/sites/default/files/images/articles/Blog-Research-CEA-0DayWild-Max-Quality_2.jpg)
关键漏洞从Ivanti流行的移动设备管理解决方案已经在野外利用有限的攻击
7月28日更新:背景、概念验证解决方案并确定影响系统和获得更多的信息部分已经更新,突出新披露的零日漏洞在Ivanti EPMM (cve - 2023 - 35081),是利用在野外与cve - 2023 - 35078。
背景
7月24日来自Heise Online的帖子(英语翻译)详细最近修补零日漏洞在Ivanti端点管理器移动(EPMM),移动管理软件,可用于移动设备管理(MDM),移动应用程序管理(MAM)和移动内容管理(MCM)。原名MobileIron的核心之前在2020年收购Ivanti。
CVE | 描述 | CVSSv3 | 严重程度 |
---|---|---|---|
cve - 2023 - 35078 | Ivanti端点管理器移动(EPMM)认证绕过漏洞 | 10.0 | 至关重要的 |
Ivanti发表了一博客和公众咨询对于这个漏洞,其中包含额外的信息,然而更多的细节可以在知识库(KB)文章只有Ivanti客户访问。
Ivanti 7月28日公布了一份咨询一个额外的脆弱性,在野外利用零日和用于结合cve - 2023 - 35078。
CVE | 描述 | CVSSv3 | 严重程度 |
---|---|---|---|
cve - 2023 - 35081 | Ivanti端点管理器移动(EPMM)任意文件写的脆弱性 | 7.2 | 高 |
记忆的研究人员因发现这个额外的零日漏洞。在一篇博客文章的缺陷研究人员说,他们观察到“被用于结合cve - 2023 - 35078编写JSP和Java . class文件到磁盘”。
分析
cve - 2023 - 35078是一个认证绕过漏洞Ivanti EPMM。一个未经身份验证的远程攻击者可以利用这个漏洞获得服务器的应用程序编程接口(API),通常只有通过身份验证的用户访问。成功的开发将使攻击者能够访问根据“特定API的路径”警戒级别从网络安全和基础设施安全机构(CISA)。
这些API路径可能允许攻击者获得个人身份信息(PII)从服务器,可能包括但不限于姓名、电话号码和移动设备的细节被EPMM管理。
此外,攻击者可能会利用无限制的API路径修改服务器的配置文件,这可能导致服务器上创建一个管理员账户,允许攻击者“脆弱的系统做出进一步更改。”
知识库文章局限于客户
更多细节周围的cve - 2023 - 35078是目前限制知识库文章这只是访问客户提供有效的登录凭证。站得住脚的访问提供了支持我们的博客文章,反映了我们目前所知道的关于这个弱点。
证实了利用零日cve - 2023 - 35078
根据知识库文章和博客Ivanti以及BleepingComputer报告在野外,漏洞被利用零日”与一个非常小的数量的客户(例如,小于10)。”这篇文章没有提供任何其他细节关于在野外的剥削。知识库文章建议如果客户认为他们受到影响,他们可以从Ivanti请求一个“分析指导”文档支持。
攻击12挪威政府部门与cve - 2023 - 35078
安全研究员和Runa山特维克Granitt创始人指出,据LinkedIn发布从Nasjonal sikkerhetsmyndighet,挪威国家安全机关网络攻击12挪威政府部门7月12日首次发现与开发cve - 2023 - 35078:
挪威国家安全机关共享供应链攻击的细节透露今天早上:0天Ivanti端点管理器,政府安全使用和服务组织(DSS)。https://t.co/TYLWVCGUOn
——Runa山特维克(@runasand)2023年7月25日
探索脆弱EPMM系统已经开始了
安全研究员凯文·博蒙特称为脆弱性”完全坚果,”并补充说他设置蜜罐是“通过API已经探索”
概念验证
在这篇文章发表的时候,没有可用的公共概念验证cve - 2023 - 35078和cve - 2023 - 35081。
解决方案
下表详细信息的影响和固定版本Ivanti EPMM cve - 2023 - 35078和cve - 2023 - 35081:
CVE-ID | 影响版本的EPMM | 固定的版本EPMM |
---|---|---|
cve - 2023 - 35078 | 11.10.1下面 | 11.10.0.2及以上 |
11.9.1.0下面 | 11.9.1.1及以上 | |
11.8.1.0下面 | 11.8.1.1及以上 | |
cve - 2023 - 35081 | 11.10.0.2下面 | 11.10.0.3 |
11.9.1.1下面 | 11.9.1.2 | |
11.8.1.1下面 | 11.8.1.2 |
Ivanti还强调,不支持的版本的EPMM 11.8.1.0之前(cve - 2023 - 35078)和11.8.1.1 (cve - 2023 - 35081)也受到影响,建议客户使用这些不受支持的版本升级到支持的版本。然而,如果升级是不可能解决cve - 2023 - 35078, Ivanti的形式提供了一个临时修复一个RPM包管理器文件,将继续在升级后重新启动,但是不会持续下去。在应用RPM补丁的更多信息,客户应该参考知识库文章。
确定影响系统
组织使用Ivanti EPMM可以利用以下检测插件识别资产在它们的环境中:
*请注意,这些插件的名称如有更改,恕但插件id将保持不变。
站得住脚的插件的列表来确定可以位于单独的CVE页cve - 2023 - 35078和cve - 2023 - 35081当他们被释放。这个链接将显示所有可用的插件对于每一个漏洞,包括在我们即将到来的插件插件管道。
获得更多的信息
- Heise Online文章:Ivanti零日差距MobileIron关门
- Ivanti博客:cve - 2023 - 35078 -新Ivanti EPMM脆弱性
- Ivanti 000087041条cve - 2023 - 35078 -远程未经身份验证的API访问漏洞
- Ivanti KB远程未经身份验证的API访问漏洞- cve - 2023 - 35078
- Ivanti 000087119条cve - 2023 - 35081 -远程任意文件编写
- KB远程任意文件写- cve - 2023 - 35081
- LinkedIn从挪威国家安全管理局(销售经理)
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于成立一个现代风险管理平台的攻击表面。
更改日志
7月28日更新:背景、概念验证解决方案并确定影响系统和获得更多的信息部分已经更新,突出新披露的零日漏洞在Ivanti EPMM (cve - 2023 - 35081),是利用在野外与cve - 2023 - 35078。
相关文章
- 风险管理
- 风险管理