最后更新于2024年2月27日星期二17:17:44 GMT
CVE-2023-35078是Ivanti Endpoint 经理 Mobile中的一个远程未经身份验证的API访问漏洞, 它之前被称为MobileIron Core. 该漏洞的CVSS v3基本得分为 10.0 其严重程度为 至关重要的.
Ivanti报告称,他们从可靠来源收到信息,表明CVE-2023-35078正在被积极利用. A 供应商提供的补丁 CVE-2023-35078于2023年7月24日发布.
Background
Ivanti Endpoint 经理 Mobile (EPMM)用于配置和管理移动设备,并在这些设备上实施安全策略. 根据 Ivanti咨询, 如果利用, CVE-2023-35078启用未授权的, 远程(面向internet)参与者可能访问用户的个人身份信息并对服务器进行有限的更改.
2023年7月24日,挪威国家安全局(NSM) 发表声明 CVE-2023-35078在一次零日攻击中被用来成功入侵挪威安全与服务组织(DSS)。. 此外,美国的网络安全 & 基础设施安全局(中钢协)也有 发布公告 对于漏洞以及将漏洞添加到他们的 已知被利用的漏洞 (凯文)目录.
根据中钢协的建议, 该漏洞允许未经身份验证的远程攻击者访问个人身份信息(PII),并在受影响的EPMM服务器上添加管理员帐户, 允许进一步的系统妥协.
Shadowserver项目已经列出 2729个IP地址 在互联网上仍然容易受到该问题的影响(截至2023年7月24日).
目前,没有已知的公共漏洞代码可用(截至2023年7月26日). 如果公开利用代码可用, 我们期望更广泛地利用脆弱的面向互联网的系统. 建议运行受影响软件的组织尽快应用供应商补丁.
受影响的产品
请注意: 随着我们对威胁了解的越来越多,有关受影响版本或可利用性需求的信息可能会发生变化.
CVE-2023-35078影响供应商补丁之前所有支持的Ivanti Endpoint 经理 Mobile (EPMM)版本:
- 11.10
- 11.9
- 11.8
不再接受支持的产品版本也会受到影响, 伊万蒂已经发布了一个变通方案作为他们回应的一部分.
Ivanti已经发布了以下补丁来修复这个问题:
- 11.10.0.2
- 11.9.1.1
- 11.8.1.1
妥协指标(IoC)
设备上存储的Apache HTTP日志中显示了以下泄漏指标.
日志文件 /var/log/httpd/http-access_log 将有一个条目显示对目标API端点的请求,其中包含 / mif /广告/ api / v2 / 并显示HTTP响应代码200. 被阻止的利用尝试将显示HTTP响应代码401或403. 例如:
192.168.86.34:58482——2023-07-27——13-01-39 "GET / mif /广告/ api / v2 /ping HTTP/1.1" 200 "-" 68 "-"卷曲/8.0.1" 2509
Rapid7客户
安装补丁或解决方案的说明可在 伊凡蒂的知识库文章 (需要免费登录才能访问).
今晚(7月26日),InsightVM客户将可以使用未经身份验证的(远程)检查, 2023)内容发布.
更新
2023年7月28日: 中钢协 发出新警报 为 cve - 2023 - 35081, Ivanti EPMM中的远程任意文件写入漏洞. 中钢协和Ivanti都证实,新的CVE在野外被利用,并与CVE-2023-35078连接在一起,在受感染的系统上远程执行恶意代码.
