Last updated at Fri, 19 Jan 2024 10:24:39 GMT
When this blog was originally published on August 2, it said that cve - 2023 - 35082 only affected MobileIron Core 11.2 和 earlier, which are unsupported. On August 7, Ivanti published an 更新咨询 noting that since originally disclosing cve - 2023 - 35082, 他们继续调查并发现该漏洞影响所有版本的Ivanti Endpoint 经理 Mobile (EPMM) 11.10, 11.9和11.8, MobileIron Core 11.7岁及以下. 被利用的风险取决于单个客户的配置.
概述
在调查 cve - 2023 - 35078, 在Ivanti Endpoint 经理 Mobile和MobileIron Core中存在一个严重的API访问漏洞,该漏洞在野外被利用, Rapid7发现了一个新的漏洞,允许未经身份验证的攻击者访问API(最初认为只影响11.2及以下). Rapid7于2023年7月26日向Ivanti报告了此漏洞 vulnerability disclosure policy. The new vulnerability was assigned cve - 2023 - 35082.
Since cve - 2023 - 35082 arises from the same place as cve - 2023 - 35078, specifically the permissive nature of certain entries in the mif
web application’s security filter chain, Rapid7会认为这个新漏洞是cve - 2023 - 35078的补丁绕过. For additional context on cve - 2023 - 35078 和 its impact, see Rapid7’s emergent threat response blog here 和我们的 AttackerKB评估 的弱点.
注意: 美国.S. Cybersecurity 和 Infrastructure Security Agency (CISA) has 添加cve - 2023 - 35082 to its Known Exploited Vulnerabilities (KEV) list as of January 18, 2024.
产品描述
Ivanti Endpoint 经理 Mobile (EPMM), 前身为MobileIron Core, is a management platform that allows an organization to manage mobile devices such as phones 和 tablets; enforcing content 和 application policies on these devices. The product was previously called MobileIron Core, 和 was rebr和ed to Endpoint 经理 Mobile after 伊凡蒂收购了MobileIron in 2020.
版本11.8 和 above of the product are Endpoint 经理 Mobile. Rapid7确定的易受cve - 2023 - 35082攻击的产品版本是MobileIron Core. 在8月2日首次披露之前,Ivanti告诉Rapid7 cve - 2023 - 35082 影响 the following versions of the product:
- MobileIron Core 11.2及以下
的 2023年8月7日Ivanti表示,cve - 2023 - 35082会影响以下版本的产品:
- Endpoint 经理 Mobile 11.10
- Endpoint 经理 Mobile 11.9
- Endpoint 经理 Mobile 11.8
- MobileIron Core 11.7岁及以下
伊凡蒂有一个 此处提供最新建议 截至8月7日.
信贷
这个问题最初是由Stephen less(微软首席安全研究员)发现的 Rapid7, 和 is being disclosed in accordance with Rapid7's vulnerability disclosure policy. Rapid7谢谢 Florian豪泽 of 代码的白色 我们注意到,在代码的白色进行的测试中,新版端点管理器移动版似乎容易受到cve - 2023 - 35082的攻击.
供应商声明
Ivanti provided the following updated statement to Rapid7 on August 7:
我们非常感谢Rapid7和Stephen less在MobileIron Core / Ivanti EPMM中发现了一个现在报告为cve - 2023 - 35082的问题. Ivanti现在有一个可用的RPM脚本,并且正在与客户一起帮助他们应用修复.
我们正在继续对Ivanti Endpoint 经理 Mobile (EPMM)进行调查,并积极与客户合作,以降低风险并保护他们的环境. We will continue to update the Ivanti blog as we have more information.
影响
cve - 2023 - 35082允许远程未经身份验证的攻击者访问暴露的管理服务器上的API端点. 攻击者可以使用这些API端点来执行大量操作 API官方文件, 包括披露个人身份信息(PII)和对平台执行修改的能力. 另外, should a separate vulnerability be present in the API, an attacker can chain these vulnerabilities together. 例如, cve - 2023 - 35081 是否可以与cve - 2023 - 35082链接,以允许攻击者将恶意webshell文件写入设备, which may then be executed by the attacker.
剥削
在我们对cve - 2023 - 35078的测试中,我们访问了MobileIron Core版本11.2.0.0-31. 在复制原始漏洞后,我们继续应用Ivanti的热修复程序 ivanti-security-update-1.0.0-1.noarch.rpm
根据 Ivanti 知识库文章 000087042. We verified that the hotfix does successfully remediate cve - 2023 - 35078. 然而, 我们发现了同一攻击的一种变体,它允许远程攻击者在没有身份验证的情况下访问API端点.
First we installed MobileIron Core 11.2.0.0-31和验证,我们可以利用cve - 2023 - 35078访问未经身份验证的API端点. 注意,其中包含 /广告/
段,以利用原始漏洞cve - 2023 - 35078.
c:\> curl -k http://192.168.86.103 / mif /广告/ api / v2 /平
{"结果":{“apiVersion”:2.0,“vspVersion”:“垂直地震剖面11.2.0.0 Build 31 "}}
We then installed the vendor-supplied hotfix ivanti-security-update-1.0.0-1.noarch.rpm
. 在我们重启系统之后, 我们验证了热修复程序可以防止上面显示的原始漏洞利用请求.
c:\> curl -k http://192.168.86.103 / mif /广告/ api / v2 /平
HTTP Status 403 - Access is denied
You are unauthorized to access this page.
hi合乐
Lottery-website-hr@u-m-a-nama-lucky.net
亚游国际
MGM-Mirage-marketing@nebrass.net
天博全站
Buying-platform-media@mschild.net
南海网-健康海南 海南权威健康门户
TG反波胆
畅想软件
356-Sports-media@fukushi-j.net
联络互动
追追漫画
Top-10-electronic-games-sales@eurofans.net
合肥生活网
上饶招聘网
kok买球
365-Sports-Betting-hr@bjseiwooeng.com
Top-10-electronic-games-help@bube-berlin.com
Casinos-in-Macau-feedback@qhooo.net
长仪股份
有缘网婚恋交友
如皋新闻网
广西糖网
易成新能
绿色关注
设计圈
重庆医药高等专科学校
楚楚街
我淘卡
生命动力
站点地图
临海房产网
每日金融
天台教育信息网
然而, 上述请求的一个变体仍然可以在没有身份验证的情况下访问API端点, 如下所示. 注意的用法 / asfV3 /
in the URL path in place of the original exploit’s use of /广告/
.
c:\> curl -k http://192.168.86.103 / mif / asfV3 / api / v2 /平
{"结果":{“apiVersion”:2.0,“vspVersion”:“垂直地震剖面11.2.0.0 Build 31 "}}
妥协指标
设备上存储的Apache HTTP日志中显示了以下泄漏指标.
日志文件 /var/log/httpd/http-access_log
将有一个条目显示对目标API端点的请求,其中包含 / mif / asfV3 / api / v2 /
在小路上 with a HTTP response code of 200. 被阻止的利用尝试将显示HTTP响应代码401或403. 例如:
192.168.86.34:61736 - - 2023-07-28--15-24-51 "GET / mif / asfV3 / api / v2 /ping HTTP/1.1" 200 "-" 68 "-"卷曲/8.0.1" 3285
类似地,日志文件 /var/log/httpd/http-request_log
将有一个条目显示对目标API端点的请求,其中包含 / mif / asfV3 / api / v2 /
在小路上. 例如:
2023-07-28--15-24-51 192.168.86.34 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384 "GET / mif / asfV3 / api / v2 /ping HTTP/1.1“68”-“”卷曲/8.0.1"
Note that log entries containing / mif / asfV3 / api / v2 /
路径中的漏洞表明利用了cve - 2023 - 35082,而日志条目中包含 / mif /广告/ api / v2 /
在小路上 indicate exploitation of cve - 2023 - 35078.
修复
正如他们的 咨询, 伊凡蒂有一个 RPM Fix for versions 11.10 to 11.3 available 截至8月7日, 2023. Customers on older versions should first upgrade to 11.10,然后应用RPM修复. More information is available in a 知识库文章 on the Ivanti Community portal.
Rapid7建议MobileIron Core客户尽快升级到受支持的版本. 运行易受cve - 2023 - 35082攻击的端点管理器移动版本的客户应尽快应用Ivanti的RPM修复程序, without waiting for a regular patch cycle to occur.
Rapid7客户
截至8月2日,InsightVM和expose客户可以使用cve - 2023 - 35082的未经身份验证的漏洞检查, 2023年内容发布.
时间轴
- 2023年7月26日: Rapid7 sends disclosure information to Ivanti security.
- 2023年7月28日: Rapid7通过第二个渠道联系伊凡蒂,确认收到披露信息. Ivanti confirms initial disclosure was not received. Rapid7 resends disclosure documents. 伊凡蒂确认收到.
- 2023年7月28日: 伊万蒂证实了这一发现.
- 2023年7月31日: Ivanti confirms a security 咨询 will be published, 要求与Rapid7通电话,解决他们认为我们披露的不准确之处.
- 2023年8月1日: Rapid7和Ivanti讨论了两个漏洞(cve - 2023 - 35078, cve - 2023 - 35082). Rapid7同意更新这一披露,澄清伊万蒂的观点. Rapid7 also agrees to clarify product terminology (i.e., that cve - 2023 - 35082 only 影响 MobileIron Core, 而不是后来更名为Endpoint 经理 Mobile的产品版本).
- 2023年8月2日: 这种披露.
- 2023年8月3日至4日: 外部研究联系人; Florian豪泽 白色代码, 我们联系了Rapid7,透露他们已经发现最新版本的Endpoint 经理 Mobile, 11.10.03 Build 2在特定配置下易受cve - 2023 - 35082攻击. Rapid7 contacts Ivanti, who indicates they are investigating.
- 2023年8月6日: Ivanti向Rapid7证实,该产品的其他版本容易受到cve - 2023 - 35082的攻击, proposes an August 7 disclosure that will note new fixes.
- 2023年8月7日: 更新后的披露.
- 2024年1月18日: 美国.S. Cybersecurity 和 Infrastructure Security Agency (CISA) has 添加cve - 2023 - 35082 to its Known Exploited Vulnerabilities (KEV) list.