CISA 警告 Ivanti EPMM 漏洞正在被广泛利用

美国网络安全和基础设施安全局（CISA）周四在其已知利用漏洞（KEV）目录中添加了一个影响Ivanti Endpoint Manager Mobile（EPMM）和MobileIron Core的现已修补的关键漏洞，称该漏洞正在被广泛利用。

有问题的漏洞是 CVE-2023-35082（CVSS 分数：9.8），这是一个身份验证绕过，它是跟踪为 CVE-2023-35078（CVSS 分数：10.0）的同一解决方案中另一个缺陷的补丁绕过。

Ivanti 在 2023 年 8 月指出：“如果被利用，此漏洞将使未经授权的远程（面向互联网）行为者能够潜在地访问用户的个人身份信息，并对服务器进行有限的更改。

Ivanti Endpoint Manager Mobile （EPMM） 11.10、11.9 和 11.8 以及 MobileIron Core 11.7 及更低版本的所有版本均受此漏洞影响。

发现并报告该漏洞的网络安全公司 Rapid7 表示，它可以与 CVE-2023-35081 链接，以允许攻击者将恶意 Web Shell 文件写入设备。

目前还没有关于该漏洞如何在实际攻击中被武器化的细节。建议联邦机构在 2024 年 2 月 8 日之前应用供应商提供的修复程序。

Ivanti Connect Secure （ICS） 虚拟专用网络 （VPN） 设备中的另外两个零日漏洞（CVE-2023-46805 和 CVE-2024-21887）也遭到大规模利用，以丢弃 Web Shell 和被动后门，该公司预计将在下周发布更新。

“我们观察到威胁行为者针对系统的配置和运行缓存，其中包含对VPN运行很重要的秘密，”Ivanti在一份公告中说。

“虽然我们并非在所有情况下都观察到这一点，但出于谨慎考虑，Ivanti 建议您在重建后轮换这些秘密。”

本周早些时候，Volexity透露，它已经能够找到全球1,700多种设备遭到入侵的证据。虽然最初的攻击与一个名为 UTA0178 的疑似中国威胁行为者有关，但此后其他威胁行为者也加入了攻击行列。

Assetnote 对孪生缺陷的进一步逆向工程发现了一个额外的端点（“/api/v1/totp/user-backup-code”），通过该端点，身份验证绕过缺陷 （CVE-2023-46805） 可在旧版本的 ICS 上被滥用并获得反向 shell。

安全研究人员 Shubham Shah 和 Dylan Pindur 将其描述为“由于相对简单的安全错误而导致安全 VPN 设备暴露于大规模利用的另一个例子”。