严重的Ivanti EPM 漏洞可导致黑客劫持已注册设备

Ivanti EPM 有助于管理运行大量平台的客户端设备，如 Windows、macOS、Chrome OS 和物联网操作系统等。该漏洞的编号是CVE-2023-39366，影响所有受支持的 Ivanti EPM 版本，已在版本2022 Service Update 5 中修复。

有权限访问目标内网的攻击者可在无需权限或用户交互的低复杂度攻击中利用该漏洞。Ivanti 公司指出，“如漏洞遭利用，则有权限访问内网的攻击者可在无需认证的情况下，利用未指定SQL注入漏洞执行任意SQL查询并检索输出。之后攻击者可控制运行该 EPM 代理的机器。当核心服务器被配置为使用 SQL express 时，可能导致在核心服务器上执行RCE。”

Ivanti 公司表示，目前尚无证据表明客户受利用该漏洞的攻击者影响。目前，该公司禁止访问包含所有详情的安全公告，可能是为了让客户有更多的时间加固设备安全，以防威胁行动者利用更多信息制造利用。

已遭在野利用的 0day 漏洞

7月份，国家黑客组织利用位于 Ivanti EPMM 中的两个漏洞CVE-2023-35078和CVE-2023-35081 渗透到挪威多个政府组织机构网络。

CISA 当时提醒称，“移动设备管理系统备受攻击者欢迎，因为这些系统提供了数千台移动设备的提升权限，而APT 阻止此前曾利用过一个 MobileIron 漏洞。因此CISA和NCSC-NO 担心政府和私营网络遭大规模利用。”

第三个0day漏洞 (CVE-2023-38035) 位于 Ivanti 的 Sentry 软件中，也在一个月之后遭利用。该公司还在8月和12月修复了位于 Avalanche 企业移动设备管理解决方案中的十几个严重漏洞。Ivanti 公司的产品客户遍布全球4万多家企业，帮助它们管理IT资产和系统。