CISA 警告 Ivanti EPMM 漏洞正在被广泛利用
2024-1-19 15:1:37 Author: hackernews.cc(查看原文) 阅读量:4 收藏

HackerNews 编译,转载请注明出处:

美国网络安全和基础设施安全局(CISA)在周四将一个已经修复的关键漏洞添加到其已知被利用漏洞(KEV)目录中,该漏洞影响了 Ivanti Endpoint Manager Mobile(EPMM)和 MobileIron Core ,并正在被广泛利用。

有问题的漏洞是 CVE-2023-35082(CVSS 分数:9.8),这是一个身份验证绕过漏洞,是对同一解决方案中另一个漏洞 CVE-2023-35078(CVSS 分数:10.0)的修补绕过。

Ivanti 在 2023 年 8 月指出:“如果此漏洞被利用,未经授权的远程(面向互联网)黑客能够潜在地访问用户的个人身份信息,并对服务器进行有限的更改。”

漏洞影响到所有版本的 Ivanti Endpoint Manager Mobile(EPMM),包括 11.10、11.9 和 11.8,还有 MobileIron Core 的 11.7 及以下版本。

发现并报告该漏洞的网络安全公司 Rapid7 表示,它可以与 CVE-2023-35081 链接,以允许黑客将恶意 Web Shell 文件写入设备。

目前还没有关于该漏洞如何在实际攻击中被武器化的详细信息。建议联邦机构在 2024 年 2 月 8 日之前应用供应商提供的修复程序。

Ivanti Connect Secure (ICS)虚拟专用网络(VPN)设备中的另外两个零日漏洞(CVE-2023-46805 和 CVE-2024-21887)也遭到大规模利用, 用于投放 Web Shell 和设置被动后门,该公司预计将在下周发布更新。

Ivanti 在一份咨询中表示:“我们已经观察到黑客瞄准系统的配置和运行缓存,其中包含对 VPN 操作至关重要的秘密。”

“虽然我们没有在每个实例中观察到这种情况,但出于谨慎起见,Ivanti 建议您在重建后更换这些秘密。”

本周早些时候,Volexity 透露已经能够找到全球 1,700 多种设备遭到入侵的证据。虽然最初的攻击与一名疑似中国黑客(代号 UTA0178)有关,但后来还有其他黑客加入了攻击行列。

Assetnote 对这两个相关漏洞进行了深入的逆向工程分析,发现了一个额外的端点(”/api/v1/totp/user-backup-code”),通过该端点,身份验证绕过漏洞(CVE-2023-46805)可在旧版本的 ICS 上被滥用并获得反向 shell。

安全研究人员 Shubham Shah 和 Dylan Pindur 将其描述为“由于相对简单的安全错误而导致安全 VPN 设备暴露于大规模利用的另一个例子”。


消息来源:thehackernews,译者:Claire;  

本文由 HackerNews.cc 翻译整理,封面来源于网络;  

转载请注明“转自 HackerNews.cc”并附上原文


文章来源: https://hackernews.cc/archives/49323
如有侵权请联系:admin#unsafe.sh