cve - 2023 - 35082 - MobileIron Core未经认证的API访问漏洞

最后更新于2024年1月19日(星期五)10:24:39 GMT

当这个博客最初于8月2日发布时, 该公司表示，cve - 2023 - 35082仅影响MobileIron Core 11.2和更早的版本，不支持. 8月7日，伊万蒂发表了一篇文章 更新咨询 注意，自从最初披露cve - 2023 - 35082以来, 他们继续调查并发现该漏洞影响所有版本的Ivanti Endpoint 经理 Mobile (EPMM) 11.10, 11.9和11.8, MobileIron Core 11.7岁及以下. 被利用的风险取决于单个客户的配置.

概述

在调查 cve - 2023 - 35078, 在Ivanti Endpoint 经理 Mobile和MobileIron Core中存在一个严重的API访问漏洞，该漏洞在野外被利用, Rapid7发现了一个新的漏洞，允许未经身份验证的攻击者访问API(最初认为只影响11.2及以下). Rapid7于2023年7月26日向Ivanti报告了此漏洞 漏洞披露策略. 分配了新的漏洞 cve - 2023 - 35082.

因为cve - 2023 - 35082和cve - 2023 - 35078来自同一个地方, 特别是某些条目的许可性质 mif Web应用程序的安全过滤器链, Rapid7会认为这个新漏洞是cve - 2023 - 35078的补丁绕过. 有关cve - 2023 - 35078及其影响的其他背景信息，请参阅Rapid7 紧急威胁响应博客在这里 和我们的 AttackerKB评估 的弱点.

注意: 美国.S. 网络安全和基础设施安全局(CISA) 添加cve - 2023 - 35082 到2024年1月18日的已知利用漏洞(KEV)列表中.

产品描述

Ivanti Endpoint 经理 Mobile (EPMM), 前身为MobileIron Core, is a management platform that allows an organization to manage mobile devices such as phones 和 tablets; enforcing content 和 application policies on these devices. 该产品之前被称为MobileIron Core, 之后更名为Endpoint 经理 Mobile 伊凡蒂收购了MobileIron in 2020.

版本11.8及以上的产品均为移动终端管理器. Rapid7确定的易受cve - 2023 - 35082攻击的产品版本是MobileIron Core. 在8月2日首次披露之前，Ivanti告诉Rapid7 cve - 2023 - 35082 影响 以下产品版本:

• MobileIron Core 11.2及以下

的 2023年8月7日Ivanti表示，cve - 2023 - 35082会影响以下版本的产品:

• Endpoint 经理 Mobile 11.10
• Endpoint 经理 Mobile 11.9
• Endpoint 经理 Mobile 11.8
• MobileIron Core 11.7岁及以下

伊凡蒂有一个 此处提供最新建议 截至8月7日.

信贷

这个问题最初是由Stephen less(微软首席安全研究员)发现的 Rapid7，并根据 Rapid7的漏洞披露策略. Rapid7谢谢 Florian豪泽 of 代码的白色 我们注意到，在代码的白色进行的测试中，新版端点管理器移动版似乎容易受到cve - 2023 - 35082的攻击.

供应商声明

Ivanti于8月7日向Rapid7提供了以下更新声明:

我们非常感谢Rapid7和Stephen less在MobileIron Core / Ivanti EPMM中发现了一个现在报告为cve - 2023 - 35082的问题. Ivanti现在有一个可用的RPM脚本，并且正在与客户一起帮助他们应用修复.

我们正在继续对Ivanti Endpoint 经理 Mobile (EPMM)进行调查，并积极与客户合作，以降低风险并保护他们的环境. 我们将继续更新Ivanti博客，因为我们有更多的信息.

影响

cve - 2023 - 35082允许远程未经身份验证的攻击者访问暴露的管理服务器上的API端点. 攻击者可以使用这些API端点来执行大量操作 API官方文件, 包括披露个人身份信息(PII)和对平台执行修改的能力. 另外, API中是否应该存在单独的漏洞, 攻击者可以将这些漏洞链接在一起. 例如, cve - 2023 - 35081 是否可以与cve - 2023 - 35082链接，以允许攻击者将恶意webshell文件写入设备, 然后由攻击者执行.

剥削

在我们对cve - 2023 - 35078的测试中，我们访问了MobileIron Core版本11.2.0.0-31. 在复制原始漏洞后，我们继续应用Ivanti的热修复程序 ivanti-security-update-1.0.0-1.noarch.rpm 根据 Ivanti知识库文章000087042. 我们验证了热修复程序确实成功修复了cve - 2023 - 35078. 然而, 我们发现了同一攻击的一种变体，它允许远程攻击者在没有身份验证的情况下访问API端点.

首先我们安装了MobileIron Core 11.2.0.0-31和验证，我们可以利用cve - 2023 - 35078访问未经身份验证的API端点. 注意，其中包含 /广告/ 段，以利用原始漏洞cve - 2023 - 35078.

c:\> curl -k http://192.168.86.103 / mif /广告/ api / v2 /平
{"结果":{“apiVersion”:2.0,“vspVersion”:“垂直地震剖面11.2.0.0 Build 31 "}}

然后我们安装了供应商提供的修复程序 ivanti-security-update-1.0.0-1.noarch.rpm. 在我们重启系统之后, 我们验证了热修复程序可以防止上面显示的原始漏洞利用请求.

c:\> curl -k http://192.168.86.103 / mif /广告/ api / v2 /平


        
HTTP Status 403 - Access is denied
        
You are unauthorized to access this page.


Sports-betting-support@podobo.net
博彩网站大全
网赌平台
网赌平台
博彩公司排名
澳门新葡京博彩
吴江乐贤人才网
棋牌游戏
流量仙
万博
Regular-gaming-platform-service@buildingbook.net

哈尔滨违章查询网
五洲会海购
广东站_好大夫在线

海希通讯
福鼎人才网
58同城鹰潭分类信息网
贵港党建
911实时路况查询

然而, 上述请求的一个变体仍然可以在没有身份验证的情况下访问API端点, 如下所示. 注意的用法 / asfV3 / 在URL路径中替换原始漏洞的使用 /广告/.

c:\> curl -k http://192.168.86.103 / mif / asfV3 / api / v2 /平
{"结果":{“apiVersion”:2.0,“vspVersion”:“垂直地震剖面11.2.0.0 Build 31 "}}

妥协指标

设备上存储的Apache HTTP日志中显示了以下泄漏指标.

日志文件 /var/log/httpd/http-access_log 将有一个条目显示对目标API端点的请求，其中包含 / mif / asfV3 / api / v2 / HTTP响应码为200的路径. 被阻止的利用尝试将显示HTTP响应代码401或403. 例如:

192.168.86.34:61736——2023-07-28——15-24-51 "GET / mif / asfV3 / api / v2 /ping HTTP/1 ..1" 200 "-" 68 "-"卷曲/8.0.1" 3285

类似地，日志文件 /var/log/httpd/http-request_log 将有一个条目显示对目标API端点的请求，其中包含 / mif / asfV3 / api / v2 / 在小路上. 例如:

2023-07-28--15-24-51 192.168.86.34 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384 "GET / mif / asfV3 / api / v2 /ping HTTP/1 ..1“68”-“”卷曲/8.0.1"

请注意，日志条目包含 / mif / asfV3 / api / v2 / 路径中的漏洞表明利用了cve - 2023 - 35082，而日志条目中包含 / mif /广告/ api / v2 / 路径中存在cve - 2023 - 35078漏洞.

修复

正如他们的 咨询， Ivanti有一个版本11的RPM修复.10 to 11.截至2023年8月7日，3个可用. 使用旧版本的用户应首先升级到11.10，然后应用RPM修复. 更多信息请参见 知识库文章 在伊万蒂社区门户网站上.

Rapid7建议MobileIron Core客户尽快升级到受支持的版本. 运行易受cve - 2023 - 35082攻击的端点管理器移动版本的客户应尽快应用Ivanti的RPM修复程序, 无需等待常规补丁周期发生.

Rapid7客户

截至8月2日，InsightVM和expose客户可以使用cve - 2023 - 35082的未经身份验证的漏洞检查, 2023年内容发布.

时间轴

• 2023年7月26日: Rapid7向Ivanti安全发送披露信息.
• 2023年7月28日: Rapid7通过第二个渠道联系伊凡蒂，确认收到披露信息. 伊万蒂证实没有收到最初的披露. Rapid7重新发送披露文件. 伊凡蒂确认收到.
• 2023年7月28日: 伊万蒂证实了这一发现.
• 2023年7月31日: 伊万蒂确认将发布安全公告, 要求与Rapid7通电话，解决他们认为我们披露的不准确之处.
• 2023年8月1日: Rapid7和Ivanti讨论了两个漏洞(cve - 2023 - 35078, cve - 2023 - 35082). Rapid7同意更新这一披露，澄清伊万蒂的观点. Rapid7还同意澄清产品术语(如.e., cve - 2023 - 35082仅影响MobileIron Core, 而不是后来更名为Endpoint 经理 Mobile的产品版本).
• 2023年8月2日: 这种披露.
• 2023年8月3日至4日: 外部研究联系人; Florian豪泽 白色代码, 我们联系了Rapid7，透露他们已经发现最新版本的Endpoint 经理 Mobile, 11.10.03 Build 2在特定配置下易受cve - 2023 - 35082攻击. Rapid7联系了伊万蒂，伊万蒂表示他们正在调查.
• 2023年8月6日: Ivanti向Rapid7证实，该产品的其他版本容易受到cve - 2023 - 35082的攻击, 提议在8月7日披露新的修复措施.
• 2023年8月7日: 更新后的披露.
• 2024年1月18日: 美国.S. 网络安全和基础设施安全局(CISA) 添加cve - 2023 - 35082 到已知利用漏洞(KEV)列表.