アメリカ. サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー (CISA) Ivanti Endpoint Manager Mobile の重大な欠陥を報告しました (EPMM) およびモバイルアイアンコア, それをに追加する 悪用された既知の脆弱性カタログ.
CVE-2023-35081: 開示と概要
脆弱性, CVE-2023-35082 として識別され、CVSS スコアは次のとおりです。 9.8, 認証バイパスを許可します, ユーザーに不正なリモート アクセスを許可する可能性がある’ 個人を特定できる情報 サーバーの変更は制限されています. Ivantiは8月に警告を発した 2023, Ivanti Endpoint Manager Mobile のすべてのバージョン (EPMM) 11.10, 11.9, と 11.8, MobileIron Coreと同様に 11.7 以下が影響を受けました.
サイバーセキュリティ企業 Rapid7 によって発見および報告されました, この欠陥は CVE-2023-35081 と連鎖して、アプライアンスへの悪意のある Web シェル ファイルの書き込みを容易にする可能性があります。. この脆弱性を利用した実際の攻撃の正確な詳細は現時点では不明です。. 連邦政府機関はベンダー提供の修正プログラムを 2 月までに実装するよう求められています 8, 2024.
この開示は、Ivanti Connect Secure の 2 つのゼロデイ欠陥の悪用と同時に発生しました。 (ICS) VPN デバイス (CVE-2023-46805 および CVE-2024-21887), Web シェルとパッシブ バックドアの導入につながる. Ivanti は来週、これらの問題に対処するアップデートをリリースする予定です. 特に, ICS VPN デバイスをターゲットとする攻撃者は、構成を侵害し、重要な運用上の秘密を含むキャッシュを実行することに重点を置いています。. Ivanti では、システムの再構築後にこれらのシークレットをローテーションすることを推奨しています.
Volexity は、以上の侵害の証拠を報告しました 1,700 世界中のデバイス, 当初は中国の脅威アクターとみられるUTA0178と関連付けられていた. でも, それ以来、さらに多くの攻撃者が悪用活動に参加しています. Assetnote のリバース エンジニアリングの取り組みにより、別のエンドポイントが明らかになりました (“/api/v1/totp/ユーザーバックアップコード”) 認証バイパスの欠陥を悪用したため (CVE-2023-46805) 古い ICS バージョンの場合, リバースシェルを取得する可能性がある.
セキュリティ研究者のシュバム・シャー氏とディラン・ピンドゥル氏は、この事件を次のように強調した。 “これは、比較的単純なセキュリティ上のミスにより、安全な VPN デバイスが大規模な悪用にさらされるもう 1 つの例です。”