CVE-2023-35082 - MobileIron Core未经认证的API访问漏洞

最后更新于2023年11月10日(星期五)19:34:18 GMT

当这个博客最初于8月2日发布时, 该公司表示，CVE-2023-35082仅影响MobileIron Core 11.2和更早的版本，不支持. 8月7日，伊万蒂发表了一篇文章 updated advisory 注意，自从最初披露CVE-2023-35082以来, 他们继续调查并发现该漏洞影响所有版本的Ivanti Endpoint Manager Mobile (EPMM) 11.10, 11.9 and 11.8, and MobileIron Core 11.7 and below. 被利用的风险取决于单个客户的配置.

Overview

While investigating CVE-2023-35078, 在Ivanti Endpoint Manager Mobile和MobileIron Core中存在一个严重的API访问漏洞，该漏洞在野外被利用, Rapid7发现了一个新的漏洞，允许未经身份验证的攻击者访问API(最初认为只影响11.2 and below). Rapid7于2023年7月26日向Ivanti报告了此漏洞 漏洞披露策略. 分配了新的漏洞 CVE-2023-35082.

因为CVE-2023-35082和CVE-2023-35078来自同一个地方, 特别是某些条目的许可性质 mifs Web应用程序的安全过滤器链, Rapid7会认为这个新漏洞是CVE-2023-35078的补丁绕过. 有关CVE-2023-35078及其影响的其他背景信息，请参阅Rapid7 紧急威胁响应博客在这里 and our AttackerKB assessment of the vulnerability.

Product Description

Ivanti Endpoint Manager Mobile (EPMM), formerly MobileIron Core, is a management platform that allows an organization to manage mobile devices such as phones and tablets; enforcing content and application policies on these devices. 该产品之前被称为MobileIron Core, 之后更名为Endpoint Manager Mobile Ivanti acquired MobileIron in 2020.

Versions 11.8及以上的产品均为移动终端管理器. Rapid7确定的易受CVE-2023-35082攻击的产品版本是MobileIron Core. 在8月2日首次披露之前，Ivanti告诉Rapid7 CVE-2023-35082 affects 以下产品版本:

• MobileIron Core 11.2 and below

As of August 7, 2023Ivanti表示，CVE-2023-35082会影响以下版本的产品:

• Endpoint Manager Mobile 11.10
• Endpoint Manager Mobile 11.9
• Endpoint Manager Mobile 11.8
• MobileIron Core 11.7 and below

Ivanti has an updated advisory here as of August 7.

Credit

这个问题最初是由Stephen less(微软首席安全研究员)发现的 Rapid7，并根据 Rapid7的漏洞披露策略. Rapid7 thanks Florian Hauser of CODE WHITE 我们注意到，在CODE WHITE进行的测试中，新版端点管理器移动版似乎容易受到CVE-2023-35082的攻击.

Vendor Statement

Ivanti于8月7日向Rapid7提供了以下更新声明:

我们非常感谢Rapid7和Stephen less在MobileIron Core / Ivanti EPMM中发现了一个现在报告为CVE-2023-35082的问题. Ivanti现在有一个可用的RPM脚本，并且正在与客户一起帮助他们应用修复.

我们正在继续对Ivanti Endpoint Manager Mobile (EPMM)进行调查，并积极与客户合作，以降低风险并保护他们的环境. 我们将继续更新Ivanti博客，因为我们有更多的信息.

Impact

CVE-2023-35082允许远程未经身份验证的攻击者访问暴露的管理服务器上的API端点. 攻击者可以使用这些API端点来执行大量操作 official API documents, 包括披露个人身份信息(PII)和对平台执行修改的能力. Additionally, API中是否应该存在单独的漏洞, 攻击者可以将这些漏洞链接在一起. For example, CVE-2023-35081 是否可以与CVE-2023-35082链接，以允许攻击者将恶意webshell文件写入设备, 然后由攻击者执行.

Exploitation

在我们对CVE-2023-35078的测试中，我们访问了MobileIron Core版本11.2.0.0-31. 在复制原始漏洞后，我们继续应用Ivanti的热修复程序 ivanti-security-update-1.0.0-1.noarch.rpm as per the Ivanti知识库文章000087042. 我们验证了热修复程序确实成功修复了CVE-2023-35078. However, 我们发现了同一攻击的一种变体，它允许远程攻击者在没有身份验证的情况下访问API端点.

首先我们安装了MobileIron Core 11.2.0.0-31和验证，我们可以利用CVE-2023-35078访问未经身份验证的API端点. Note the inclusion of the /aad/ 段，以利用原始漏洞CVE-2023-35078.

c:\> curl -k http://192.168.86.103/mifs/aad/api/v2/ping
{"results":{"apiVersion":2.0,"vspVersion":"VSP 11.2.0.0 Build 31 "}}

然后我们安装了供应商提供的修复程序 ivanti-security-update-1.0.0-1.noarch.rpm. 在我们重启系统之后, 我们验证了热修复程序可以防止上面显示的原始漏洞利用请求.

c:\> curl -k http://192.168.86.103/mifs/aad/api/v2/ping


        
HTTP Status 403 - Access is denied
        
You are unauthorized to access this page.


九五论坛
博彩网站
博彩网站
European-Cup-buying-website-careers@musicinphases.com
Online-gambling-platform-media@naimoguan.net
The-University-of-Macau-marketing@wuzhongcobsd.com
Gambling-platform-feedback@7lcfc.com
Buy-ball-app-media@yychuangyi.com
保利国际影城
European-Football-betting-billing@fenghangyiqi.com
赌博软件

如家酒店连锁官网
博宝艺术网资讯频道 
东风论坛

谱天下
池州房产网
泰达新材
深圳800信息网
迎驾贡酒

However, 上述请求的一个变体仍然可以在没有身份验证的情况下访问API端点, as shown below. Note the use of /asfV3/ 在URL路径中替换原始漏洞的使用 /aad/.

c:\> curl -k http://192.168.86.103/mifs/asfV3/api/v2/ping
{"results":{"apiVersion":2.0,"vspVersion":"VSP 11.2.0.0 Build 31 "}}

Indicators of Compromise

设备上存储的Apache HTTP日志中显示了以下泄漏指标.

The log file /var/log/httpd/http-access_log 将有一个条目显示对目标API端点的请求，其中包含 /mifs/asfV3/api/v2/ HTTP响应码为200的路径. 被阻止的利用尝试将显示HTTP响应代码401或403. For example:

192.168.86.34:61736——2023-07-28——15-24-51 "GET /mifs/asfV3/api/v2/ping HTTP/1 ..1" 200 68 "-" "curl/8.0.1" 3285

Similarly, the log file /var/log/httpd/http-request_log 将有一个条目显示对目标API端点的请求，其中包含 /mifs/asfV3/api/v2/ in the path. For example:

2023-07-28--15-24-51 192.168.86.34 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384 "GET /mifs/asfV3/api/v2/ping HTTP/1 ..1" 68 "-" "curl/8.0.1"

请注意，日志条目包含 /mifs/asfV3/api/v2/ 路径中的漏洞表明利用了CVE-2023-35082，而日志条目中包含 /mifs/aad/api/v2/ 路径中存在CVE-2023-35078漏洞.

Remediation

As noted in their advisory， Ivanti有一个版本11的RPM修复.10 to 11.截至2023年8月7日，3个可用. 使用旧版本的用户应首先升级到11.10，然后应用RPM修复. 更多信息请参见 Knowledge Base article 在伊万蒂社区门户网站上.

Rapid7建议MobileIron Core客户尽快升级到受支持的版本. 运行易受CVE-2023-35082攻击的端点管理器移动版本的客户应尽快应用Ivanti的RPM修复程序, 无需等待常规补丁周期发生.

Rapid7 Customers

截至8月2日，InsightVM和expose客户可以使用CVE-2023-35082的未经身份验证的漏洞检查, 2023 content release.

Timeline

• July 26, 2023: Rapid7向Ivanti安全发送披露信息.
• July 28, 2023: Rapid7通过第二个渠道联系伊凡蒂，确认收到披露信息. 伊万蒂证实没有收到最初的披露. Rapid7重新发送披露文件. Ivanti confirms receipt.
• July 28, 2023: Ivanti confirms findings.
• July 31, 2023: 伊万蒂确认将发布安全公告, 要求与Rapid7通电话，解决他们认为我们披露的不准确之处.
• August 1, 2023: Rapid7和Ivanti讨论了两个漏洞(CVE-2023-35078, CVE-2023-35082). Rapid7同意更新这一披露，澄清伊万蒂的观点. Rapid7还同意澄清产品术语(如.e., CVE-2023-35082仅影响MobileIron Core, 而不是后来更名为Endpoint Manager Mobile的产品版本).
• August 2, 2023: This disclosure.
• August 3-4, 2023: 外部研究联系人; Florian Hauser of CODE WHITE, 我们联系了Rapid7，透露他们已经发现最新版本的Endpoint Manager Mobile, 11.10.03 Build 2在特定配置下易受CVE-2023-35082攻击. Rapid7联系了伊万蒂，伊万蒂表示他们正在调查.
• August 6, 2023: Ivanti向Rapid7证实，该产品的其他版本容易受到CVE-2023-35082的攻击, 提议在8月7日披露新的修复措施.
• August 7, 2023: This updated disclosure.