CVE-2023-35078

Ivanti Endpoint Manager Mobile (EPMM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-07-25

Официальное описание

Ivanti Endpoint Manager Mobile (EPMM, previously branded MobileIron Core) contains an authentication bypass vulnerability that allows unauthenticated access to specific API paths. An attacker with access to these API paths can access personally identifiable information (PII) such as names, phone numbers, and other mobile device details for users on a vulnerable system. An attacker can also make other configuration changes including installing software and modifying security profiles on registered devices.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-35078 — это критическая уязвимость обхода аутентификации (Authentication Bypass) в продукте Ivanti Endpoint Manager Mobile (EPMM), ранее известном как MobileIron Core. Уязвимость имеет оценку 10.0 по шкале CVSS.

Проблема заключается в недостаточной проверке прав доступа к определенным путям API. Неавторизованный злоумышленник может удаленно через интернет получить доступ к защищенным эндпоинтам без ввода логина и пароля. Это позволяет: * Извлекать персональные данные пользователей (PII): полные имена, номера телефонов, адреса и данные о мобильных устройствах. * Выполнять административные действия: изменять конфигурации, устанавливать произвольное ПО и модифицировать профили безопасности на зарегистрированных устройствах. * Создавать новые учетные записи администраторов для закрепления в системе.

Как исправить

Основным способом устранения уязвимости является обновление Ivanti EPMM до актуальных версий, в которых закрыта данная брешь.

  1. Определите текущую версию вашей системы через панель администратора.
  2. Если ваша версия ниже 11.8.1.1, 11.9.1.1 или 11.10.0.2, необходимо применить патч или обновиться.
  3. Для версий, находящихся на поддержке, используйте стандартный механизм обновления через CLI или System Manager.

Пример команды для проверки версии через CLI:

show version

Для установки обновлений через CLI (требуется настроенный репозиторий):

software update prepare


software update install

После установки обновлений обязательна перезагрузка системы:

reload

Временные меры

Если немедленное обновление невозможно, необходимо ограничить доступ к интерфейсам управления и API.

  1. Ограничьте доступ к портам 443 (HTTPS) и 8443 для внешних IP-адресов. Разрешите доступ к административной панели только из доверенных сегментов сети или через VPN.
  2. Настройте правила на Web Application Firewall (WAF) для блокировки запросов к подозрительным путям API, содержащим /mifs/rest/api/v2/.
  3. Проверьте логи доступа (Access Logs) на наличие запросов к API от неавторизованных или неизвестных IP-адресов.
  4. Проверьте список администраторов на наличие новых, несанкционированно созданных учетных записей.

Для просмотра логов через CLI можно использовать:

show log tail system
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей