CVE-2023-35081

Ivanti Endpoint Manager Mobile (EPMM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-07-31

Официальное описание

Ivanti Endpoint Manager Mobile (EPMM) contains a path traversal vulnerability that enables an authenticated administrator to perform malicious file writes to the EPMM server. This vulnerability can be used in conjunction with CVE-2023-35078 to bypass authentication and ACLs restrictions (if applicable).

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-35081 представляет собой уязвимость типа Path Traversal (обход пути) в Ivanti Endpoint Manager Mobile (ранее MobileIron Core). Уязвимость позволяет аутентифицированному администратору с соответствующими привилегиями записывать произвольные файлы на файловую систему сервера.

Критическая опасность заключается в возможности цепочки атак (exploit chain): злоумышленник может использовать CVE-2023-35078 для обхода аутентификации и получения прав администратора, а затем применить CVE-2023-35081 для записи вредоносного исполняемого файла (например, веб-шелла). Это приводит к удаленному выполнению произвольного кода (RCE) с правами веб-сервера.

Как исправить

Основным способом устранения уязвимости является обновление Ivanti EPMM до версий, в которых ошибка была исправлена. Ivanti выпустила соответствующие патчи для поддерживаемых веток продукта.

  1. Определите текущую версию вашего продукта через панель администратора.
  2. Скачайте соответствующий патч или RPM-пакет из официального портала Ivanti Standard Support.
  3. Выполните обновление системы.

Для версий 11.10, 11.9 и 11.8 необходимо применить специфичные для каждой версии патчи. Если вы используете версию ниже 11.8, необходимо сначала обновиться до поддерживаемой ветки.

Пример команды для проверки версии через CLI (если применимо):

show version

Пример установки RPM-пакета (зависит от конкретной конфигурации и инструкций вендора):

yum install -y [patch_package_name].rpm

Временные меры

Если немедленное обновление невозможно, необходимо принять меры по снижению поверхности атаки и мониторингу:

  1. Ограничение доступа: Настройте правила брандмауэра или списки контроля доступа (ACL), чтобы ограничить доступ к интерфейсу администратора (порт 443) только из доверенных внутренних сетей или через VPN.

  2. Мониторинг файловой системы: Настройте аудит записи файлов в директории веб-сервера, чтобы обнаружить попытки загрузки необычных файлов (например, .jsp, .sh).

  3. Анализ логов: Проверяйте логи доступа Apache на наличие подозрительных запросов, содержащих последовательности обхода пути.

grep -E "\.\./" /var/log/httpd/https_admin_access_log
  1. Проверка целостности: Проверьте наличие веб-шеллов в директории /var/mobileiron/tomcat/webapps/ и подпапках.
find /var/mobileiron/tomcat/webapps/ -name "*.jsp"
  1. Применение патча CVE-2023-35078: Поскольку CVE-2023-35081 часто эксплуатируется вместе с CVE-2023-35078, первоочередное закрытие дыры в аутентификации значительно снижает риск эксплуатации данной уязвимости внешними атакующими.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей