CVE-2023-35082

Ivanti Endpoint Manager Mobile (EPMM) and MobileIron Core

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-01-18

Официальное описание

Ivanti Endpoint Manager Mobile (EPMM) and MobileIron Core contain an authentication bypass vulnerability that allows unauthorized users to access restricted functionality or resources of the application.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-35082 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в Ivanti Endpoint Manager Mobile (EPMM), ранее известном как MobileIron Core. Уязвимость позволяет неавторизованному злоумышленнику получить удаленный доступ к защищенным API-интерфейсам без необходимости ввода учетных данных.

Проблема вызвана недостаточной проверкой прав доступа в определенных сервлетах приложения. Эксплуатация данной бреши позволяет атакующему считывать конфиденциальную информацию (PII), изменять конфигурации системы и создавать учетные записи администратора, что в сочетании с другими методами может привести к полному захвату контроля над сервером управления мобильными устройствами.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление программного обеспечения до версий, в которых данная ошибка исправлена. Ivanti выпустила соответствующие патчи для поддерживаемых веток продукта.

  1. Определите текущую версию EPMM через панель администратора (System -> Maintenance -> Software Updates).
  2. Выполните резервное копирование системы и конфигурации.
  3. Обновитесь до одной из следующих версий (или более новых):
  4. 11.10.0.3
  5. 11.9.1.2
  6. 11.8.1.2

Для выполнения обновления через CLI используйте следующие команды:

enable


install rpm force-upgrade

После установки патча необходимо перезагрузить систему для применения изменений:

reload

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью сетевых ограничений и мониторинга.

  1. Ограничение доступа к административной панели: Настройте правила межсетевого экрана (Firewall) или списки контроля доступа (ACL), чтобы ограничить доступ к портам управления (обычно 443 и 8443) только для доверенных IP-адресов администраторов или через VPN.

  2. Настройка обратного прокси (Reverse Proxy): Если EPMM находится за прокси-сервером (например, Nginx или F5), заблокируйте доступ к подозрительным путям API, которые могут быть использованы для обхода.

  3. Мониторинг логов: Проверьте логи доступа Apache на наличие аномальных запросов к API, особенно со стороны внешних IP-адресов. Используйте команду для поиска подозрительной активности:

grep -E "/mifs/services/|/mifs/api/" /var/log/httpd/https_access_log
  1. Использование Ivanti Watchdog: Убедитесь, что встроенные средства самодиагностики Ivanti активны и сообщают о любых несанкционированных изменениях в системных файлах.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей