Ivanti EPMM CVE-2023-35078: Реагування на критичну вразливість
Нещодавно стало відомо, що Ivanti Endpoint Manager Mobile (EPMM), раніше відомий як MobileIron Core, містить три вразливості високого рівня серйозності — CVE-2023-35078, CVE-2023-35081 та CVE-2023-35082. Ці вразливості дають зловмисникам змогу отримати несанкціонований доступ, підвищити привілеї та записувати довільні файли в середовищах EPMM.
За даними агенцій з кібербезпеки, ці вразливості активно експлуатуються для компрометації систем. Будь-яка організація, що використовує вразливі версії Ivanti EPMM, повинна вжити невідкладних заходів, щоб оцінити, знизити та усунути ризики.
Розуміння впливу вразливостей Ivanti EPMM
Ivanti EPMM — це інструмент управління корпоративною мобільністю (EMM), який організації використовують для налаштування та захисту мобільних пристроїв і застосунків. Це програмне забезпечення надає централізоване управління та застосування політик для пристроїв за моделлю BYOD (bring-your-own-device) і корпоративних пристроїв у межах організації.
Критичні вразливості пов’язані з тим, як Ivanti EPMM обробляє автентифікацію:
- CVE-2023-35078 і CVE-2023-35082 дають неавтентифікованим віддаленим користувачам змогу обходити засоби контролю доступу та зловживати кінцевими точками API.
- CVE-2023-35081 дозволяє автентифікованим адміністраторам виконувати запис довільних файлів.
Зловмисники можуть об’єднати ці вразливості в ланцюг, щоб отримати повний контроль над серверами EPMM без облікових даних. Вони можуть викрадати конфіденційні дані, вносити шкідливі зміни в конфігурацію, розгортати шкідливе програмне забезпечення та створювати приховані облікові записи адміністраторів (бекдори).
Легкість експлуатації та серйозність потенційних наслідків зумовили оцінки CVSS 10.0 для CVE-2023-35078 і 7.2 для CVE-2023-35081. CVE-2023-35082, імовірно, отримає подібну критичну оцінку.
Які версії Ivanti EPMM уражені?
Ivanti підтвердила, що вразливості стосуються таких версій продукту:
- Ivanti Endpoint Manager Mobile 11.10
- Ivanti Endpoint Manager Mobile 11.9
- Ivanti Endpoint Manager Mobile 11.8
- MobileIron Core 11.7 і попередні версії
Будь-яка організація, що використовує ці версії, повинна діяти швидко, щоб уникнути компрометації.
Виявлення потенційної компрометації Ivanti EPMM
Якщо ваша організація використовує вразливу версію EPMM, ретельно перевірте системи на ознаки вторгнення:
- Перегляньте централізовані журнали на предмет підозрілих викликів API, що вказують на експлуатацію.
- Перевірте ActiveDirectory на незвичні сплески критичних подій безпеки.
- Проаналізуйте мережевий трафік EPMM на предмет несанкціонованих внутрішніх з’єднань.
- Перевірте системи на наявність видалених журналів або артефактів, що свідчать про приховування слідів.
- Звірте хеші та рядки User-Agent з індикаторами компрометації, опублікованими NCSC-NO.
Сприймайте будь-які докази компрометації серйозно та ретельно розслідуйте їх.
Пом’якшення вразливостей Ivanti EPMM
Якщо ви використовуєте вразливі версії Ivanti EPMM, негайно оновіть їх до виправлених версій 11.10.0.3, 11.9.1.2 або 11.8.1.2. Для застарілих розгортань MobileIron Core потрібна міграція на Ivanti EPMM.
Ivanti також надає два RPM-скрипти для додаткового посилення захисту інсталяцій:
- Перший вимикає вразливі кінцеві точки API як тимчасове обхідне рішення.
- Другий надає офіційне виправлення, і його слід встановлювати після оновлення.
Обов’язково дотримуйтеся рекомендацій Ivanti щодо перезавантаження системи після застосування кожного скрипта. Комплексне встановлення виправлень, оновлення та запуск обох скриптів є критично важливими для повного усунення вразливостей.
Зробіть управління вразливостями пріоритетом
Щоб випереджати нові загрози, подібні до вразливостей Ivanti EPMM, організаціям слід здійснювати безперервний моніторинг активів, стежити за вразливостями у програмному забезпеченні, яке використовується, та оперативно встановлювати виправлення.
Такі рішення, як ResilientX Network Security Scanner, можуть миттєво виявляти продукти, уражені новими вразливостями, серед активів, доступних з інтернету, забезпечуючи швидке реагування. Перевірки конфігурації та віртуальне встановлення виправлень надають додатковий захист.
Регулярні процеси сканування, тестування на проникнення, оновлення та встановлення виправлень — ключові для зниження ризику. Пріоритизація управління вразливостями та реагування є критично важливою для безпеки в сучасних ІТ-середовищах.
