セキュリティベンダーのIvantiは、自社製品における新たな重大な脆弱性を開示した。これは、APTグループが悪用してノルウェー政府を侵害した、以前のゼロデイと関連している。
CVE-2023-35082はCVSSスコア10で、MobileIron Core 11.2およびそれ以前に存在する、リモートから認証なしでAPIにアクセスできる脆弱性と説明されている。悪用されると、適切な認証なしに、権限のないユーザーが制限されたリソースへアクセスできるようになる。
「この脆弱性は、製品のバグ対応作業の一環としてMobileIron Core 11.3で偶発的に解消されました。これまで脆弱性として特定されていませんでした」とIvantiは説明した。
「悪用された場合、この脆弱性により、権限のないリモート(インターネットに面した)攻撃者が、ユーザーの個人を特定できる情報にアクセスし、サーバーに対して限定的な変更を加える可能性があります。」
Ivantiのゼロデイについて詳しく読む: ノルウェーへの攻撃で使用されたゼロデイのバグをIvantiが修正
Rapid7は、同製品における別の重大なAPIアクセス脆弱性であり、ノルウェー政府に対する長期のサイバー諜報キャンペーンで悪用されたCVE-2023-35078を調査する中で、この脆弱性を発見した。
「CVE-2023-35082はCVE-2023-35078と同じ箇所、具体的にはmifsウェブアプリケーションのセキュリティフィルターチェーンにおける特定のエントリの許容的な性質に起因しているため、Rapid7は、この新たな脆弱性を、製品のバージョン11.2以下に関してCVE-2023-35078のパッチ回避とみなします」と同社は説明した。
Rapid7はまた、ゼロデイの直後に修正された別のIvantiの脆弱性CVE-2023-35081が、CVE-2023-35082と連鎖して「攻撃者がアプライアンスに悪意のあるウェブシェルファイルを書き込み、その後攻撃者によって実行され得る」可能性があると警告した。
CISAは今週、警告した。同様の連鎖がCVE-2023-35081とCVE-2023-35078の間でも可能だという。
Ivantiは、MobileIron Core 11.2およびそれ以前は現在サポート対象外であるため、このバグに対処するパッチは提供しないと述べた。ユーザーには、Ivanti Endpoint Manager Mobile(EPMM)の最新バージョンへアップグレードするよう促している。
翻訳元: https://www.infosecurity-magazine.com/news/ivanti-patches-yet-another/
