Ivanti MobileIron 核心版本存在严重安全漏洞

关键要点

• Ivanti 确认其老旧版本的 MobileIron Core（11.2及以下）存在新的严重身份验证绕过漏洞。
• 此漏洞可能导致移动设备用户的个人可识别信息被泄露，并使受影响的服务器能够部署网络壳。
• 针对该漏洞（CVE-2023-35082），Ivanti 不会提供修复，但最新的 Endpoint Manager Mobile 版本中已有替代方案。
• 此漏洞不影响 Ivanti Endpoint Manager、MobileIron Core 11.3 及以上版本或 Ivanti Neurons for MDM。
• Ivanti 支持团队随时可帮助客户进行升级。

Ivanti 最近确认，其过时的 MobileIron Core 版本 11.2 及之前版本受到了一个新的严重身份验证绕过漏洞影响，该漏洞具体标识为 CVE-2023-35082。此漏洞的利用可能导致移动设备用户的个人信息被泄露，并且允许攻击者在受影响的服务器上部署网络壳，不法分子借此可以更轻易地进行攻击和数据窃取。

据【BleepingComputer】报道，Ivanti 表示目前不会针对该漏洞发布修复方案，但在最新推出的 Endpoint Manager Mobile 版本中已提供补救措施。Ivanti 声明称：“此漏洞不影响任何版本的 Ivanti Endpoint Manager、MobileIron Core 11.3 及以上版本或 Ivanti Neurons for MDM。我们的支持团队始终准备好帮助客户进行版本升级。”

Ivanti 对该安全漏洞的披露发生在网络安全和基础设施安全局（CISA）发布警告后，提醒安全人员有关 Ivanti EPMM的另外两个漏洞（CVE-2023-35078 和 CVE-2023-35081）在四月份以来被恶意利用。特别是 CVE-2023-35078，已被用于攻击多家挪威政府机构。

相关链接

如需了解更多信息，请参考上述链接以获取详细信息和指导。