研究人員已經(jīng)披露了影響MobileIron的移動設(shè)備管理(MDM)解決方案的幾個潛在的嚴重漏洞的詳細信息�,其中包括一個未經(jīng)身份驗證的攻擊者可以利用該漏洞在受影響的服務(wù)器上遠程執(zhí)行代碼的漏洞。
這些漏洞由安全咨詢公司DEVCORE的研究人員識別出����,并于4月初報告給MobileIron。補丁程序于6月15日發(fā)布����,供應(yīng)商于7月1日發(fā)布了公告。
可以利用這些安全漏洞進行遠程代碼執(zhí)行(CVE-2020-15505)���,從目標系統(tǒng)讀取任意文件(CVE-2020-15507)�����,并遠程繞過身份驗證機制(CVE-2020-15506)���。受影響的產(chǎn)品包括MobileIron Core(版本10.6和更早版本)���,MobileIron Sentry,MobileIron Cloud���,企業(yè)連接器和報告數(shù)據(jù)庫��。
在上周發(fā)布的博客文章中,DEVCORE的Orange Tsai報告說����,由于其廣泛使用,他們決定分析MobileIron的產(chǎn)品-供應(yīng)商聲稱有超過20,000家企業(yè)使用其解決方案����,研究人員的分析表明,全球財富500強中超過15%各組織將其MobileIron服務(wù)器公開到Internet��,包括Facebook�����。
值得注意的是,Orange Tsai是去年披露了影響 Palo Alto Networks����,F(xiàn)ortinet和Pulse Secure的企業(yè)VPN產(chǎn)品的幾個關(guān)鍵漏洞的研究人員之一。這些漏洞最終被許多攻擊所利用����,包括國家贊助的威脅組織。
Orange Tsai告訴《安全周刊》�����,利用CVE-2020-15505(與反序列化相關(guān)的問題)足以使遠程未經(jīng)身份驗證的攻擊者在易受攻擊的MobileIron服務(wù)器上實現(xiàn)任意代碼執(zhí)行��。
研究人員說�,互聯(lián)網(wǎng)上目前大約有10,000臺可能暴露的服務(wù)器,雖然補丁已發(fā)布了數(shù)月��,但他聲稱互聯(lián)網(wǎng)上大約30%的服務(wù)器仍未打補丁�。
在看到修補程序發(fā)布兩周后Facebook未能修補其MobileIron服務(wù)器后,DEVCORE通過其漏洞賞金計劃向社交媒體巨頭報告了此問題��。通過在其中一臺服務(wù)器上“彈出外殼”向Facebook展示了該漏洞的影響�。Facebook獎勵了該報告的錯誤賞金����,但金額并未透露���。
披露了漏洞的詳細信息后不久��,有人創(chuàng)建并發(fā)布了CVE-2020-15505 的概念驗證(PoC)漏洞�����。白帽黑客聲稱知道該漏洞賞金社區(qū)成員成功進行了利用嘗試���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
