HackerNews 编译，转载请注明出处：

美国网络安全和基础设施安全局（CISA）在周四将一个已经修复的关键漏洞添加到其已知被利用漏洞（KEV）目录中，该漏洞影响了 Ivanti Endpoint Manager Mobile（EPMM）和 MobileIron Core ，并正在被广泛利用。

有问题的漏洞是 CVE-2023-35082（CVSS 分数：9.8），这是一个身份验证绕过漏洞，是对同一解决方案中另一个漏洞 CVE-2023-35078（CVSS 分数：10.0）的修补绕过。

Ivanti 在 2023 年 8 月指出：“如果此漏洞被利用，未经授权的远程（面向互联网）黑客能够潜在地访问用户的个人身份信息，并对服务器进行有限的更改。”

漏洞影响到所有版本的 Ivanti Endpoint Manager Mobile（EPMM），包括 11.10、11.9 和 11.8，还有 MobileIron Core 的 11.7 及以下版本。

发现并报告该漏洞的网络安全公司 Rapid7 表示，它可以与 CVE-2023-35081 链接，以允许黑客将恶意 Web Shell 文件写入设备。

目前还没有关于该漏洞如何在实际攻击中被武器化的详细信息。建议联邦机构在 2024 年 2 月 8 日之前应用供应商提供的修复程序。

Ivanti Connect Secure （ICS）虚拟专用网络（VPN）设备中的另外两个零日漏洞（CVE-2023-46805 和 CVE-2024-21887）也遭到大规模利用， 用于投放 Web Shell 和设置被动后门，该公司预计将在下周发布更新。

Ivanti 在一份咨询中表示：“我们已经观察到黑客瞄准系统的配置和运行缓存，其中包含对 VPN 操作至关重要的秘密。”

“虽然我们没有在每个实例中观察到这种情况，但出于谨慎起见，Ivanti 建议您在重建后更换这些秘密。”

本周早些时候，Volexity 透露已经能够找到全球 1,700 多种设备遭到入侵的证据。虽然最初的攻击与一名疑似中国黑客（代号 UTA0178）有关，但后来还有其他黑客加入了攻击行列。

Assetnote 对这两个相关漏洞进行了深入的逆向工程分析，发现了一个额外的端点（”/api/v1/totp/user-backup-code”），通过该端点，身份验证绕过漏洞（CVE-2023-46805）可在旧版本的 ICS 上被滥用并获得反向 shell。

安全研究人员 Shubham Shah 和 Dylan Pindur 将其描述为“由于相对简单的安全错误而导致安全 VPN 设备暴露于大规模利用的另一个例子”。

---

消息来源：thehackernews，译者：Claire；  

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文