Ivanti Endpoint Manager Mobile Flaws Could Allow Device Impersonation and Certificate Theft
2023/11/14 SecurityOnline — エンタープライズ・ソフトウェアの分野で名高い Ivanti は、2023年11月9日に、同社の Endpoint Manager Mobile (旧 MobileIron Core) に存在する、2つの深刻な脆弱性 CVE-2023-39335/CVE-2023-39337 について情報を公表した。これらの脆弱性は、広く使用されているこのエンタープライズ・モビリティ管理ソリューションの、すべてのバージョンに深刻な影響をおよぼす。
CVE-2023-39335:認証済みの攻撃者に、別のユーザーとしての登録を許す
CVE-2023-39335 (CVSS:8.5) の悪用に成功すると、登録されたデバイスを持つ認証された攻撃者は、別の EPMM ユーザーのプロファイルを用いて、別のデバイスを登録することが可能になる。この脆弱性の悪用には、標的となるユーザーへの成りすましが生じるため、TLS トラフィックを監視して追加情報を得る必要がある。この脆弱性が明らかにしているのは、デバイス管理とセキュリティ・プロトコルの深刻なセキュリティ・ホールの存在である。
CVE-2023-39337: 認証された攻撃者に、ターゲットの証明書の取得を許す
CVE-2023-39337 (CVSS:6.8) は、CVE-2023-39335 と同様に、認証された攻撃者に対して、ターゲットである EPMM ユーザーの有効な証明書の取得を許す。この攻撃のリスクは、企業環境における安全な通信の要である、デジタル証明書への不正アクセスにある。
これらの脆弱性が悪用されると、物理的に盗まれたデバイス/有効なユーザー証明書を持つ内部脅威/オープン登録ポリシーのシステムなどのシナリオにおいて、大きな損害が生じる可能性がある。巧妙な攻撃者が2つの脆弱性を併用すると、認証されたユーザーに成りすまし、以下のことを施行する可能性が生じる:
- 他の EPM ユーザーの有効な証明書を取得する (CVE-2023-39337) 。
- 別の EPM ユーザーのためにデバイスを登録する (CVE-2023-39335) 。
これらの行為により、モバイル・デバイスのアクセスを保護するための、Ivanti のゲートウェイである Sentry により保護されたリソースへの、不正アクセスを許してしまう可能性がある。ただし、このような攻撃チェーンでは、高度な技術が必要であることから、高度に熟練した脅威アクターに限定される可能性が高い。
この脆弱性は、EPMM 11.10/11.9/11.8 および Sentry 9.18/9.17/9.16 を含む、すべてのバージョンに影響する。旧バージョンも同様に、脆弱であることに注意することが重要であり、多数の企業環境に潜在的な影響が広がっていることが浮き彫りにされている。
これらの発見を報告された Ivanti は、脆弱性を緩和するためのパッチを迅速にリリースしている。具体的に言うと、EPMM (Core) 11.10.0.4/11.11.0.2/11.12.0.0 にパッチが含まれている。Ivanti のソリューションを使用している組織にとって、これらのバージョンへのアップデートは、モバイルデバイス管理とセキュリティ・フレームワークの完全性を維持するためにも必須となる。
エンタープライズ・モバイルのための Ivanti EPMM は、日本でも広く使われているのだろうと思います。おそらく、欧米が対象だと思いますが、2023/06/28 には「Mobile/BYOD に迫る脅威:企業資産へのアクセスの 60% はモバイルからという現実」という記事がポストされていました。この領域のプロテクションの重要性が増していますね。よろしければ、カテゴリ Mobile も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.