Ivanti软件漏洞影响美国政府机构及挪威政府

关键要点

美国联邦机构接到命令，必须立即修复一个新发现的Ivanti软件漏洞，该漏洞在对挪威12个政府部门的攻击中被利用。这个漏洞是Ivanti的设备管理软件EPMM（前身为MobileIronCore）中的一种身份验证绕过缺陷。

Ivanti在周一发布了针对该漏洞的补丁，周二挪威政府透露该漏洞在之前的零日攻击中被利用，影响到了12个部门。

同样在周二，美国网络安全和基础设施安全局（CISA）已将该漏洞添加到其已知利用漏洞（KEV）目录中。根据这一目录，所有联邦行政部门必须在8月15日前修复该漏洞。

CISA在一份警报中表示：“此类漏洞是恶意网络攻击者常用的攻击向量，对联邦企业构成重大风险。”

Ivanti的EPMM解决方案是一款广泛使用的移动管理软件，能够让IT部门为移动设备、应用程序和内容设置政策。该软件在2020年Ivanti收购MobileIron后更名为EPMM。

该身份验证绕过漏洞被追踪为，并被赋予了最高的CVSS评分10，Ivanti向客户强调必须立即更新软件。

在一份中，Ivanti表示，该漏洞使未授权用户能够访问其受限功能或资源，威胁者“可能接触到用户的个人识别信息并对服务器进行有限更改。”Ivanti表示，他们只知道“极少数客户”受到了该漏洞的影响。

，该漏洞允许未验证地访问特定的API路径。“访问这些API路径的攻击者能够获取用户的个人识别信息（PII），例如姓名、电话号码以及其他移动设备的详细信息。”

“攻击者还可以进行其他配置更改，包括创建一个EPMM管理员账户，能够对受漏洞影响的系统进行进一步更改。”

安全研究员KevinBeaumont在上表示，他设置了一个蜜罐来测试该漏洞，“它已经通过API被探测……显然没有人对这种广泛使用的移动设备管理解决方案进行渗透测试。”

挪威当局并没有说明在对其部门的攻击中是否有数据被提取，但他们表示已通知国家数据保护机构，这表明可能存在信息被盗的担忧。

他们表示，现在判断谁是攻击的责任方还为时尚早。

挪威国家安全局局长Sofie Nystrøm表示：“这个漏洞是独特的，在挪威首次被发现。”

“如果我们过早发布有关该漏洞的信息，可能会导致其在挪威和全球其他地方的恶意应用。现在更新信息已经广泛可用，宣布这种漏洞的类型是明智的。”

Ivanti因对漏洞详细信息的限制访问而受到部分信息安全社区的批评，并未披露任何指标（IOCs）以帮助安全团队加强系统防御。然而，其他获得漏洞具体信息的人员理解该软件供应商的处理方式，因为共享IOCs可能会为其他威胁行为者利用该漏洞打开大门。

一位匿名安全工程师在社交媒体上表示：“IOCs同时也是POCs（概念证明），这真的很糟。看到这一点后我完全理解他们为何采取这种方式