软件制造商 Ivanti 敦促其端点安全产品的用户修补一个关键漏洞,该漏洞使未经身份验证的攻击者可以在受影响的网络内执行恶意代码。
该漏洞属于一类称为 SQL注入,存在于所有受支持的版本中 Ivanti 端点管理器。 该软件也称为 Ivanti EPM,可在多种平台上运行,包括 Windows、macOS、Linux、Chrome OS 和路由器等物联网设备。 SQL 注入漏洞源自将用户输入解释为数据库命令的错误代码,或者用更专业的术语来说,源自将数据与 SQL 代码连接在一起而不按照 SQL 语法引用数据。 在跟踪 Ivanti 漏洞时,CVE-2023-39336 的严重性评级为 9.6(满分 10)。
Ivanti 官员周五在一份报告中写道:“如果被利用,有权访问内部网络的攻击者可以利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出,而无需进行身份验证。” 邮政 宣布补丁可用。 “这可以让攻击者控制运行 EPM 代理的机器。 当核心服务器配置为使用 SQL Express 时,这可能会导致核心服务器上出现 RCE。”
RCE 是远程代码执行的缩写,或者说是异地攻击者运行他们选择的代码的能力。 目前,没有已知证据表明该漏洞正在被积极利用。
Ivanti 还发布了 披露 仅限注册用户。 Ars 获得的一份副本称,Ivanti 在 10 月份获悉了该漏洞。 私人披露的完整内容是:
目前尚不清楚“能够访问内部网络的攻击者”是什么意思。 根据官方的解释 通用漏洞评分系统,披露中使用的代码 Ivanti AV:A 是“攻击向量:相邻”的缩写。 评分系统将其定义为:
易受攻击的组件绑定到网络堆栈,但攻击在协议级别仅限于逻辑相邻的拓扑。 这可能意味着攻击必须从同一共享物理或逻辑(例如本地 IP 子网)网络发起……
在一个 乳齿象上的线程对此,多位安全专家给出了解读。 一位不愿透露姓名的人士写道:
有关该漏洞的其他所有信息 [besides the requirement of access to the network] 很严重:
- 攻击复杂度低
- 不需要权限
- 无需用户交互
- 后续对其他系统影响范围发生变化
- 对机密性、完整性和可用性的影响很大
Dragos 专门研究工业控制系统安全的研究员 Reid Wightman 提供了这样的分析:
猜测,但 Ivanti 似乎错误地应用了 CVSS,分数可能应该是 10.0。
他们说 AV:A(意思是“需要相邻网络访问”)。 通常这意味着以下情况之一为真:1) 易受攻击的网络协议不可路由(这通常意味着它不是易受攻击的基于 IP 的协议),或者 2) 该漏洞确实是一个人在-中间攻击(尽管这通常也有 AC:H,因为中间人需要一些现有的网络访问权限才能实际发起攻击)或 3)(我认为),供应商是错误的- 应用 CVSS,因为他们认为他们的易受攻击的服务不应该被暴露,即“最终用户应该有防火墙”。
假设攻击者必须是内部人员,CVSS 修饰符为 PR:L 或 PR:H(系统所需的权限)或 UI:R(欺骗合法用户做他们不应该做的事情)。 假设攻击者具有对网络的其他现有访问权限,则应将 AC:H(攻击复杂性高)添加到分数中。 两者都会降低数字分数。
我与供应商发生了很多争论,他们认为 (3),特别是“没有人应该公开该服务,因此它不是真正的 AV:N”。 但CVSS并没有考虑到“良好的网络架构”。 它只关心默认配置,以及是否可以从远程网络发起攻击…它不考虑大多数组织应该制定的防火墙规则,部分原因是您总是会找到服务暴露在互联网上的反例。 你几乎总能在 Shodan 和类似的网站上找到反例。 例如,Shodan 上公开了大量“Ivanti 服务管理器”,但我不确定这是否是真正的易受攻击的服务。
第三位参与者, 罗恩·鲍斯 的 骷髅安全,写道:“供应商,尤其是 Ivanti,习惯于淡化安全问题。 他们认为,让漏洞听起来不那么糟糕会让他们看起来更好,但实际上这只会让他们的客户更不安全。 这是一个巨大的烦恼。 我不会因为存在漏洞而评判供应商,但我会因为处理不当而评判他们。”
Ivanti 代表没有回复通过电子邮件发送的问题。
将运行 Ivanti EDM 的设备置于防火墙后面是一种最佳实践,对于减轻 CVE-2023-39336 的严重性有很大帮助,但它可能无法阻止对员工工作站获得有限访问权限的攻击者利用该漏洞关键漏洞。 目前尚不清楚该漏洞是否会被主动利用,但最好的做法是所有 Ivanti EDM 用户尽快安装补丁。
2024-01-05 22:33:52
1704656607
