CVE-2023-35078の悪用を検出: Ivanti Endpoint Manager Mobile (EPMM)における重大な認証バイパスのゼロデイ

サイバーセキュリティの速報！ 一連の Pulse Connect Secure SSL VPNアプライアンスにおけるセキュリティホールによって 複数の組織が2021年に影響を受けた後、最近、Ivanti製品における新たな重大なゼロデイが明らかになりました。Ivanti Endpoint Manager Mobile (EPMM)に影響を与えるこの新たなセキュリティ問題は、認証されていないリモートAPIアクセスを特定のパスに可能にします。この脆弱性を悪用することで、攻撃者は、公開されているデバイスに保存されている個人を特定できる情報 (PII) およびその他の機密データを取得し、影響を受けたシステムに悪意のある変更を加えることができます。Ivantiのアドバイザリによれば、この重大なゼロデイはすでに野放しで限定された顧客を標的として悪用されており、ニュースポータルは 指摘 ノルウェー政府をCVE-20230-35078攻撃の潜在的な被害者としています。

CVE-2023-35078 検出

CVE-2023-25078の悪用に関連する疑わしい活動をサイバー防衛者が積極的に識別し、脅威ハンティング活動を効率化するため、SOC Primeプラットフォームは集合的なサイバー防衛のための専用のSigmaルールを集約しています。すべての検出は28のSIEM、EDR、XDR技術に対応し、 MITRE ATT&CKフレームワーク v12に準拠しており、重大な脅威への徹底的な取り組みを容易にします。

厳選されたルールの完全なリストを探索するには、以下の Explore Detections ボタンを押してください。セキュリティ専門家は、ATT&CKリファレンスとCTIリンクを伴う広範なサイバー脅威の文脈にアクセスでき、現在のセキュリティニーズにマッチするより多くの関連メタデータを得て、脅威調査を促進します。

Explore Detections

CVE-2023-35078 分析

2023年7月24日、Ivantiは、 アドバイザリ を発行し、重大なゼロデイの詳細と脆弱性に対するパッチを提供しました。ベンダーによれば、Ivanti EPMMにおける最近発見されたバグ（CVSSスコア10.0）は、適切な認証なしにアプリの制限された機能やリソースにアクセスすることを可能にします。 

認証されていないリモートAPIアクセス脆弱性は、現在サポートされているすべてのソフトウェアバージョン（v11.10、11.9、11.8）に加え、もはやサポートされていない古いリリースにも影響を与えます。サイバー防衛の専門家が この脆弱性を非常に簡単に悪用できると考えていることから、すべてのユーザーに対して、11.10.0.2、11.9.1.1、および11.8.1.1のバージョンをすぐにインストールしてパッチを当てるよう求めています。  the flaw extremely easy to exploit, all users are urged to patch ASAP by installing versions 11.10.0.2, 11.9.1.1., and 11.8.1.1. 

しかし、研究者たちは、Shodanによると、インターネットに接続された2,900のEPMMポータルが露出し、組織の大多数がまだパッチを当てていないと推定しています。これらのサーバーのほとんどは、米国、EU、英国、香港で特定されました。特に、専門家は、英国と米国の政府がCVE-2023-35078攻撃の被害者になる可能性があると考えています。日曜日、 CISAはセキュリティ警告を発行し ユーザーに対してセキュリティギャップをすぐに対処するよう促しています。 

サイバーセキュリティ防御を最適化するために、 SOC Primeプラットフォームは、進行中のサイバー攻撃で使用されているすべてのTTPに対抗する包括的な検出コンテンツを提供します。最新の即時展開可能な行動検出アルゴリズムを常に把握し、組織が進化する脅威に十分に対応できるようにします。ゼロデイ、CTI、ATT&CKリファレンスを含むサイバー攻撃と脅威に関する豊富な文脈情報を探索し、レッドチームツールに関する洞察も得られます。自動的なリードオンリーのATT&CKデータ監査で検出スタックを簡単に検証し、ブラインドスポットを特定し、それらを積極的に対処して、組織固有のログに基づいた完全な脅威の可視性を達成します。SOC Primeプラットフォームで、出現する脅威に効果的に対抗するための適切なツールと知識でチームを装備してください。