高危漏洞详情与潜在影响
近日,网络安全研究人员披露了影响Ivanti Endpoint Manager Mobile(EPMM,前身为MobileIron Core)的一个严重安全漏洞,其编号为CVE-2023-35078。该漏洞被归类为身份验证绕过漏洞,CVSS风险评分高达10.0,属于最高危级别。攻击者可以在无需任何身份验证的情况下,通过网络直接访问EPMM管理控制台的后台API接口。成功利用此漏洞,攻击者能够读取、修改或删除服务器上的敏感数据,包括但不限于用户账户信息、设备配置以及通过平台管理的各类企业应用数据。更严重的是,在特定配置条件下,该漏洞可能进一步与其他缺陷结合,导致远程代码执行(RCE),从而完全控制受影响的EPMM服务器。

受影响的版本与攻击活动确认
根据Ivanti官方发布的公告,此漏洞影响EPMM(即MobileIron Core)的多个旧版本。具体而言,版本11.4及更早的11.x系列,以及版本10.6及更早的10.x系列均存在风险。目前,Ivanti已确认在野攻击活动正在积极利用该漏洞,这意味着已有真实世界的攻击者利用此漏洞入侵未受保护的系统。由于EPMM广泛应用于政府、金融、医疗及大型企业,用于集中管理智能手机、平板电脑等移动设备的安全策略和应用分发,一旦服务器被攻破,可能导致大规模的内部网络信息泄露,甚至成为攻击者向内网渗透的跳板。
官方修复方案与紧急缓解措施
针对这一紧急威胁,Ivanti迅速做出了响应,并发布了安全更新以修补漏洞。官方强烈建议所有用户立即将EPMM系统升级至已修复的版本,包括EPMM 11.8及更高版本、EPMM 11.7.1及更高版本,或EPMM 11.6.1.3及更高版本。对于无法立即安排升级的用户,Ivanti也提供了一系列临时缓解措施。首要建议是将EPMM管理控制台的访问权限严格限制在可信的、必要的内部网络IP地址范围内,避免将其直接暴露在互联网上。同时,管理员应审查系统日志,排查是否存在异常访问记录,并更改所有相关管理账户的密码。
企业移动安全管理的最佳实践启示
此次漏洞事件再次为企业移动设备管理(MDM/EMM)的安全性敲响了警钟。移动设备管理平台作为企业IT基础设施的关键组成部分,拥有极高的权限,其自身的安全性至关重要。企业安全团队应建立常态化的资产梳理机制,确保清楚所有在用的MDM/EMM服务器版本及部署位置。必须严格遵循最小权限原则和网络隔离原则,不应将管理界面直接对公网开放。此外,建立快速响应机制,订阅所使用产品的官方安全通告,确保在关键漏洞披露后的“黄金修补时间”内完成评估与修复,是降低此类高危漏洞风险的核心环节。
长期安全加固与纵深防御
单次漏洞的修复并非终点。从长远来看,企业需要构建针对移动设备管理平台的纵深防御体系。这包括在网络层面部署下一代防火墙或Web应用防火墙(WAF),设置针对异常API请求的检测规则;在主机层面,确保EPMM服务器操作系统及时打补丁,并遵循安全基线进行配置;在运维层面,实施多因素认证(MFA)以增强管理后台的登录安全,即使发生凭证泄露也能增加一道屏障。定期进行安全评估和渗透测试,主动发现潜在弱点,也是提升整体安全水平不可或缺的一环。
