-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2020-0037 JPCERT/CC 2020-09-15 <<< JPCERT/CC Alert 2020-09-15 >>> 複数の MobileIron 製品の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200037.html I. 概要 MobileIron が提供する複数の MDM (Mobile Device Management) 関連製品に は、脆弱性 (CVE-2020-15505、CVE-2020-15506、CVE-2020-15507) があります。 脆弱性が悪用されると、認証されていない遠隔の第三者が任意のコードを実行 したり、認証を回避したり、任意のファイルを読み取ったりする可能性があり ます。詳細については、MobileIron が提供する情報を確認してください。 MobileIron MobileIron Security Updates Available https://www.mobileiron.com/en/blog/mobileiron-security-updates-available 本脆弱性に関する情報や修正パッチは 2020年6月に公開されていますが、2020年 9月12日、脆弱性の発見者が脆弱性の詳細を解説する発表や記事を公開し、そ の後、本脆弱性を実証するとみられるコード (PoC) が公開されています。 今後、本脆弱性の悪用を試みる通信や攻撃が増加する恐れがあり、結果として、 本脆弱性を悪用して製品から窃取した情報を元に、攻撃者が更なる侵害や攻撃 を行う可能性もあります。本脆弱性の影響を受ける製品をご利用の場合、速や かに利用状況の確認やパッチ適用などの対応を実施することを推奨します。 II. 対象 対象となる製品とバージョンは次のとおりです。 - MobileIron Core 10.6 およびそれ以前 - MobileIron Sentry 9.8 およびそれ以前 - MobileIron Cloud - Enterprise Connector 10.6 およびそれ以前 - Reporting Database (RDB) III. 対策 2020年6月15日、MobileIron が本脆弱性を修正するパッチを提供しています。 MobileIron が提供する情報を参考に、速やかにパッチを適用することを推奨 いたします。 MobileIron https://help.mobileiron.com/s/article-detail-page?Id=kA12T000000g065SAA (要ログイン) IV. 参考情報 MobileIron MobileIron Security Updates Available https://www.mobileiron.com/en/blog/mobileiron-security-updates-available Orange Tsai How I Hacked Facebook Again! Unauthenticated RCE on MobileIron MDM https://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html 今回の件につきまして提供いただける情報がございましたら、JPCERT/CC まで ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) 早期警戒グループ Email: ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJfYCAbAAoJEKntH+qu5CT/6IcP/AhaKWoFrujzN1H3HZWJOBBD oCcTFLZXaFWVZDiatY1JESRweKnfWcpLhr4tBB8XG6X7XS0Tp9gok3CJD/r4b6J/ Tj1QrTT1o88qq7KTo/VR9WHBpj043RCT+HYmGyrS6Ga35Yyf1qOMIOyl4j9XFx0B oLv95QXIMrqrj0u3kngNMTbYLdXeO6CRAGCpTnHt9dZ3ZuMKFOttJkk2TWdd1VNe 0hL4QbFHeT0pXNNPUnXsuXcx6yfkxNJsD9zhbSUdig4aY9a8PDFhIC0B9gnA92D+ eEaUcXSzaJcVKAtGacrW87wLjY411dcipHPGH0Natu5PwX/1YaCq220cthzrUCY9 241da6XkTcvqXpkcKadut7U6+ZmJDq3RbtlY8pLB0ZXGS/Fk3cGmaGg2i+A0/NW/ qOA7LV9ysjVPQEnqCOEeCOf8mnltk/SFk+mtmWNlKL6ohI5cqTlpzVRJ551CJh6T emGjPOh+JbsMdr+h6HPNpJzSpvf+7znoRTHshwQNgMmUF580uQCLx9zGVFb8W/AM akng9wyfdLLIGTay/xzVt/CDsCp2PJ5qVSBpMaC7Jz5pgiBQd1R4bTWHfBEpKELz VB7SysgNBdZPPYqKkXuq1jMHvWPpGokjuLTZbU6/TMz+JLwPFF0hhk+5qHcEN0KF SPK0EWtgBJ4tgeHPNQro =vmfQ -----END PGP SIGNATURE-----