JPCERT コーディネーションセンター

複数の MobileIron 製品の脆弱性に関する注意喚起

各位

JPCERT-AT-2020-0037
JPCERT/CC
2020-09-15

JPCERT/CC Alert 2020-09-15


複数の MobileIron 製品の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2020/at200037.html

I. 概要MobileIron が提供する複数の MDM (Mobile Device Management) 関連製品には、脆弱性 (CVE-2020-15505、CVE-2020-15506、CVE-2020-15507) があります。脆弱性が悪用されると、認証されていない遠隔の第三者が任意のコードを実行したり、認証を回避したり、任意のファイルを読み取ったりする可能性があります。詳細については、MobileIron が提供する情報を確認してください。

MobileIron
MobileIron Security Updates Available
https://www.mobileiron.com/en/blog/mobileiron-security-updates-available

本脆弱性に関する情報や修正パッチは 2020年6月に公開されていますが、2020年9月12日、脆弱性の発見者が脆弱性の詳細を解説する発表や記事を公開し、その後、本脆弱性を実証するとみられるコード (PoC) が公開されています。

今後、本脆弱性の悪用を試みる通信や攻撃が増加する恐れがあり、結果として、本脆弱性を悪用して製品から窃取した情報を元に、攻撃者が更なる侵害や攻撃を行う可能性もあります。本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認やパッチ適用などの対応を実施することを推奨します。


II. 対象対象となる製品とバージョンは次のとおりです。

- MobileIron Core 10.6 およびそれ以前
- MobileIron Sentry 9.8 およびそれ以前
- MobileIron Cloud
- Enterprise Connector 10.6 およびそれ以前
- Reporting Database (RDB)


III. 対策2020年6月15日、MobileIron が本脆弱性を修正するパッチを提供しています。MobileIron が提供する情報を参考に、速やかにパッチを適用することを推奨いたします。

MobileIron
https://help.mobileiron.com/s/article-detail-page?Id=kA12T000000g065SAA (要ログイン)


IV. 参考情報
MobileIron
MobileIron Security Updates Available
https://www.mobileiron.com/en/blog/mobileiron-security-updates-available

Orange Tsai
How I Hacked Facebook Again! Unauthenticated RCE on MobileIron MDM
https://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CC までご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter