在2023年公布的零时差漏洞当中，有些往往是因为资安研究人员在调查事故的过程，意外发现骇客运用未曾揭露的手法，从而发现未被列管的漏洞，通报软体业者进行修补。

然而，里面有个重大漏洞很特别，厂商虽然着手进行修补，却并未公开，也没透露已经被用于攻击行动，直到研究人员公布厂商的文件，以及受害组织出面，才引起各界的关注。

而这个产生公开揭露争议的资安漏洞，就是存在Ivanti行动装置管理平台Endpoint Manager Mobile（EPMM，原名MobileIron Core） 的危急漏洞：CVE-2023-35078，CVSS风险评为10分。

身为受害者的挪威政府，表明他们因为CVE-2023-35078漏洞的关係，所以，导致12个机关使用的系统平台遭到骇客入侵。

恰巧在当局公布此事的同一天，Ivanti私下针对客户提供修补程式及说明，且表示已有部分客户遭到漏洞利用攻击，当时，该公司并未直接对外界公开说明此事。

值得留意的是，有许多国家的政府机关也採用EPMM，而使得这样的漏洞影响範围可能相当广泛。

然而，身为资安业者，当时Ivanti不仅不愿公开漏洞资讯，甚至传出有客户询问细节、却被要求签下保密协定（NDA）的情况，因而引起资安研究人员的挞伐。

外界更是直到研究人员转发看到的漏洞资讯，以及挪威政府证实遭骇的情况，才得知这项漏洞带来的危险。

基于这项漏洞引起的资安事故相当严重，且受害组织是政府机关，我们决定将其列入2023年的十大漏洞，不过因为后续并未传出其他灾情，所以，相较于其他影响範围较为广泛的漏洞，还是给予较为后面的排名。

漏洞的揭露源于挪威政府的公告

这漏洞引起关注的原因，在于7月24日挪威安全与服务组织（DSS）证实，骇客利用第三方软体的零时差漏洞发动攻击，导致12个挪威政府机关採用的ICT平台遭到入侵，DSS察觉攻击行动之后，通报挪威国家安全局（NSM），接着该国警方着手调查。

挪威资料保护局也被通报，得知骇客可能从ICT系统窃得敏感资料，12个部门员工无法用DSS行动应用程式办公，这些人员若能透过电脑存取相关服务，则不受此状况影响。

而对于前述的零时差漏洞，挪威国家安全局透露是CVE-2023-35078，该漏洞存在于行动装置管理平台EPMM。

事隔数日，另一个被同时利用的零时差漏洞公布

Ivanti于7月28日发布EPMM更新软体，当中修补另一项漏洞CVE-2023-35081，CVSS风险评为7.2分。此为路径穿越漏洞，通过身分验证的管理员能用来对EPMM伺服器写入任意档案。

值得留意的是，该公司提及这项漏洞能与CVE-2023-35078搭配使用，进一步绕过管理员的身分验证程序，以及存取控制列表（ACL）的管制。

一旦成功同时利用上述2项漏洞，攻击者就能对EPMM的实体写入恶意档案，进而透过名为tomcat的使用者来执行作业系统层级的命令。

该公司透露，遭受CVE-2023-35078漏洞攻击的客户，攻击者也同样利用了CVE-2023-35081对其下手。

?相关报导?