英国呼吁各大组织尽速修补MobileIron行动装置管理漏洞2020-15505

英国国家网络安全中心（National Cyber Security Centre，NCSC）周一（11/23）呼吁，有不同的骇客团队正尝试开采位于MobileIron行动装置管理服务器中的2020-15505漏洞，建议各大组织尽速修补，使得此一由台湾戴夫寇尔首席资安研究员蔡政达（Orange Tsai）所揭露的漏洞，再度跃上国际版面。

Orange Tsai是在今年4月发现MobileIron Core含有3个安全漏洞，并将它们提报给MobileIron。MobileIron主要开发行动装置管理平台，Core则是该平台的管理控制台，专门用来定义装置、程式与内容的安全与管理政策，亦可整合企业的IT系统；MobileIron在检视Orange Tsai所提报的漏洞之后，发现它们不仅影响MobileIron Core，也波及MobileIron Cloud，并于今年6月15日释出了修补程式。

这3个漏洞被赋予的编号分别是CVE-2020-15505、CVE-2020-15506与CVE-2020-15507，其中CVE-2020-15505与CVE-2020-15506的CVSS v3风险指数皆高达9.8，前者属于远端程式攻击漏洞，后者则为认证绕过漏洞，CVE-2020-15507的CVSS v3风险指数为7.5，为一任意档案读取漏洞。

CVE-2020-15505初期似乎并未受到重视，因为Orange Tsai在今年7月2日还以该漏洞攻陷了脸书的MobileIron服务器，并成功渗透到脸书的内部网络。

然而，当针对CVE-2020-15505的概念性验证攻击程式于9月现身之后，该漏洞旋即受到不同骇客团队的青睐。根据Perch Security的追踪，该概念性验证程式是在9月21日被张贴到GitHub，但9月24日便有不同的骇客团队企图开采相关漏洞。

继之美国网络安全暨基础架构安全署（CISA）与联邦调查局（FBI）即于10月12日警告，有多个先进持续性威胁（APT）骇客组织正同时串联Windows Zerologon、CVE-2020-15505与FortiOS SSL VPN漏洞CVE-2018-13379展开攻击。

而美国国安局在10月20日所公布的25个被中国骇客锁定的重大漏洞中，CVE-2020-15505亦名列其中。

NCSC也在本周警告，CVE-2020-15505已成为多个APT国家级骇客与犯罪集团的攻击目标，而且企图危害英国组织的网络。NCSC指出，行动装置管理系统允许系统管理员从单一服务器上管理组织内的所有行动装置，使得它们对骇客而言特别有价值。

根据Perch Security在今年10月底的扫描，全球网络约有5,000台MobileIron服务器，当中仍有4成尚未修补相关漏洞。NCSC则强烈建议采用MobileIron平台的组织安装必要的更新。