複数の MobileIron 製品の脆弱性に関する注意喚起

　JPCERT/CCからの「複数の MobileIron 製品の脆弱性に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2020-0037
JPCERT/CC
2020-09-15

<<< JPCERT/CC Alert 2020-09-15 >>>
複数の MobileIron 製品の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200037.html

I.概要

MobileIron が提供する複数の MDM (Mobile Device Management) 関連製品には、脆弱性 (CVE-2020-15505、CVE-2020-15506、CVE-2020-15507) があります。
脆弱性が悪用されると、認証されていない遠隔の第三者が任意のコードを実行したり、認証を回避したり、任意のファイルを読み取ったりする可能性があります。詳細については、MobileIron が提供する情報を確認してください。

MobileIron

MobileIron Security Updates Available
https://www.mobileiron.com/en/blog/mobileiron-security-updates-available

本脆弱性に関する情報や修正パッチは 2020年6月に公開されていますが、2020年9月12日、脆弱性の発見者が脆弱性の詳細を解説する発表や記事を公開し、その後、本脆弱性を実証するとみられるコード (PoC) が公開されています。

今後、本脆弱性の悪用を試みる通信や攻撃が増加する恐れがあり、結果として、本脆弱性を悪用して製品から窃取した情報を元に、攻撃者が更なる侵害や攻撃を行う可能性もあります。本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認やパッチ適用などの対応を実施することを推奨します。

II.対象

対象となる製品とバージョンは次のとおりです。

– MobileIron Core 10.6 およびそれ以前

– MobileIron Sentry 9.8 およびそれ以前
– MobileIron Cloud
– Enterprise Connector 10.6 およびそれ以前
– Reporting Database (RDB)

III.対策

2020年6月15日、MobileIron が本脆弱性を修正するパッチを提供しています。MobileIron が提供する情報を参考に、速やかにパッチを適用することを推奨いたします。

MobileIron

https://help.mobileiron.com/s/article-detail-page?Id=kA12T000000g065SAA (要ログイン)

IV. 参考情報

MobileIron
MobileIron Security Updates Available
https://www.mobileiron.com/en/blog/mobileiron-security-updates-available

Orange Tsai

How I Hacked Facebook Again! Unauthenticated RCE on MobileIron MDM
https://blog.orange.tw/2020/09/how-i-hacked-facebook-again-mobileiron-mdm-rce.html

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email:
https://www.jpcert.or.jp/