研究人员已经披露了影响MobileIron的移动设备管理（MDM）解决方案的几个潜在的严重漏洞的详细信息，其中包括一个未经身份验证的攻击者可以利用该漏洞在受影响的服务器上远程执行代码的漏洞。

这些漏洞由安全咨询公司DEVCORE的研究人员识别出，并于4月初报告给MobileIron。补丁程序于6月15日发布，供应商于7月1日发布了公告。

可以利用这些安全漏洞进行远程代码执行（CVE-2020-15505），从目标系统读取任意文件（CVE-2020-15507），并远程绕过身份验证机制（CVE-2020-15506）。受影响的产品包括MobileIron Core（版本10.6和更早版本），MobileIron Sentry，MobileIron Cloud，企业连接器和报告数据库。

在上周发布的博客文章中，DEVCORE的Orange Tsai报告说，由于其广泛使用，他们决定分析MobileIron的产品-供应商声称有超过20,000家企业使用其解决方案，研究人员的分析表明，全球财富500强中超过15％各组织将其MobileIron服务器公开到Internet，包括Facebook。

值得注意的是，Orange Tsai是去年披露了影响 Palo Alto Networks，Fortinet和Pulse Secure的企业VPN产品的几个关键漏洞的研究人员之一。这些漏洞最终被许多攻击所利用，包括国家赞助的威胁组织。

Orange Tsai告诉《安全周刊》，利用CVE-2020-15505（与反序列化相关的问题）足以使远程未经身份验证的攻击者在易受攻击的MobileIron服务器上实现任意代码执行。

研究人员说，互联网上目前大约有10,000台可能暴露的服务器，虽然补丁已发布了数月，但他声称互联网上大约30％的服务器仍未打补丁。

在看到修补程序发布两周后Facebook未能修补其MobileIron服务器后，DEVCORE通过其漏洞赏金计划向社交媒体巨头报告了此问题。通过在其中一台服务器上“弹出外壳”向Facebook展示了该漏洞的影响。Facebook奖励了该报告的错误赏金，但金额并未透露。

披露了漏洞的详细信息后不久，有人创建并发布了CVE-2020-15505 的概念验证（PoC）漏洞。白帽黑客声称知道该漏洞赏金社区成员成功进行了利用尝试。