Az amerikai székhelyű Ivanti szoftvergyártó vállalat figyelmeztette ügyfeleit egy kritikus Sentry API hitelesítési bypass sebezhetőségről. Az Ivanti Sentry biztonsági funkcióként működik a vállalati ActiveSync vagy Sharepoint szerverek számára a MobileIron telepítésekben, továbbá Kerberos Key Distribution Center Proxy (KKDCP) szerverként is működhet.
A mnemonic kiberbiztonsági vállalat kutatói által felfedezett és bejelentett kritikus sebezhetőség (CVE-2023-38035) lehetővé teszi a nem hitelesített támadók számára, hogy hozzáférjenek a MobileIron Configuration Service (MICS) által használt 8443-as porton keresztül az érzékeny admin portál konfigurációs API-khoz. Ezt az teszi lehetővé, hogy a nem eléggé korlátozó Apache HTTPD konfiguráció kihasználásával megkerülhetik a hitelesítési ellenőrzéseket. Ezután képesek konfiguráció módosításra, rendszerparancsok futtatására vagy fájlírásra az Ivanti Sentry 9.18-as és korábbi verzióit futtató rendszereken.
Az Ivanti azt tanácsolta a rendszergazdáknak, hogy korlátozzák a hozzáférést a belső menedzsment hálózatokra.
“Egyelőre csak korlátozott számú ügyfélről tudunk, akiket érint a CVE-2023-38035. Ez a sebezhetőség nem érinti az Ivanti más termékeit vagy megoldásait, például az Ivanti EPMM-et, a MobileIron Cloudot vagy az Ivanti Neurons for MDM-et” – közölte az Ivanti.
“A sebezhetőségről értesülve azonnal mozgósítottuk erőforrásainkat a probléma kijavítására, és most már minden támogatott verzióhoz rendelkezésre állnak RPM scriptek. Azt javasoljuk az ügyfeleknek, hogy először frissítsenek egy támogatott verzióra, majd alkalmazzák a kifejezetten az adott verzióhoz tervezett RPM scriptet” – tette hozzá a vállalat.
Az Ivanti ebben a cikkben részletes tájékoztatást nyújt a Sentry biztonsági frissítéseknek a támogatott verziókat futtató rendszerekre történő alkalmazásáról.
Április óta az államilag támogatott hackerek két további biztonsági rést használtak ki az Ivanti Endpoint Manager Mobile (EPMM), korábbi nevén MobileIron Core rendszerében.
Az egyik (CVE-2023-35078) egy jelentős hitelesítési sebezhetőség, amelyet kihasználva betörtek különböző norvég kormányzati szervek hálózatába. A sebezhetőség összekapcsolható a CVE-2023-35081 hibával, ami lehetővé teszi a rendszergazdai jogosultságokkal rendelkező támadók számára, hogy web shellt telepítsenek a megtámadott rendszerekre.
A CISA és a norvég Nemzeti Kiberbiztonsági Központ (NCSC-NO) közösen arra kérték az amerikai szövetségi ügynökségeket, hogy augusztus 15-ig, illetve augusztus 21-ig javítsák ki a két aktívan kihasználható hibát.
