Ivanti выпускает исправления для эксплуатируемой ошибки шлюза Sentry • The Register

Критическая ошибка обхода аутентификации в MobileIron Sentry была использована в реальных условиях, сообщил ее производитель Ivanti в сообщении в понедельник.

Эта уязвимость, отслеживаемая как CVE-2023-38035, имеет рейтинг 9,8 из 10 с точки зрения серьезности CVSS и, строго говоря, относится к Ivanti Sentry, ранее известной как MobileIron Sentry. Это шлюз, который управляет и шифрует трафик между мобильными устройствами организации и серверными системами.

Эксплуатация этой уязвимости может привести к тому, что злоумышленник получит контроль над этим конфиденциальным компонентом сети. Для этого злоумышленники должны иметь доступ к порту административного API 8443 уязвимого развертывания Sentry, которое может быть скрыто от публичного доступа. По словам Иванти, до сих пор эта уязвимость затронула «ограниченное» число клиентов.

Злоумышленники могут использовать эту дыру для обхода аутентификации в административном интерфейсе из-за недостаточно ограничительной конфигурации Apache HTTPd. Оттуда они могут получить доступ к некоторым конфиденциальным API-интерфейсам администратора, используемым для настройки Sentry, через порт 8443.

«Успешная эксплуатация может быть использована для изменения конфигурации, запуска системных команд или записи файлов в систему», — поясняется в предупреждении системы безопасности. «На данный момент нам известно лишь об ограниченном числе клиентов, затронутых CVE-2023-38035».

Есть хорошие новости. «Несмотря на то, что проблема имеет высокий рейтинг CVSS, существует низкий риск эксплуатации для клиентов, которые не предоставляют порт 8443 доступу в Интернет», — заявил Иванти. Нам сообщили, что Ivanti Sentry версии 9.18 и более ранние затронуты, и ошибка не затрагивает другие продукты Ivanti.

«Узнав об уязвимости, мы немедленно мобилизовали ресурсы для устранения проблемы и теперь имеем доступные сценарии RPM для поддерживаемых версий. Каждый сценарий настроен для одной версии». Поставщик также отметил, что применение неправильного сценария может помешать устранению проблемы или вызвать «нестабильность системы».

Компания отказалась отвечать на конкретные вопросы The Register о недостатке безопасности, в том числе о том, сколько клиентов было скомпрометировано.

Сегодняшнее предупреждение является третьим подобным предупреждением производителя программного обеспечения менее чем за месяц.

В конце июля злоумышленники воспользовались CVE-2023-35078, еще одной уязвимостью обхода удаленной аутентификации в Ivanti Endpoint Manager Mobile (EPMM), чтобы скомпрометировать жертвы 12 норвежских правительственных учреждений по крайней мере до того, как разработчик выпустит исправление.

По данным CISA правительства США и Норвежского национального центра кибербезопасности, тот, кто воспользовался этой критической уязвимостью, провел по меньшей мере четыре месяца, шпионя за системами своих жертв и похищая данные, прежде чем было обнаружено вторжение.

Обе страны также предупредили о «возможности широкого использования» программного обеспечения Ivanti как в государственных, так и в корпоративных сетях.

Всего несколько дней спустя Иванти исправил вторую уязвимость EPMM, имевшую номер CVE-2023-35081.

Эта ошибка требовала, чтобы злоумышленник вошел в систему как администратор, чтобы загрузить произвольные файлы на сервер веб-приложений EPMM. Кто-то может использовать это для загрузки веб-шелла на уязвимый сервер и удаленного управления защищенным ящиком, если он сможет получить учетные данные администратора или повысить привилегии через другую уязвимость (скажем, вышеупомянутый CVE-2023-35078?)

Ни Иванти, ни какое-либо из правительственных агентств, расследующих вторжения, до сих пор не приписали какой-либо из этих подвигов национальному государству или преступной группировке. ®

Присылайте нам новости