Базираната в САЩ компания за ИТ софтуер Ivanti предупреди днес клиентите си, че критична уязвимост на Sentry API за заобикаляне на удостоверяването се използва в дивата природа.
Ivanti Sentry (по-рано MobileIron Sentry) функционира като пазач за корпоративни ActiveSync сървъри като Microsoft Exchange Server или backend ресурси като Sharepoint сървъри в MobileIron внедрявания и може да работи и като Kerberos Key Distribution Center Proxy (KKDCP) сървър.
Открита и докладвана от изследователи в компанията за киберсигурност mnemonic, критичната уязвимост (CVE-2023-38035) позволява на неавтентифицирани нападатели да получат достъп до чувствителни API за конфигуриране на администраторския портал, изложени през порт 8443, използван от MobileIron Configuration Service (MICS).
Това е възможно, след като те заобиколят контрола за удостоверяване, като се възползват от недостатъчно рестриктивна конфигурация на Apache HTTPD.
Успешната експлоатация им позволява да променят конфигурацията, да изпълняват системни команди или да записват файлове в системи, работещи с Ivanti Sentry версии 9.18 и по-ранни.
Ivanti съветва администраторите да не излагат MICS в интернет и да ограничават достъпа до вътрешните мрежи за управление.
„Към момента ни е известно само за ограничен брой клиенти, засегнати от CVE-2023-38035. Тази уязвимост не засяга други продукти или решения на Ivanti, като Ivanti EPMM, MobileIron Cloud или Ivanti Neurons for MDM“, заявиха от Ivanti.
„След като научихме за уязвимостта, незабавно мобилизирахме ресурси, за да отстраним проблема, и вече имаме налични RPM скриптове за всички поддържани версии. Препоръчваме на клиентите първо да преминат към поддържана версия и след това да приложат RPM скрипта, специално разработен за тяхната версия“, добави компанията.
Ivanti предоставя подробна информация за прилагането на актуализациите за сигурност на Sentry в системите с поддържани версии в тази статия от базата знания.
Други грешки на Ivanti, използвани при атаки от април насам
От април насам спонсорирани от държавата хакери са използвали две допълнителни уязвимости в сигурността в Endpoint Manager Mobile (EPMM) на Ivanti, известен преди това като MobileIron Core.
Едната от тях (проследена като CVE-2023-35078) е значителен заобиколен механизъм за удостоверяване, който е бил използван като нулев ден за пробив в мрежите на различни правителствени структури в Норвегия.
Уязвимостта може да бъде верижно свързана и с недостатък при обхождане на директории (CVE-2023-35081), като предоставя на участници в заплахи с административни привилегии възможността да разполагат уеб обвивки в компрометирани системи.
„Активисти на напреднали постоянни заплахи (APT) използваха CVE-2023-35078 като нулев ден поне от април 2023 г. до юли 2023 г., за да съберат информация от няколко норвежки организации, както и да получат достъп до мрежата на норвежка правителствена агенция и да я компрометират“, заяви CISA в консултация, публикувана в началото на август.
Съвместната консултация на CISA с Националния център за киберсигурност на Норвегия (NCSC-NO) последва издадените по-рано този месец заповеди, с които се иска федералните агенции на САЩ да закърпят двата активно експлоатирани недостатъка до 15 и 21 август.
Преди една седмица Ivant поправи и две критични препълвания на буфера, базирани на стека, проследени като CVE-2023-32560 в своя софтуер Avalanche, решение за управление на мобилността в предприятието (EMM), които могат да доведат до сривове и изпълнение на произволен код след експлоатация.
