ABD merkezli BT yazılım şirketi Ivanti, bugün müşterilerini kritik bir Sentry API kimlik doğrulama baypas güvenlik açığından yararlanıldığı konusunda uyardı.
Ivanti Sentry (eski adıyla MobileIron Sentry), Microsoft Exchange Server gibi kurumsal ActiveSync sunucuları veya MobileIron dağıtımlarındaki Sharepoint sunucuları gibi arka uç kaynakları için bir ağ geçidi olarak işlev görür ve aynı zamanda bir Kerberos Anahtar Dağıtım Merkezi Proxy (KKDCP) sunucusu olarak da çalışabilir.
Siber güvenlik şirketi mnemonic’teki güvenlik araştırmacıları tarafından keşfedilen ve bildirilen kritik güvenlik açığı (CVE-2023-38035), kimliği doğrulanmamış saldırganların MobileIron Yapılandırma Hizmeti (MICS) tarafından kullanılan 8443 numaralı bağlantı noktası üzerinden açığa çıkan hassas yönetici portalı yapılandırma API’lerine erişmesini sağlar.
Yeterince kısıtlayıcı olmayan bir Apache HTTPD yapılandırmasından yararlanarak kimlik doğrulama kontrollerini atladıktan sonra bu mümkündür.
Başarılı bir kullanım, yapılandırmayı değiştirmelerine, sistem komutlarını çalıştırmalarına veya Ivanti Sentry 9.18 ve önceki sürümlerini çalıştıran sistemlere dosya yazmalarına olanak tanır.
Ivanti, yöneticilere MICS’i İnternet’e maruz bırakmamalarını ve dahili yönetim ağlarına erişimi kısıtlamalarını tavsiye etti.
Ivanti, “Şu an itibariyle, yalnızca sınırlı sayıda müşterinin CVE-2023-38035’ten etkilendiğinin farkındayız. Bu güvenlik açığı, Ivanti EPMM, MobileIron Cloud veya Ivanti Neurons for MDM gibi diğer Ivanti ürünlerini veya çözümlerini etkilemiyor.” .
Şirket, “Güvenlik açığını öğrendikten sonra, sorunu çözmek için hemen kaynakları seferber ettik ve artık desteklenen tüm sürümler için RPM betiklerine sahibiz. Müşterilere önce desteklenen bir sürüme yükseltme yapmalarını ve ardından kendi sürümleri için özel olarak tasarlanmış RPM betiğini uygulamalarını öneriyoruz.” katma.
Ivanti, bu bilgi bankası makalesinde Sentry güvenlik güncellemelerinin desteklenen sürümleri çalıştıran sistemlere uygulanması hakkında ayrıntılı bilgi sağlar.
Nisan ayından bu yana saldırılarda yararlanılan diğer Ivanti hataları
Nisan ayından bu yana, devlet destekli bilgisayar korsanları, daha önce MobileIron Core olarak bilinen Ivanti’nin Endpoint Manager Mobile (EPMM) içindeki iki ek güvenlik açığından yararlandı.
Bunlardan biri (CVE-2023-35078 olarak izlenir), Norveç’teki çeşitli devlet kuruluşlarının ağlarını ihlal etmek için sıfır gün olarak kötüye kullanılan önemli bir kimlik doğrulama bypass’ıdır.
Güvenlik açığı ayrıca bir dizin geçiş kusuru (CVE-2023-35081) ile zincirlenebilir ve tehdit aktörlerine, güvenliği ihlal edilmiş sistemlere web kabukları dağıtma yeteneği sağlayan yönetici ayrıcalıkları verebilir.
“Gelişmiş kalıcı tehdit (APT) aktörleri, CVE-2023-35078’i en az Nisan 2023’ten Temmuz 2023’e kadar sıfır gün olarak kullanarak çeşitli Norveç kuruluşlarından bilgi toplamanın yanı sıra bir Norveç devlet kurumunun ağına erişim elde etmek ve onu tehlikeye atmak için kullandı.” CISA, Ağustos ayı başlarında yayınlanan bir danışma belgesinde söyledi.
CISA’nın Norveç Ulusal Siber Güvenlik Merkezi (NCSC-NO) ile ortak danışmanlığı, bu ayın başlarında yayınlanan ve ABD federal kurumlarından aktif olarak kullanılan iki kusuru 15 Ağustos ve 21 Ağustos’a kadar düzeltmelerini isteyen emirleri takip etti.
Bir hafta önce Ivant, bir kurumsal mobilite yönetimi (EMM) çözümü olan Avalanche yazılımında CVE-2023-32560 olarak izlenen ve istismarın ardından çökmelere ve rastgele kod yürütülmesine yol açabilecek iki kritik yığın tabanlı arabellek taşmasını da düzeltti.