Ivanti, Ivanti Bağımsız Nöbetçi'de NATO Siber Güvenlik Merkezi'ndeki araştırmacılar tarafından bildirilen kritik bir RCE güvenlik açığını (CVE-2023-41724) düzeltti.
Şirket, kusur nedeniyle müşterilerinin riske girdiğinin farkında olmasa da, onları yamayı derhal uygulamaya “şiddetle teşvik ediyor”.
CVE-2023-41724 Hakkında
Ivanti Standalone Sentry, cihazlar ile bir kuruluşun ActiveSync özellikli e-posta sunucuları (örn. Microsoft Exchange Server) veya arka uç kaynağı (örn. Microsoft Sharepoint sunucusu) arasında ağ geçidi görevi gören bir cihazdır. Kerberos Anahtar Dağıtım Merkezi Proxy (KKDCP) sunucusu olarak da yapılandırılabilir.
Her zamanki gibi güvenlik açığının doğasıyla ilgili ayrıntılar paylaşılmadı ancak Ivanti, aynı fiziksel veya mantıksal ağ içindeki kimliği doğrulanmamış bir tehdit aktörünün, cihazın işletim sisteminde rastgele komutlar yürütmek için CVE-2023-41724'ten yararlanabileceğini açıkladı.
Şirket, “EPMM aracılığıyla kayıtlı geçerli bir TLS istemci sertifikası olmayan tehdit aktörleri, bu sorundan doğrudan İnternet üzerinden yararlanamaz” dedi.
Güvenlik açığı, Ivanti Standalone Sentry'nin desteklenen tüm sürümlerinin (9.17.0, 9.18.0 ve 9.19.0) yanı sıra daha eski, desteklenmeyen sürümlerini de (<9.17.0) etkilemektedir. İkincisinin kullanıcılarının desteklenen bir sürüme yükseltmeleri ve yamayı (9.17.1, 9.18.1 veya 9.19.1) dağıtmaları önerilir.
CVE-2023-46808 Hakkında
Eş zamanlı olarak Ivanti, yardım masaları ve teknik destek ekiplerine yönelik bir BT hizmet yönetimi çözümü olan ITSM için Ivanti Neurons'u etkileyen başka bir kritik güvenlik açığına (CVE-2023-46808) yönelik mevcut düzeltmeleri de duyurdu.
Bu, bir saldırganın hassas dizinlere dosya yazmasına ve dolayısıyla web uygulamasının kullanıcısı bağlamında komutlar yürütmesine olanak tanıyan bir güvenlik açığıdır. Ancak bunu yapabilmek için öncelikle saldırganın sistem tarafından kimliğinin doğrulanması gerekir.
CVE-2023-46808 ayrıca sorumlu açıklama programı aracılığıyla Ivanti'ye özel olarak rapor edildi ve şirket, “açıklama sırasında herhangi bir müşterinin bu güvenlik açığından yararlandığının farkında olmadıklarını” söyledi.
Yine de kuruluşların şirket içi kurulumlarını mümkün olan en kısa sürede v2023.3, 2023.2 veya 2023.1 düzeltmesini içeren bir sürüme yükseltmeleri gerekiyor.
Şirket, Ivanti'nin yamayı ITSM Bulut ortamları için tüm Ivanti Neuron'lara zaten uyguladığını belirtti.
Ivanti Connect Secure VPN, Ivanti EPMM ve MobileIron Core'daki 0 günlük ve 1 günlük güvenlik açıklarının istismar edilmesini içeren son saldırılar göz önüne alındığında, Ivanti'nin hızlı eylem tavsiyesi anlaşılabilir.
Şirket, CVE-2023-41724 ve CVE-2023-46808'in geçen yıl rapor edildiğini ve bu nedenle “2023” ile başlayan bir CVE numarasına sahip olduklarını açıkladı. “Ivanti'nin politikası, bir CVE aktif olarak kullanılmadığında, bir düzeltme mevcut olduğunda güvenlik açığını açıklamamızdır, böylece müşteriler, çevrelerini korumak için ihtiyaç duydukları araçlara sahip olurlar.”