Ivanti Sentry güvenlik ağ geçidi ürününün hemen hemen her sürümünü kullanan kuruluşlar, teknolojide sıfır gün gibi görünen bir güvenlik açığını gidermek için şirketin bugün yayınladığı güvenlik düzeltme ekini hemen uygulamak isteyebilir.
CVE-2023-38035 olarak izlenen güvenlik açığı, yöneticilerin güvenlik politikalarını yapılandırmak için kullandıkları arayüzde bulunur ve saldırganlara kimlik doğrulama kontrollerini atlamaları için bir yol sağlar. Kusur, desteklenen tüm Sentry sürümlerini (918, 9.17 ve 9.16) etkiler. Sentry’nin daha eski, desteklenmeyen sürümleri ve yayınları da bu güvenlik açığından yararlanma riski altındadır.
Kimliği Doğrulanmamış Erişim
Satıcı yaptığı açıklamada, “Bu güvenlik açığı kötüye kullanılırsa, kimliği doğrulanmamış bir aktörün yönetici portalında (bağlantı noktası 8443, genellikle MICS) Ivanti Sentry’yi yapılandırmak için kullanılan bazı hassas API’lere erişmesine olanak tanır.”
Hatadan başarıyla yararlanan bir saldırgan, ağ geçidinin yapılandırmasını değiştirebilir, sistem komutlarını yürütebilir ve sisteme rasgele dosyalar yazabilir. Ivanti, riski azaltmak için, kuruluşların yönetici portalına erişimi yalnızca dahili yönetim ağlarıyla sınırlaması gerektiğini, İnternet ile sınırlamaması gerektiğini söyledi.
Hatanın önem derecesi, olası 10 üzerinden 9,8’dir ve bu da onu kritik bir sorun haline getirir. Bununla birlikte, Ivanti’ye göre kusur, HTTPS veya SSL şifreli web trafiği için 8443 numaralı bağlantı noktasını İnternet’e göstermeyen kuruluşlar için çok az risk oluşturuyor.
En az bir medya raporu, Ivanti’nin kusuru açıkladığı sırada saldırganların zaten CVE-2023-38035’ten yararlandığını bildirdi ve bu, tanımı gereği onu sıfır gün hatası yapacaktı.
Ivanti’nin kendisi, bu karakterizasyonun onaylanması için bir Karanlık Okuma talebine doğrudan yanıt vermedi. Saldırganın şu ana kadar kaç müşteriyi tehlikeye atmış olabileceğine dair bilgi arayan bir soruya da yanıt vermedi. Bunun yerine şirket, güvenlik açığı hakkında bugün yayınladığı bir bloga ve bir danışma belgesine işaret etti. Hiçbiri, kusuru hedefleyen aktif istismar faaliyetinden bahsetmedi.
Kısa, iki cümlelik bir açıklamada Ivanti, güvenlik açığından yalnızca “çok sınırlı sayıda müşterinin” etkilendiğinin farkında olduğunu söyledi.
Çekici Hedef
Önceden MobileIron Sentry olan Ivanti Sentry, Ivanti’nin daha geniş Birleşik Uç Nokta Yönetimi ürünleri portföyünün bir parçasıdır. Kuruluşların mobil cihazlar ve arka uç sistemleri arasındaki trafiği yönetmesine, şifrelemesine ve korumasına olanak tanıyan bir ağ geçidi teknolojisidir. Ivanti’nin kendisi, Sentry’yi bir kuruluşun Microsoft Exchange Server’ına veya diğer ActiveSync sunucusuna veya Sharepoint sunucusu gibi arka uç sistemlerine bir tür bekçi olarak hizmet ediyor olarak tanımlıyor. Sentry, Kerberos Anahtar Dağıtım Merkezi Proxy (KKDCP) sunucusu olarak da kullanılabilir.
Son yıllarda birçok şirket, uzaktan çalışanların kişisel olarak sahip olunan ve şirket tarafından verilen mobil cihazları kullanarak kurumsal uygulamalara ve cihazlara güvenli bir şekilde erişebilmesini sağlamak için bu tür teknolojileri devreye aldı. Artan kullanımları, güvenlik araştırmacıları ve saldırganların artan ilgisini çekmiştir. Örneğin daha geçen ay saldırganlar, Ivanti Endpoint Manager’da bir uzak API erişim güvenlik açığı bulup istismar ettikten sonra 12 Norveç devlet kurumuna ait sistemlere girdi. CVE-2023-35078 olarak izlenen hata, saldırganların verilere erişmesine ve verileri çalmasına, cihaz yapılandırma bilgilerini değiştirmesine ve bir yönetici hesabı eklemesine izin verdi. Bu ayın başlarında Ivanti, Trend Micro’nun Zero-Day Initiative şirketinin hatayı şirkete bildirmesinin ardından bu sefer Avalanche mobil yönetim teknolojisinde başka bir hatayı (CVE-2023-32560) açıkladı.
Ivanti, güvenlik satıcısı mnemonic’teki araştırmacılara kredi verdi[[<