Ivanti, Ivanti Sentry (eski adıyla MobileIron Sentry) ağ geçitlerinin yöneticilerini, yapılandırmayı değiştirmek, sistem komutlarını çalıştırmak veya güvenlik açığı bulunan sisteme dosya yazmak için kullanılabilecek yeni keşfedilen bir güvenlik açığını (CVE-2023-38035) yama yapmaya çağırıyor.
Şirket, danışma belgesinde “Şu an itibariyle, yalnızca sınırlı sayıda müşterinin CVE-2023-38035’ten etkilendiğinin farkındayız,” dedi, ancak bunun tespit edilen istismar girişimleri mi yoksa yalnızca internet üzerinden erişilebilen savunmasız kurulumlar mı anlamına geldiğini açıklığa kavuşturması gerekiyor.
CVE-2023-38035 hakkında
CVE-2023-38035, kimliği doğrulanmamış saldırganların, varsayılan olarak 8443 numaralı bağlantı noktasında çalışan yönetici portalında/arayüzünde (MobileIron Yapılandırma Hizmeti – MICS olarak da bilinir) Ivanti Sentry’yi yapılandırmak için kullanılan API’lere erişmesine olanak tanıyan bir API kimlik doğrulama atlama hatasıdır. .
Güvenlik açığının kaynağı, yeterince kısıtlayıcı olmayan bir Apache HTTPD yapılandırmasıdır.
Şirket, “Sorunun CVSS puanı yüksek olsa da, 8443 numaralı bağlantı noktasını internete maruz bırakmayan müşteriler için kötüye kullanım riski düşüktür” dedi. “Ivanti, müşterilerin MICS’e erişimi dahili yönetim ağlarıyla kısıtlamasını ve bunu internete maruz bırakmamasını tavsiye ediyor.”
CVE-2023-38035, artık desteklenmeyen sürümler de dahil olmak üzere Ivanti MobileIron Sentry 9.18.0 ve altındaki sürümlerde MICS Admin Portal’ı etkiler.
Güvenlik açığı, Mnemonic araştırmacıları tarafından bildirildi ve bunu sıfır gün hatası olarak tanımladılar, ancak istismar edilirken onu keşfedip keşfetmediklerini de söylemediler.
Düzeltmeler mevcut
Ivanti, çözümün etkilenen desteklenen sürümleri (v9.18, 9.17 ve 9.16) için kullanıma sunulan komut dosyaları aracılığıyla uygulanabilecek düzeltmeler oluşturdu.
Şirket, “Müşterilere önce desteklenen bir sürüme yükseltme yapmalarını ve ardından kendi sürümleri için özel olarak tasarlanmış RPM betiğini uygulamalarını öneriyoruz” tavsiyesinde bulundu.
“Her komut dosyası, tek bir sürüm için özelleştirilmiştir. Lütfen unutmayın: Yanlış RPM betiği uygulanırsa, güvenlik açığının düzeltilmesini engelleyebilir veya sistem kararsızlığına neden olabilir.”
Mnemonic araştırmacılarının açıkladığı gibi, “Ivanti Sentry, Ivanti dağıtımındaki bir sunucudur ve mobil cihazlar ile Microsoft Exchange Sunucusu gibi bir şirketin ActiveSync sunucusu veya Sharepoint sunucusu gibi bir arka uç kaynağı arasında bir kapı bekçisi olarak hizmet eder veya Kerberos Anahtar Dağıtım Merkezi Proxy (KKDCP) sunucusu olarak yapılandırılabilir. Sentry, yapılandırma ve cihaz bilgilerini Ivanti Endpoint Manager Mobile (EPMM) platformundan alıyor.”
Ivanti, CVE-2023-38035’in diğer Ivanti ürünlerini etkilemediğini vurguladı.
Şirket kısa bir süre önce Ivanti EPMM’de üç güvenlik açığını düzeltti ve bunlardan ikisi saldırganlar tarafından Norveç bakanlıklarını hedef almak için kullanıldı (sıfır gün olarak).