Ivanti Sentry’deki bir güvenlik açığının doğada istismar edilip edilmediğine dair bazı belirsizlikler var, ancak yama yapabilecekken neden risk alasınız ki?
Ivanti, eski adı MobileIron Sentry olan Ivanti Sentry’deki bir güvenlik açığı hakkında bir güvenlik blog yazısı yayınladı. Güvenlik açığından başarıyla yararlanılması, kimliği doğrulanmamış bir saldırganın yönetici portalında Ivanti Sentry’yi yapılandırmak için kullanılan bazı hassas API’lere (genellikle MICS) erişmesine olanak tanır.
Ivanti Sentry, kuruluşların mobil cihazlar ve arka uç sistemleri arasındaki trafiği yönetmesine, şifrelemesine ve korumasına olanak tanıyan bir ağ geçidi teknolojisidir. Teknoloji, kuruluşların kişisel olarak sahip olunan ve şirket tarafından verilen mobil cihazları kullanarak kurumsal uygulamalara ve cihazlara güvenli bir şekilde erişmesine yardımcı olur.
Bu güvenlik açığı desteklenen tüm sürümleri etkilemektedir (Sürüm 9.18.9.17 ve 9.16). Eski sürümler de risk altındadır. Bu güvenlik açığı Ivanti EPMM, MobileIron Cloud veya Ivanti Neurons for MDM gibi diğer Ivanti ürünlerini veya çözümlerini etkilemez.
Ivanti, desteklenen tüm sürümler için RPM komut dosyalarını artık kullanılabilir hale getirdi. Müşterilerin önce desteklenen bir sürüme yükseltme yapmalarını ve ardından kendi sürümleri için özel olarak tasarlanmış RPM komut dosyasını uygulamalarını önerir. Daha ayrıntılı bilgiyi bu Güvenlik Danışma Belgesinde bulabilirsiniz. Her komut dosyası tek bir sürüm için özelleştirilmiştir ve yanlış RPM komut dosyasının uygulanması, güvenlik açığının giderilmesini engelleyebilir veya sistemin kararsız hale gelmesine neden olabilir.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanmış bilgisayar güvenlik açıklarını listeler. Bu güncellemede yamalı CVE, CVSS puanı 10 üzerinden 9,8 olan CVE-2023-38035’tir. Bu, Ivanti MobileIron Sentry 9.18.0 ve altındaki MICS Yönetici Portalında bir saldırganın izin vermesine neden olabilecek bir güvenlik açığı olarak tanımlanmaktadır. Yeterince kısıtlayıcı olmayan Apache HTTPD yapılandırması nedeniyle yönetim arayüzündeki kimlik doğrulama kontrollerini atlamak için.
Kimliği doğrulanmamış uzaktaki bir saldırgan, yapılandırma dosyalarını değiştirmek, sistem komutlarını çalıştırmak veya sisteme dosya yazmak için bu güvenlik açığından yararlanabilir.
Bildirildiğine göre Ivanti müşterileri, 8443 numaralı bağlantı noktası internete açık olduğunda Sentry’de CVE-2023-38035’ten yararlanıldığını gördü. Bağlantı noktası 8443, HTTPS (şifreli) web trafiği için yaygın olarak kullanılır. Desteklenen bir sürüme güncelleme yapmaya hazır olmayan veya betiği çalıştırma fırsatı olmayan kullanıcıların 8443 numaralı bağlantı noktasını kapatmaları önerilir.
Ivanti, müşterilerin MICS’e erişimi dahili yönetim ağlarıyla sınırlamasını ve bunu internete maruz bırakmamasını tavsiye ediyor; bu durumda herhangi bir saldırganın önce dahili erişim elde etmesi gerekecektir.
Bu güvenlik açığının yaygın olarak kullanılıp kullanılmadığından tam olarak emin olmasak da, Ivanti Endpoint Manager Mobile Authentication’da (EPMM) CVE-2023-35078 ve CVE-2023-35081 olarak listelenen önceki iki güvenlik açığının her ikisi de aktif istismara maruz kalmıştı.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.