Ivanti, vahşi ortamda kullanılmış olabilecek sıfırıncı gün güvenlik açığını kapatmak için bir kez daha uğraştı.
En son hata olan CVE-2023-38035, mobil cihazlar ve arka uç kurumsal sistemler arasındaki trafiği yöneten ve şifreleyen bir mobil ağ geçidi olan Sentry yazılımını (eski adıyla MobileIron Sentry) etkiler.
Güvenlik açığı, 9.8’lik bir CVSS puanı taşır ve bu da onu kritik bir hata haline getirir.
Şirket, açıkların görülüp görülmediğini söylemiyor, ancak bu forum gönderisinde “şu an itibariyle, CVE-2023-38035’ten etkilenen yalnızca sınırlı sayıda müşterinin farkındayız” dedi.
“Bu güvenlik açığı, desteklenen tüm sürümleri etkiler – Sürüm 9.18. 9.17 ve 9.16. Daha eski sürümler/sürümler de risk altında” diyor Ivanti’nin danışma belgesi.
“Bu güvenlik açığı, Ivanti EPMM, MobileIron Cloud veya Ivanti Neurons for MDM gibi diğer Ivanti ürünlerini veya çözümlerini etkilemiyor. [mobile device management]”
“Bu güvenlik açığı kötüye kullanılırsa, kimliği doğrulanmamış bir aktörün yönetici portalında (genellikle MICS) Ivanti Sentry’yi yapılandırmak için kullanılan bazı hassas API’lere erişmesine olanak tanır.”
Ivanti, bu hatanın, “yeterince kısıtlayıcı olmayan bir Apache HTTPD yapılandırması nedeniyle” bir saldırganın yönetim arabirimindeki kimlik doğrulama kontrollerini atlamasına izin verdiğini söyledi.
Danışma belgesi, “Sorunun CVSS puanı yüksek olsa da, 8443’ü internete maruz bırakmayan müşteriler için kötüye kullanım riski düşüktür” dedi.
Şirket, uzak paket yöneticisi (RPM) betikleriyle düzeltmeler yaptı.
Ağustos, Ivanti için yoğun bir ay oldu.
İlk olarak şirket, CVE-2023-35078’in devamı olan CVE-2023-35082’yi yamaladı, uç nokta yöneticisinde potansiyel olarak kullanıcı bilgilerini ve yapılandırma bilgilerini açığa çıkaran bir API kimlik doğrulama hatası.
Ardından, 17 Ağustos’ta, iTnews şirketin Avalanche yazılımında bir dizi arabellek taşmasını yamaladığını bildirdi.