Ivanti Sentry arayüzünde, bir tehdit aktörünün Ivanti yönetici portalına erişmek ve Ivanti Sentry’yi yapılandırmak için kullanılabilecek hassas API’lere erişim kazanmasına izin verebilecek, kimliği doğrulanmamış kritik bir API erişim güvenlik açığı bulundu.
Bu güvenlik açığı, bilgisayarda işletim sistemi komutlarını yürütmek için de kullanılabilir.
Bir saldırgan istismarda başarılı olursa, saldırgan Ivnati Sentry’yi yapılandırabilir, sistem komutlarını yürütebilir veya sisteme dosya yazabilir.
Ancak, bu yönetici portalı 8443 numaralı bağlantı noktasını kullandığından, Ivanti yönetici portalı internet üzerinden açığa çıkmayan kullanıcıların istismar oranı düşüktür.
Bu güvenlik açığı, bir tehdit aktörünün Ivanti’nin yönetici portalındaki kimlik doğrulama kontrollerini atlamasına izin veren yetersiz kısıtlayıcı Apache HTTPD yapılandırması nedeniyle ortaya çıkar.
Bu güvenlik açığı için CVSS puanı henüz onaylanmadı. Bununla birlikte, Ivanti Sentry 9.8’lik bir CVSS puanı sağlamıştır (kritik).
“İstismar, yalnızca varsayılan olarak 8443 numaralı bağlantı noktasında barındırılan Sistem Yöneticisi Portalı aracılığıyla mümkündür.” Ivanti’nin Bilgi Bankası (KB) makalesini okur.
Önceden MobileIron Sentry olarak bilinen Ivanti Sentry, kuruluşlar tarafından mobil cihazları ve arka uç sistem trafiğini şifrelemek, yönetmek, şifresini çözmek ve korumak için kullanılabilen bir Birleşik Uç Nokta Yönetimi ürünüdür.
Ivanti, güvenlik danışma belgesinde bu güvenlik açığının Ivanti EPMM veya Ivanti Neurons for MDM gibi diğer Ivanti ürünlerini etkilemediğini doğruladı. 9.18, 9.17, 9.16 ve daha eski sürümlere sahip Ivanti Sentry ürünleri bu güvenlik açığından etkilenir.
Bu güvenlik açığını gidermek için Ivanti, bu güvenlik açığını giderme adımlarını içeren bir çözüm sağlamıştır. Ivanti ayrıca kullanıcıların, yalnızca BT yöneticileri veya dahili bir yönetim ağı tarafından erişilebilen 8443 adresindeki yönetici portalına harici erişimi kısıtlamasını önerdi.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.