Saldırganların savunmasız sistemlerde kök olarak uzaktan kod yürütmesine olanak tanıyan kritik bir Ivanti Sentry kimlik doğrulama atlama güvenlik açığı için kavram kanıtı yararlanma kodu artık mevcut.
Siber güvenlik şirketi mnemonic tarafından keşfedilen kusur (CVE-2023-38035), tehdit aktörlerinin yeterince kısıtlayıcı olmayan Apache HTTPD yapılandırmasından yararlanarak hassas Sentry yönetici arayüzü API’lerine erişmesine olanak tanıyor.
Başarılı bir şekilde yararlanma, sistem komutlarını çalıştırmalarına veya Ivanti Sentry 9.18 ve önceki sürümlerini çalıştıran sistemlere dosya yazmalarına olanak tanıyabilir.
Bugün, saldırı yüzeyi değerlendirme şirketi Horizon3’teki güvenlik araştırmacıları, bu yüksek önemdeki güvenlik açığı için teknik bir temel neden analizi ve bir kavram kanıtlama (PoC) istismarı yayınladı.
Horizon3 güvenlik açığı araştırmacısı James Horseman, “Bu POC, kök kullanıcı olarak rastgele komutları yürütmek için kimliği doğrulanmamış bir komut eklemeyi kötüye kullanıyor” dedi.
“Bu üründen etkilenen tüm kullanıcıların yama yapmasını ve mümkünse ürünün harici olarak internete maruz kalmadığını doğrulamasını öneririz.”
Saldırılarda sıfır gün olarak kullanılır
Ivanti, bu bilgi bankası makalesinde Sentry güvenlik güncellemelerinin uygulanmasına ilişkin ayrıntılı bilgi sağlar. Şirket ayrıca bazı müşterilerinin CVE-2023-38035 saldırılarından etkilendiğini doğruladı ve yöneticilere dahili ağa erişimi kısıtlamalarını tavsiye etti.
Ancak Shodan araştırmasına göre şu anda 500’den fazla Ivanti Sentry örneği çevrimiçi olarak açığa çıkıyor.
Salı günü CISA, güvenlik kusurunu Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğuna ekledi ve federal kurumlara sistemlerini 14 Eylül’e kadar güvenceye almalarını emretti.
Nisan ayından itibaren devlete bağlı bilgisayar korsanları, Ivanti’nin daha önce MobileIron Core olarak bilinen Endpoint Manager Mobile’daki (EPMM) iki güvenlik açığını daha kötüye kullandı.
Bir başka ciddi kimlik doğrulama atlama kusuru olan CVE-2023-35078, Norveç’teki birden fazla devlet kuruluşunun ağlarına sızmak için sıfır gün manevrası olarak kullanıldı.
Bir hafta önce Ivant, Avalanche kurumsal mobilite yönetimi (EMM) çözümü içinde toplu olarak CVE-2023-32560 olarak takip edilen başka bir kritik yığın tabanlı arabellek taşması çiftini yamaladı; bu durum, başarılı saldırılarda sistem çökmelerine ve rastgele kod yürütülmesine yol açabilir.