Uç Nokta Güvenliği
Zero-Day, Geçen Ayın Ivanti MobileIron Bugs İle Zincirleme Yapılarak Kullanılabilir
Bay Mihir (MihirBagwe) •
22 Ağustos 2023
Mobil uç nokta güvenliği satıcısı Ivanti, bir saldırganın mobil cihazlar ile arka uç altyapısı arasında duran bir Ivanti Sentry ağ geçidi sunucusunun tüm denetimini ele geçirmesine izin verebilecek kritik bir güvenlik açığını açıkladı.
Ayrıca bakınız: Güvenliği Güvenle Dönüştürün – Birinci Sütun Koruması
CVE-2023-38035 olarak izlenen güvenlik açığının önem derecesi 9,8’dir ve açığı bildiren Mnemonic araştırmacıları, Ivanti’nin Endpoint Manager Mobile platformunda daha önce istismar için açıklanan sıfır günlerle zincirlenebileceğini söyledi.
Ivanti, hatanın sınırlı sayıda müşteride kullanıldığının farkında olduğunu söyledi, ancak daha fazla ayrıntı vermedi.
Araştırmacılar, CVE-2023-38035’in başarılı bir şekilde kullanılmasının, kimliği doğrulanmamış bir tehdit aktörünün Ivanti Sentry sunucusuna dosya okuyup yazmasına ve “süper kullanıcı işini” kullanarak bir sistem yöneticisi olarak işletim sistemi komutlarını yürütmesine izin verdiğini söylüyor.
Ivanti ayrı bir güvenlik danışma belgesinde, bir saldırganın yetersiz kısıtlayıcı Apache HTTPD yapılandırması nedeniyle yönetim arabirimindeki kimlik doğrulama kontrollerini atlayabileceğini söyledi.
En son sıfır günün istismarı yalnızca, varsayılan olarak 8443 numaralı bağlantı noktasında çalışan Sistem Yöneticisi Portalı olan MobileIron Yapılandırma Hizmeti’ndeki bazı API uç noktalarında mümkündür. “8443 numaralı bağlantı noktası internete açık değilse, bir tehdit aktörü dahili erişim gerektirir ,” dedi araştırmacılar.
CVE-2023-38035’in daha önce açıklanan sıfır gün hatalarıyla zincirlenmesine izin veren “Savunmaya açık Sistem Yöneticisi Portalı, Ivanti EPMM sunucusuyla iletişim kurmak için kullanılıyor” dediler.
Ivanti, 23 Temmuz’da, önceden MobileIron Core olarak bilinen Endpoint Manager Mobile platformunda, tanımlanamayan bir tehdit aktörünün onu bir düzine Norveç bakanlığına saldırmak için kullanmasının ardından, kritik olarak derecelendirilen bir sıfır gün güvenlik açığını yamaladı (bkz:: Ivanti Zero-Day, Norveç Hükümeti İhlalinde Kullanıldı).
Şirket daha sonra ikinci bir acil durum yaması yayınladı (bkz: Ivanti, İkinci Sıfır-Gün’ün Norveç Hükümeti İhlalinde Kullanıldığını Söyledi).
Avustralya ve Almanya’daki devlet güvenlik kurumları, kullanıcıların savunmasız Sentry ürünlerini güncellemelerini tavsiye etti.