0
0
As organizações que usam praticamente qualquer versão do produto de gateway de segurança Ivanti Sentry podem querer aplicar imediatamente o patch de segurança que a empresa lançou hoje para resolver o que parece ser uma vulnerabilidade de dia zero na tecnologia.
A vulnerabilidade, rastreada como CVE-2023-38035, está presente na interface que os administradores usam para configurar políticas de segurança e oferece aos invasores uma maneira de contornar os controles de autenticação. A falha afeta todas as versões suportadas do Sentry (9.18, 9.17 e 9.16). Versões e lançamentos mais antigos e não suportados do Sentry também correm risco de exploração por meio da vulnerabilidade.
Acesso não autenticado
“Se explorada, esta vulnerabilidade permite que um ator não autenticado acesse algumas APIs confidenciais usadas para configurar o Ivanti Sentry no portal do administrador (porta 8443, comumente MICS)”, disse o fornecedor em comunicado.
Um invasor que explorar o bug com sucesso pode alterar a configuração do gateway, executar comandos do sistema e gravar arquivos arbitrários no sistema. Para mitigar o risco, as organizações devem restringir o acesso ao portal do administrador apenas às redes de gestão internas e não à Internet, disse Ivanti.
O bug tem uma classificação de gravidade de 9,8 em 10 possíveis, o que o torna um problema crítico. No entanto, de acordo com Ivanti, a falha representa pouco risco para organizações que não expõem a porta 8443 – para tráfego da Web criptografado HTTPS ou SSL – à Internet.
Pelo menos uma reportagem da mídia descreveu os invasores como já explorando o CVE-2023-38035 no momento em que Ivanti divulgou a falha, o que por definição o tornaria um bug de dia zero.
A própria Ivanti não respondeu diretamente a um pedido da Dark Reading para confirmação dessa caracterização. Também não respondeu a uma pergunta que buscava informações sobre quantos clientes o invasor poderia ter comprometido até agora. Em vez disso, a empresa apontou para uma postagem no blog e um comunicado publicado hoje sobre a vulnerabilidade. Nenhum dos dois fez qualquer menção à atividade de exploração ativa visando a falha.
Numa breve declaração de duas frases, a Ivanti disse estar ciente de que apenas um “número muito limitado de clientes” foi afetado pela vulnerabilidade.
Alvo atraente
Ivanti Sentry, anteriormente MobileIron Sentry, faz parte do portfólio mais amplo de produtos de gerenciamento unificado de endpoints da Ivanti. É uma tecnologia de gateway que permite às organizações gerenciar, criptografar e proteger o tráfego entre dispositivos móveis e sistemas backend. A própria Ivanti descreve o Sentry como uma espécie de guardião do Microsoft Exchange Server de uma organização ou de outro servidor ActiveSync ou com sistemas de back-end, como o servidor Sharepoint. O Sentry também pode ser usado como um servidor Kerberos Key Distribution Center Proxy (KKDCP).
Muitas empresas implantaram essas tecnologias nos últimos anos para garantir que os funcionários remotos possam acessar com segurança aplicativos e dispositivos corporativos usando dispositivos móveis de propriedade pessoal e fornecidos pela empresa. Seu uso crescente tem atraído cada vez mais atenção de pesquisadores e invasores de segurança. No mês passado, por exemplo, invasores invadiram sistemas pertencentes a 12 agências governamentais norueguesas depois de encontrar e explorar uma vulnerabilidade de acesso remoto à API no Ivanti Endpoint Manager. O bug, rastreado como CVE-2023-35078, permitiu que invasores acessassem e roubassem dados, alterassem informações de configuração do dispositivo e adicionassem uma conta de administrador. No início deste mês, a Ivanti divulgou outro bug ( CVE-2023-32560), desta vez em sua tecnologia de gerenciamento móvel Avalanche, depois que a Zero-Day Initiative da Trend Micro relatou o bug à empresa.
Ivanti deu crédito aos pesquisadores do fornecedor de segurança mnemônico por relatar o mais novo bug à empresa. A empresa alegou que agiu imediatamente para resolver o problema e disponibilizou scripts RedHat Package Manager (RPM) para todas as versões suportadas o mais rápido possível. Os scripts RPM são customizados para cada versão e as organizações precisam prestar atenção em qual deles instalam em seu ambiente, alertou Ivanit. “Se o script RPM errado for aplicado, isso poderá impedir que a vulnerabilidade seja corrigida ou causar instabilidade do sistema”, observou a empresa.
FONTE: DARKREADING