Vulnerabilidade de dia zero do Ivanti Sentry explorada, corrija o mais rápido possível! (CVE-2023-38035)

Views: 140
0 0
Read Time:3 Minute, 14 Second

A Ivanti está pedindo aos administradores dos gateways Ivanti Sentry (anteriormente MobileIron Sentry) que corrijam uma vulnerabilidade recém-descoberta (CVE-2023-38035) que pode ser explorada para alterar a configuração, executar comandos do sistema ou gravar arquivos no sistema vulnerável.

“Até agora, estamos cientes apenas de um número limitado de clientes afetados pelo CVE-2023-38035”, disse a empresa no comunicado, mas ainda precisa esclarecer se isso significa tentativas de exploração detectadas ou simplesmente instalações vulneráveis ​​acessíveis pela Internet.

Sobre CVE-2023-38035

CVE-2023-38035 é uma falha de desvio de autenticação de API que pode permitir que invasores não autenticados acessem APIs usadas para configurar o Ivanti Sentry no portal/interface do administrador (também conhecido como MobileIron Configuration Service – MICS), que é executado por padrão na porta 8443 .

A origem da vulnerabilidade é uma configuração Apache HTTPD insuficientemente restritiva.

“Embora o problema tenha uma alta pontuação CVSS, há um baixo risco de exploração para clientes que não expõem a porta 8443 à Internet”, disse a empresa . “A Ivanti recomenda que os clientes restrinjam o acesso ao MICS às redes internas de gerenciamento e não exponham isso à internet.”

CVE-2023-38035 afeta o MICS Admin Portal nas versões 9.18.0 e anteriores do Ivanti MobileIron Sentry, incluindo versões agora sem suporte.

A vulnerabilidade foi relatada por pesquisadores da Mnemonic, que a descrevem como uma falha de dia zero, mas também não dizem se a descobriram enquanto estava sendo explorada.

Correções estão disponíveis

A Ivanti criou correções, que podem ser implementadas por meio de scripts disponibilizados para as versões suportadas afetadas (v9.18, 9.17 e 9.16) da solução.

“Recomendamos que os clientes primeiro atualizem para uma versão compatível e depois apliquem o script RPM projetado especificamente para sua versão”, aconselhou a empresa .

“Cada script é customizado para uma única versão. Observação: se o script RPM errado for aplicado, isso poderá impedir que a vulnerabilidade seja corrigida ou causar instabilidade do sistema.”

Como explicaram os pesquisadores do Mnemonic, “Ivanti Sentry é um servidor em uma implantação Ivanti que serve como guardião entre dispositivos móveis e o servidor ActiveSync de uma empresa, como um Microsoft Exchange Server, ou com um recurso de back-end, como um servidor Sharepoint, ou pode ser configurado como um servidor Kerberos Key Distribution Center Proxy (KKDCP). O Sentry obtém informações de configuração e do dispositivo da plataforma Ivanti Endpoint Manager Mobile (EPMM).

A Ivanti fez questão de ressaltar que o CVE-2023-38035 não afeta outros produtos da Ivanti.

A empresa corrigiu recentemente três vulnerabilidades no Ivanti EPMM, duas das quais foram aproveitadas (como zero-day) por invasores para atingir os ministérios noruegueses.

ATUALIZAÇÃO (23 de agosto de 2023, 03h40 horário do leste dos EUA):

A CISA adicionou CVE-2023-38035 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas , com base em evidências de exploração ativa.

ATUALIZAÇÃO (24 de agosto de 2023, 08h30 horário do leste dos EUA):

Os pesquisadores do Horizon3.ai analisaram o patch da Ivanti, compartilharam mais detalhes sobre o CVE-2023-38035 e uma exploração de prova de conceito (PoC). Eles também dizem que conseguiram utilizar um endpoint exposto para executar comandos arbitrários sem qualquer autenticação.

“Não encontramos nenhum IoC definitivo até agora. No entanto, quaisquer solicitações HTTP não reconhecidas para /services/* devem ser motivo de preocupação. O endpoint que exploramos provavelmente não é o único que permitiria que um invasor assumisse o controle da máquina”, observaram .

“O Ivanti Sentry não oferece um shell Unix padrão, mas se um sistema conhecido explorado estiver sendo analisado forensemente, /var/log/tomcat2/ contém logs de acesso que podem ser usados ​​para verificar quais endpoints foram acessados. Por último, existem registros na interface da web que podem ser úteis para verificar qualquer atividade suspeita.”

FONTE: HELP NET SECURITY

POSTS RELACIONADOS