Ο Ivanti προειδοποιεί για νέο σφάλμα μηδενικής ημέρας του MobileIron που χρησιμοποιείται ενεργά
Η εταιρεία λογισμικού
πληροφορική
ς Ivanti με έδρα τις ΗΠΑ προειδοποίησε σήμερα τους πελάτες ότι μια κρίσιμη ευπάθεια παράκαμψης ελέγχου ταυτότητας Sentry API γίνεται αντικείμενο εκμετάλλευσης στη φύση.
Το Ivanti Sentry (πρώην MobileIron Sentry) λειτουργεί ως gatekeeper για εταιρικούς διακομιστές ActiveSync όπως ο
Microsoft
Exchange Server ή πόροι υποστήριξης όπως διακομιστές Sharepoint σε αναπτύξεις MobileIron και μπορεί επίσης να λειτουργήσει ως διακομιστής Kerberos Key Distribution Center Proxy (KKDCP).
Ανακαλύφθηκε και αναφέρθηκε από ερευνητές ασφάλειας στην εταιρεία κυβερνοασφάλειας mnemonic, η κρίσιμη ευπάθεια (CVE-2023-38035) επιτρέπει στους μη επιβεβαιωμένους εισβολείς να αποκτήσουν πρόσβαση σε ευαίσθητα API διαμόρφωσης πύλης διαχειριστή που εκτίθενται στη θύρα 8443, που χρησιμοποιείται από την υπηρεσία διαμόρφωσης MobileIron (MICS).
Αυτό είναι δυνατό αφού παρακάμψουν τα στοιχεία ελέγχου ελέγχου ταυτότητας εκμεταλλευόμενοι μια ανεπαρκώς περιοριστική διαμόρφωση Apache HTTPD.
Η επιτυχής εκμετάλλευση τους επιτρέπει να αλλάζουν τη διαμόρφωση, να εκτελούν εντολές συστήματος ή να γράφουν αρχεία σε συστήματα που εκτελούν εκδόσεις Ivanti Sentry 9.18 και προγενέστερες.
Ο Ivanti συμβούλεψε τους διαχειριστές να μην εκθέτουν το MICS στο
Διαδίκτυο
και να περιορίσουν την πρόσβαση σε εσωτερικά δίκτυα διαχείρισης.
“Προς το παρόν, γνωρίζουμε μόνο περιορισμένο αριθμό πελατών που επηρεάζονται από το CVE-2023-38035. Αυτή η ευπάθεια δεν επηρεάζει άλλα προϊόντα ή λύσεις Ivanti, όπως το Ivanti EPMM, το MobileIron Cloud ή το Ivanti Neurons για MDM,” Ivanti
είπε
.
“Μόλις μάθαμε για την ευπάθεια, κινητοποιήσαμε αμέσως πόρους για να διορθώσουμε το πρόβλημα και έχουμε διαθέσιμα σενάρια RPM τώρα για όλες τις υποστηριζόμενες εκδόσεις. Συνιστούμε στους πελάτες πρώτα να αναβαθμίσουν σε μια υποστηριζόμενη έκδοση και μετά να εφαρμόσουν το σενάριο RPM που έχει σχεδιαστεί ειδικά για την έκδοσή τους”, η εταιρεία
προστέθηκε
.
Το Ivanti παρέχει λεπτομερείς πληροφορίες σχετικά με την εφαρμογή των ενημερώσεων ασφαλείας Sentry σε συστήματα που εκτελούν υποστηριζόμενες εκδόσεις
αυτό το άρθρο της βάσης γνώσεων
.
Άλλα σφάλματα Ivanti που χρησιμοποιήθηκαν σε επιθέσεις από τον Απρίλιο
Από τον Απρίλιο, χάκερ που χρηματοδοτούνται από το κράτος έχουν εκμεταλλευτεί δύο επιπλέον ευπάθειες ασφαλείας στο Endpoint Manager Mobile (EPMM) της Ivanti, που προηγουμένως ήταν γνωστό ως MobileIron Core.
Ένα από αυτά (που παρακολουθείται ως CVE-2023-35078) είναι μια σημαντική παράκαμψη ελέγχου ταυτότητας που χρησιμοποιήθηκε ως μηδενική ημέρα για την παραβίαση των δικτύων διαφόρων κυβερνητικών οντοτήτων στη Νορβηγία.
Η ευπάθεια μπορεί επίσης να συνδεθεί με ένα ελάττωμα διέλευσης καταλόγου (CVE-2023-35081), παρέχοντας στους φορείς απειλών διαχειριστικά προνόμια τη δυνατότητα να αναπτύξουν κελύφη ιστού σε παραβιασμένα συστήματα.
“Οι συντελεστές της προηγμένης επίμονης απειλής (APT) εκμεταλλεύτηκαν το CVE-2023-35078 ως μηδενική ημέρα από τουλάχιστον τον Απρίλιο του 2023 έως τον Ιούλιο του 2023 για να συλλέξουν πληροφορίες από αρκετούς νορβηγικούς οργανισμούς, καθώς και για να αποκτήσουν πρόσβαση και να θέσουν σε κίνδυνο το δίκτυο μιας νορβηγικής κυβερνητικής υπηρεσίας.” CISA
είπε
σε μια συμβουλευτική που δημοσιεύθηκε στις αρχές Αυγούστου.
Η κοινή συμβουλευτική CISA με το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο της Νορβηγίας (NCSC-NO) ακολούθησε εντολές που εκδόθηκαν νωρίτερα αυτόν τον μήνα και ζητούσαν από τις ομοσπονδιακές
υπηρεσίες
των ΗΠΑ να επιδιορθώσουν τα δύο ελαττώματα που εκμεταλλεύονται ενεργά έως τις 15 Αυγούστου και
21 Αυγούστου
.
Πριν από μία εβδομάδα, ο Ivant διόρθωσε επίσης δύο κρίσιμες υπερχειλίσεις buffer που βασίζονται σε στοίβα που παρακολουθούνται ως CVE-2023-32560 στο
λογισμικό
Avalanche, μια λύση διαχείρισης εταιρικής κινητικότητας (EMM), που θα μπορούσε να οδηγήσει σε σφάλματα και αυθαίρετη εκτέλεση κώδικα μετά από εκμετάλλευση.
