Američka IT softverska kompanija Ivanti upozorila je danas kupce da se kritična ranjivost Sentry API zaobilaženja autentikacije eksploatiše u divljini.
Ivanti Sentry (ranije MobileIron Sentry) funkcioniše kao vratar za ActiveSync servere preduzeća kao što je Microsoft Exchange Server ili pozadinske resurse kao što su Sharepoint serveri u MobileIron implementacijama, a može raditi i kao Kerberos Key Distribution Center Proxy (KKDCP) server.
Kritična ranjivost koju su otkrili i prijavili istraživači kompanije za kibernetičku sigurnost mnemonic, (CVE-2023-38035) omogućava neovlaštenim hakerima da dobiju pristup osjetljivim API-jima za konfiguraciju administrativnog portala izloženim preko porta 8443, koji koristi MobileIron Configuration Service (MICS).
Ovo je moguće nakon što zaobiđu kontrole autentikacije koristeći prednost nedovoljno restriktivne Apache HTTPD konfiguracije.
Uspješno iskorištavanje im omogućava promjenu konfiguracije, pokretanje sistemskih naredbi ili pisanje datoteka na sisteme koji koriste Ivanti Sentry verzije 9.18 i ranije.
Ivanti je savjetovao administratore da ne izlažu MICS Internetu i ograniče pristup internim mrežama upravljanja.
“Za sada smo svjesni samo ograničenog broja korisnika na koje utiče CVE-2023-38035. Ova ranjivost ne utiče na druge Ivanti proizvode ili rješenja, kao što su Ivanti EPMM, MobileIron Cloud ili Ivanti Neurons za MDM”, rekao je Ivanti.
“Nakon što smo saznali za ranjivost, odmah smo mobilizovali resurse da riješimo problem i da imamo RPM skripte dostupne sada za sve podržane verzije. Preporučujemo korisnicima da prvo nadograde na podržanu verziju, a zatim primjene RPM skriptu posebno dizajniranu za njihovu verziju”, iz kompanije je dodano.
Drugi Ivanti bug-ovi koji se koriste u napadima od aprila
Od aprila, hakeri koje sponzoriše država su iskoristili dva dodatna bezbednosna propusta u okviru Ivantijevog Endpoint Manager Mobile (EPMM), ranije poznatog kao MobileIron Core.
Jedan od njih (praćen kao CVE-2023-35078) je značajna zaobilaznica za autentifikaciju koja je zloupotrebljena kao zero-day za probijanje mreža različitih vladinih subjekata u Norveškoj .
Ranjivost se takođe može povezati sa directory traversal greškom (CVE-2023-35081), dajući hakerima sa administrativnim privilegijama mogućnost postavljanja veb shell-ova na kompromitovane sisteme.
“Hakeri napredne persistentne prijetnje (APT) koristili su najmanje od aprila do jula 2023. godine CVE-2023-35078 kao zero-day za prikupljanje informacija od nekoliko norveških organizacija, kao i za pristup i kompromitaciju mreže norveške vladine agencije,” CISA je rekla u savjetu objavljenom početkom avgusta.
Zajedničko savjetovanje CISA-e s Norveškim nacionalnim centrom za kibernetičku sigurnost (NCSC-NO) slijedilo je naredbe izdate ranije ovog mjeseca u kojima se od američkih federalnih agencija traži da zakrpe dvije aktivno iskorištavane greške do 15. i 21. avgusta.
Pre nedelju dana, Ivant je takođe popravio dva kritična prekoračenja stack-based bafera praćena kao CVE-2023-32560 u svom softveru Avalanche, rešenju za upravljanje mobilnošću preduzeća (EMM), što bi moglo dovesti do padova i proizvoljnog izvršavanja koda nakon eksploatacije.
Izvor: BleepingComputer