Ivanti подтверждает уязвимость аутентификации: под угрозой корпоративные тайны клиентов

Американская компания-разработчик ПО Ivanti предупредила клиентов, что критическая уязвимость обхода аутентификации Sentry API эксплуатируется в реальных условиях (In The Wild, ITW).

Ivanti Sentry (ранее MobileIron Sentry) функционирует как устройство контроля доступа (gatekeeper) к корпоративным серверам ActiveSync (Microsoft Exchange Server) или внутренним ресурсам (например, серверам Sharepoint в среде решения MobileIron), а также может служить прокси-сервером для центра распространения ключей Kerberos (Kerberos Key Distribution Center Proxy, KKDCP).

Критическая уязвимость CVE-2023-38035 CVSS: 9.8, обнаруженная специалистами ИБ-компании Mnemonic, позволяет злоумышленнику, не прошедшему проверку подлинности, получить доступ к конфиденциальным API-интерфейсам конфигурации административного портала через порт 8443, используемый службой конфигурации MobileIron (MobileIron Configuration Service, MICS).

Доступ к системе становится возможным после того, как киберпреступник обходит механизмы аутентификации, используя недостаточно строгую конфигурацию Apache HTTPD. Успешная эксплуатация уязвимости позволяет хакеру изменять системные настройки, выполнять системные команды или записывать файлы в системы, работающие под управлением Ivanti Sentry версии 9.18 и более ранних.

В Ivanti рекомендуют администраторам не выставлять MICS в интернет и ограничить доступ к внутренним сетям управления. По словам компании, данная ошибка не влияет на другие продукты или решения Ivanti, такие как Ivanti Endpoint Manager Mobile (EPMM), MobileIron Cloud или Ivanti Neurons для MDM.

Ivanti немедленно устранили проблему, и теперь RPM-скрипты доступны для всех поддерживаемых версий. Компания предоставляет подробные инструкции по применению обновлений безопасности к уязвимым системам Sentry.

В конце июле Ivanti выявила в своём ПО для управления мобильными устройствами EPMM уязвимость CVE-2023-35081, которая использовалась в атаках на правительственные учреждения Норвегии . EPMM широко используется в правительствах многих стран, включая США. А поиск на платформе Shodan показал десятки потенциально уязвимых госструктур в США и Европе.