聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
使用几乎任何版本的 Ivanti Sentry 安全网关产品的组织机构,应立即应用Ivanti 公司在今天发布的0day漏洞紧急补丁。
该漏洞的编号是CVE-2023-38035,位于管理员用于配置安全策略并使攻击者绕过认证控制的接口中。该漏洞影响所有受支持 Sentry 版本(9.18、9.17和9.16)。更老旧的Sentry不受支持版本和发布也易遭利用风险。
未认证的访问
Ivanti 公司发布声明表示,“如遭利用,该漏洞可使未认证攻击者访问某些用于在管理员门户(端口8443)上配置 Ivanti Sentry 的敏感 API。”
成功利用该漏洞的攻击者可更改网关配置、执行系统命令并在系统上写任意文件。要缓解风险,组织机构应当限制对管理员端口的访问仅限于内部管理网络而非互联网。
该漏洞的CVSS评分为9.8,属于“严重”等级漏洞。不过Ivanti 公司提到,未暴露端口8443的组织机构几乎不受影响。至少有一家媒体报道称,Ivanti 披露该漏洞时,攻击者正在利用CVE-2023-38035,因此按照定义来说,该漏洞属于 0day 漏洞。
Ivanti 公司并未就此事置评,并未提到是否已存在 exploit。该公司只是简单提到,发现仅有“少数客户”受该漏洞影响。
备受青睐的目标
Ivanti Sentry 原名为 MobileIron Sentry,是 Ivanti 推出的统一端点管理产品之一。它是一种网关技术,可使组织机构管理、加密和保护移动设备和后端系统之间的流量。Ivanti 将Sentry 比作组织机构微软 Exchange Server 或其它 ActiveSync 服务器或后端系统如 Sharepoint 服务器的一个守门员。Sentry 可用作 Kerberos Key Distribution Center Proxy (KKDCP) 服务器。
近年来很多公司都部署这类技术,确保远程员工可通过个人所有的和企业发放的移动设备安全地访问企业应用和设备。对这些技术的使用不断增长吸引了越来越多的安全研究员和攻击者。例如,就在上个月,攻击者在 Ivanti 端点管理器中找到并利用一个远程 API 访问漏洞,攻破了12家挪威政府机构的系统。该漏洞的编号是CVE-2023-35078,可使攻击者访问并窃取数据、更改设备的配置信息并增加管理员账户。本月早些时候,Ivanti 收到 ZDI 的报送后,披露了位于 Avalanche 移动管理技术中的另外一个漏洞 (CVE-2023-32560)。
Ivanti 致谢安全厂商 Mnemonic 的研究员报送了该最新漏洞。Ivanti 提到,公司立即采取措施修复该漏洞并尽快为所有受支持版本发布可用的 RedHat Package Manager (RPM) 脚本。这些 RPM 脚本为每个版本自定义,组织机构应注意所适用的环境版本。该公司提到,“如果适用了错误的 RPM 脚本,可阻止漏洞修复或引发系统不稳定性。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
奇安信发布《2023中国软件供应链安全分析报告》开源软件供应链的系统化安全治理需加速落地
挪威政府机构遭攻击,黑客利用的不止IT巨头 Ivanti的一个0day
原文链接
https://www.darkreading.com/attacks-breaches/ivanti-issues-fix-for-critical-vuln-in-its-sentry-gateway-technology
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~