Das US-amerikanische IT-Softwareunternehmen Ivanti hat seine Kunden heute darauf aufmerksam gemacht, dass eine kritische Sicherheitslücke bei der Umgehung der Sentry-API-Authentifizierung in böswilliger Absicht ausgenutzt wird.
Ivanti Sentry (ehemals MobileIron Sentry) fungiert als Gatekeeper für Backend-Ressourcen wie Unternehmens-ActiveSync-Server wie Microsoft Exchange Server oder Sharepoint-Server in MobileIron-Bereitstellungen und kann auch als Kerberos Key Distribution Center Proxy (KKDCP)-Server fungieren.
Forscher des Cybersicherheitsunternehmens mnemonic haben diese kritische Schwachstelle (CVE-2023-38035) entdeckt und gemeldet, die einem nicht authentifizierten Angreifer den Zugriff auf die sensible Admin-Portal-Konfigurations-API auf Port 8443 ermöglichen könnte, der vom MobileIron Configuration Service (MICS) verwendet wird.
Dies kann dadurch erreicht werden, dass ein Angreifer eine nicht ausreichend restriktive Apache HTTPD-Konfiguration ausnutzt, um Authentifizierungskontrollen zu umgehen.
Sobald sie ausgenutzt werden, können sie Konfigurationen ändern, Systembefehle ausführen oder Dateien auf Systemen schreiben, auf denen Ivanti Sentry 9.18 und früher ausgeführt wird.
Ivanti empfiehlt Administratoren, MICS nicht dem Internet auszusetzen und den Zugriff auf das interne Verwaltungsnetzwerk einzuschränken.
„Bis jetzt haben wir nur eine kleine Anzahl von Kunden gesehen, die von CVE-2023-38035 betroffen sind. Die Schwachstelle betrifft keine anderen Ivanti-Produkte oder -Lösungen wie Ivanti EPMM, MobileIron Cloud oder Ivanti Neurons für MDM“, sagte Ivanti.
Später fügte das Unternehmen hinzu: „Nachdem wir von der Sicherheitslücke erfahren hatten, haben wir sofort Ressourcen mobilisiert, um das Problem zu beheben, und RPM-Skripte für alle unterstützten Versionen bereitgestellt. Wir empfehlen Kunden, zunächst auf eine unterstützte Version zu aktualisieren und dann das RPM-Skript für anzuwenden.“
Weitere Sicherheitslücken von Ivanti werden seit April ausgenutzt
Seit April haben staatlich unterstützte Hacker zwei weitere Sicherheitslücken im Endpoint Manager Mobile (EPMM) von Ivanti, früher bekannt als MobileIron Core, ausgenutzt.
Eine davon (verfolgt als CVE-2023-35078) ist eine kritische Sicherheitslücke zur Authentifizierungsumgehung, die als Zero-Day-Sicherheitslücke missbraucht wurde, um die Netzwerke mehrerer Regierungsstellen in Norwegen zu kompromittieren.
Diese Schwachstelle kann auch mit einer Directory-Traversal-Schwachstelle (CVE-2023-35081) kombiniert werden, die es einem Bedrohungsakteur mit Administratorrechten ermöglicht, eine Web-Shell auf gefährdeten Systemen bereitzustellen.
In einer Anfang August herausgegebenen Empfehlung sagte CISA: Advanced Persistent Threat (APT)-Gruppen nutzten CVE-2023-35078 als Zero-Day-Schwachstelle von mindestens April 2023 bis Juli 2023 aus, um Informationen von mehreren norwegischen Organisationen zu sammeln, darauf zuzugreifen und sie zu hacken das Netzwerk einer norwegischen Regierungsbehörde.
Die gemeinsame Ankündigung von CISA und dem norwegischen Nationalen Cyber-Sicherheitszentrum (NCSC-NO) folgt einer Anordnung Anfang dieses Monats, die den US-Bundesbehörden bis zum 15. und 21. August Zeit gab, die beiden aktiv ausgenutzten Schwachstellen zu schließen.
Vor einer Woche hat Ivant außerdem zwei kritische stapelbasierte Pufferüberläufe in seiner Enterprise Mobility Management (EMM)-Lösung Avalanche behoben, die als CVE-2023-32560 verfolgt werden und bei Ausnutzung zu Abstürzen und der Ausführung willkürlichen Codes führen können.