Un code d’exploitation de preuve de concept est désormais disponible pour une vulnérabilité critique de contournement de l’authentification Ivanti Sentry qui permet aux attaquants d’exécuter du code à distance en tant qu’utilisateur root sur des systèmes vulnérables.
Découverte par mnémonique d’une société de cybersécurité, la faille (CVE-2023-38035) permet aux acteurs malveillants d’accéder aux API sensibles de l’interface administrateur Sentry en exploitant une configuration Apache HTTPD insuffisamment restrictive.
Une exploitation réussie peut leur permettre d’exécuter des commandes système ou d’écrire des fichiers sur des systèmes exécutant Ivanti Sentry versions 9.18 et antérieures.
Aujourd’hui, les chercheurs en sécurité de la société d’évaluation des surfaces d’attaque Horizon3 ont publié une analyse technique des causes profondes de cette vulnérabilité de haute gravité et un exploit de preuve de concept (PoC).
« Ce POC abuse d’une injection de commandes non authentifiées pour exécuter des commandes arbitraires en tant qu’utilisateur root », a déclaré James Horseman, chercheur en vulnérabilités chez Horizon3.
« Nous recommandons à tous les utilisateurs concernés de mettre à jour ce produit et de vérifier si possible qu’il n’est pas exposé en externe à Internet. »
Utilisé dans les attaques comme zero-day
Ivanti fournit des informations détaillées sur l’application des mises à jour de sécurité Sentry dans cet article de la base de connaissances. La société a également confirmé que certains de ses clients ont été touchés par les attaques CVE-2023-38035 et a conseillé aux administrateurs de restreindre l’accès au réseau interne.
Cependant, selon une recherche Shodan, plus de 500 instances Ivanti Sentry sont actuellement exposées en ligne.
Mardi, la CISA a ajouté la faille de sécurité à son catalogue de vulnérabilités exploitées connues, ordonnant aux agences fédérales de sécuriser leurs systèmes d’ici le 14 septembre.
Depuis avril, des pirates informatiques affiliés à des États ont exploité deux autres vulnérabilités de sécurité dans Endpoint Manager Mobile (EPMM) d’Ivanti, précédemment reconnu sous le nom de MobileIron Core.
CVE-2023-35078, une autre faille grave de contournement d’authentification, a été exploitée comme une manœuvre zero-day pour infiltrer les réseaux de plusieurs organisations gouvernementales en Norvège.
Il y a une semaine, Ivant a corrigé une autre paire de dépassements de tampon critiques basés sur la pile, collectivement suivis sous le nom de CVE-2023-32560 au sein de sa solution de gestion de la mobilité d’entreprise (EMM) Avalanche, qui pourraient entraîner des pannes du système et une exécution arbitraire de code en cas d’attaques réussies.