La société américaine de logiciels informatiques Ivanti a averti aujourd’hui ses clients qu’une vulnérabilité critique de contournement d’authentification de l’API Sentry était exploitée à l’état sauvage.

Ivanti Sentry (anciennement MobileIron Sentry) fonctionne comme un contrôleur d’accès pour les serveurs ActiveSync d’entreprise tels que Microsoft Exchange Server ou les ressources dorsales telles que les serveurs Sharepoint dans les déploiements MobileIron, et il peut également fonctionner comme un serveur Kerberos Key Distribution Center Proxy (KKDCP).

Découverte et signalée par des chercheurs de la société de cybersécurité mnemonic, la vulnérabilité critique (CVE-2023-38035) permet à des attaquants non authentifiés d’accéder aux API de configuration du portail d’administration sensibles exposées sur le port 8443, utilisé par MobileIron Configuration Service (MICS).

Cela est possible après avoir contourné les contrôles d’authentification en profitant d’une configuration Apache HTTPD insuffisamment restrictive.

Une exploitation réussie leur permet de modifier la configuration, d’exécuter des commandes système ou d’écrire des fichiers sur des systèmes exécutant Ivanti Sentry versions 9.18 et antérieures.

Ivanti a conseillé aux administrateurs de ne pas exposer MICS à Internet et de restreindre l’accès aux réseaux de gestion internes.

« Pour l’instant, nous n’avons connaissance que d’un nombre limité de clients impactés par CVE-2023-38035. Cette vulnérabilité n’affecte pas les autres produits ou solutions Ivanti, tels qu’Ivanti EPMM, MobileIron Cloud ou Ivanti Neurons for MDM », a déclaré Ivanti. .

« Après avoir pris connaissance de la vulnérabilité, nous avons immédiatement mobilisé des ressources pour résoudre le problème et disposer de scripts RPM disponibles dès maintenant pour toutes les versions prises en charge. Nous recommandons aux clients de commencer par effectuer une mise à niveau vers une version prise en charge, puis d’appliquer le script RPM spécialement conçu pour leur version », a déclaré la société. ajoutée.

Ivanti fournit des informations détaillées sur l’application des mises à jour de sécurité Sentry sur les systèmes exécutant des versions prises en charge dans cet article de la base de connaissances.

Autres bogues Ivanti exploités dans des attaques depuis avril
Depuis avril, des pirates informatiques soutenus par l’État ont exploité deux vulnérabilités de sécurité supplémentaires dans Endpoint Manager Mobile (EPMM) d’Ivanti, anciennement connu sous le nom de MobileIron Core.

L’un d’eux (suivi sous le nom de CVE-2023-35078) est un contournement d’authentification important qui a été abusé comme un jour zéro pour violer les réseaux de diverses entités gouvernementales en Norvège.

La vulnérabilité peut également être enchaînée avec une faille de traversée de répertoire (CVE-2023-35081), accordant aux pirates disposant de privilèges administratifs la possibilité de déployer des shells Web sur des systèmes compromis.

« Les acteurs de la menace persistante avancée (APT) ont exploité CVE-2023-35078 comme un jour zéro d’au moins avril 2023 à juillet 2023 pour recueillir des informations auprès de plusieurs organisations norvégiennes, ainsi que pour accéder et compromettre le réseau d’une agence gouvernementale norvégienne », CISA a déclaré dans un avis publié début août.

L’avis conjoint de la CISA avec le Centre national de cybersécurité norvégien (NCSC-NO) fait suite aux ordres émis plus tôt ce mois-ci demandant aux agences fédérales américaines de corriger les deux failles activement exploitées d’ici le 15 août et le 21 août.

Il y a une semaine, Ivant a également corrigé deux débordements de tampon critiques basés sur la pile suivis comme CVE-2023-32560 dans son logiciel Avalanche, une solution de gestion de la mobilité d’entreprise (EMM), qui pourraient entraîner des plantages et l’exécution de code arbitraire après l’exploitation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *