Компания Ivanti подготовила внеплановый патч для продукта Ivanti Sentry (ранее MobileIron Sentry). Разработчики предупредили, что критическая уязвимость CVE-2023-38035, которую можно использоваться для обхода аутентификации Sentry API, похоже, уже используется хакерами.
Ivanti Sentry используется как защитник для корпоративных серверов ActiveSync, таких как Microsoft Exchange Server, или бэкэнд-ресурсов, включая серверы Sharepoint в MobileIron, а также может работать как сервер Kerberos Key Distribution Center Proxy (KKDCP).
Критическая уязвимость CVE-2023-38035 была обнаружена исследователями из компании mnemonic и получила 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.
Баг позволяет неаутентифицированным злоумышленникам получать доступ к конфиденциальным API-интерфейсам, открытым через порт 8443, который используется MobileIron Configuration Service (MICS). Проблема связана с обходом контроля аутентификации, через недостаточно строгую конфигурацию Apache HTTPD.
Успешная эксплуатация проблемы позволяет изменять конфигурацию, выполнять системные команды и записывать файлы в системах, работающих под управлением Ivanti Sentry поддерживаемых версий 9.18, 9.17 и 9.16, а также более старых.
Теперь разработчики Ivanti рекомендуют администраторам не открывать MICS доступ в интернет и ограничить доступ к внутренним сетям.
«На данный момент нам известно об ограниченном числе клиентов, затронутых уязвимостью CVE-2023-38035. Данная уязвимость не затрагивает другие продукты или решения Ivanti, такие как Ivanti EPMM, MobileIron Cloud или Ivanti Neurons for MDM, — говорится в официальном сообщении компании. — Узнав об уязвимости, мы немедленно мобилизовали ресурсы для устранения проблемы, и уже подготовили RPM-скрипты для всех поддерживаемых версий. Мы рекомендуем клиентам сначала перейти на поддерживаемую версию, а затем применить RPM-скрипт, разработанный специально для нее».
Не совсем ясно, что компания подразумевает под «затронутыми клиентами», и в Ivanti отказались пояснить, относится ли эта формулировка к эксплуатации уязвимости злоумышленниками. Представители компании заявляют, что «не могут обсуждать конкретику, относительно клиентов».