米国に本拠を置く IT ソフトウェア会社 Ivanti は本日、Sentry API 認証バイパスの重大な脆弱性が悪用されていると顧客に警告しました。
Ivanti Sentry (旧称 MobileIron Sentry) は、Microsoft Exchange Server などのエンタープライズ ActiveSync サーバー、または MobileIron 導入環境の Sharepoint サーバーなどのバックエンド リソースのゲートキーパーとして機能し、Kerberos Key Distribution Center Proxy (KKDCP) サーバーとしても動作できます。
サイバーセキュリティ企業 mnemonic のセキュリティ研究者によって発見および報告されたこの重大な脆弱性 (CVE-2023-38035) により、認証されていない攻撃者が、MobileIron Configuration Service (MICS) によって使用されるポート 8443 経由で公開される機密性の高い管理ポータル構成 API にアクセスできるようになります。
これは、制限が不十分な Apache HTTPD 構成を利用して認証制御をバイパスした場合に可能になります。
悪用に成功すると、構成の変更、システム コマンドの実行、または Ivanti Sentry バージョン 9.18 以前を実行しているシステムへのファイルの書き込みが可能になります。
Ivanti は管理者に対し、MICS をインターネットに公開しないよう、また内部管理ネットワークへのアクセスを制限するようアドバイスしました。
「現時点では、CVE-2023-38035 の影響を受ける顧客は限られた数に限られていると認識しています。この脆弱性は、Ivanti EPMM、MobileIron Cloud、MDM 用 Ivanti Neurons などの他の Ivanti 製品やソリューションには影響しません」と Ivanti 氏は述べています。 。
「この脆弱性を知った私たちは、直ちにリソースを動員して問題を修正し、サポートされているすべてのバージョンで RPM スクリプトを利用できるようになりました。お客様には、まずサポートされているバージョンにアップグレードしてから、そのバージョンに合わせて特別に設計された RPM スクリプトを適用することをお勧めします。」と同社は述べています。 を追加しました。
Ivanti では、サポートされているバージョンを実行しているシステムに Sentry セキュリティ アップデートを適用する方法について、 このナレッジベース記事で詳細に説明しています。
4 月以降の攻撃に悪用されたその他の Ivanti のバグ
そのうちの 1 つ (CVE-2023-35078 として追跡) は、ノルウェーのさまざまな政府機関のネットワークを侵害するゼロデイとして悪用された重要な認証バイパスです。
この脆弱性はディレクトリ トラバーサルの欠陥 (CVE-2023-35081) と連鎖する可能性があり、管理者権限を持つ攻撃者に侵害されたシステムに Web シェルを展開する権限を与えます。
「Advanced Persistent Threat (APT) 攻撃者は、少なくとも 2023 年 4 月から 2023 年 7 月まで、CVE-2023-35078 をゼロデイとして悪用し、ノルウェーの複数の組織から情報を収集し、ノルウェー政府機関のネットワークにアクセスして侵害しました。」 CISAは8月初めに公表した勧告の中でこう述べた。
CISA とノルウェー国家サイバーセキュリティセンター (NCSC-NO) の共同勧告は、米国連邦政府機関に対し、 8 月 15 日と8 月 21 日までに、積極的に悪用されている 2 つの欠陥にパッチを適用するよう求める今月初めに出された命令に従ったものです。
Ivant は 1 週間前、エンタープライズ モビリティ管理 (EMM) ソリューションである Avalanche ソフトウェアで CVE-2023-32560 として追跡されている、悪用後のクラッシュや任意のコードの実行につながる可能性のある2 つの重大なスタックベースのバッファ オーバーフローも修正しました。
Comments