Ivanti Sentry 認証バイパスの重大な脆弱性に対して、概念実証のエクスプロイト コードが利用可能になりました。これにより、攻撃者は脆弱なシステム上で root としてリモートでコードを実行できます。
サイバーセキュリティ企業 mnemonic によって発見されたこの欠陥 ( CVE-2023-38035 ) により、攻撃者は制限が不十分な Apache HTTPD 構成を悪用して、機密性の高い Sentry 管理者インターフェイス API にアクセスできます。
悪用に成功すると、Ivanti Sentry バージョン 9.18 以前を実行しているシステムにシステム コマンドを実行したり、ファイルを書き込んだりできる可能性があります。
本日、攻撃対象領域評価会社 Horizon3 のセキュリティ研究者が、この重大度の高い脆弱性の技術的な根本原因分析と概念実証 (PoC) エクスプロイトを公開しました。
Horizon3 脆弱性研究者の James Horseman 氏は、「この POC は、認証されていないコマンド インジェクションを悪用し、root ユーザーとして任意のコマンドを実行します」 と述べています。
「この製品の影響を受けるユーザーにはパッチを適用し、可能であれば製品が外部にインターネットに公開されていないことを確認することをお勧めします。」
ゼロデイ攻撃に使用される
Ivanti は、 このナレッジベース記事で Sentry セキュリティ更新プログラムの適用に関する詳細情報を提供します。同社はまた、一部の顧客がCVE-2023-38035攻撃の影響を受けていることを確認し、管理者に内部ネットワークへのアクセスを制限するようアドバイスした。
ただし、 Shodan の検索によると、現在 500 を超える Ivanti Sentry インスタンスがオンラインで公開されています。
CISAは火曜日、このセキュリティ上の欠陥を悪用された既知の脆弱性カタログに追加し、連邦政府機関に対し9月14日までにシステムを保護するよう命じた。
もう 1 つの深刻な認証バイパスの欠陥である CVE-2023-35078 は、 ノルウェーの複数の政府機関のネットワークに侵入するためのゼロデイ作戦として悪用されました。
1 週間前、Ivant は、Avalanche エンタープライズ モビリティ管理 (EMM) ソリューション内でまとめて CVE-2023-32560 として追跡されている、 別の重要なスタックベースのバッファ オーバーフローにパッチを適用しました。これは、攻撃成功時にシステム クラッシュやコードの恣意的な実行につながる可能性があります。
Comments