Ivanti emite patches para bug explorado do gateway Sentry • The Register

Um bug crítico de desvio de autenticação no MobileIron Sentry foi explorado à solta, disse seu fabricante Ivanti em um comunicado na segunda-feira.

Esta vulnerabilidade, rastreada como CVE-2023-38035, é uma falha 9,8 de 10 em termos de gravidade CVSS e, estritamente falando, está dentro do Ivanti Sentry, anteriormente conhecido como MobileIron Sentry. Este é um gateway que gerencia e criptografa o tráfego entre os dispositivos móveis e os sistemas back-end de uma organização.

A exploração desta vulnerabilidade pode fazer com que um intruso obtenha o controle deste componente de rede sensível. Para fazer isso, os invasores devem ser capazes de acessar a porta API administrativa 8443 de uma implantação Sentry vulnerável, que pode não ser voltada ao público. De acordo com Ivanti, um número “limitado” de clientes foi alvo desta falha até agora.

Os malfeitores podem explorar essa falha para ignorar a autenticação na interface administrativa devido a uma configuração Apache HTTPd insuficientemente restritiva. A partir daí, eles podem acessar algumas APIs administrativas confidenciais usadas para configurar o Sentry através da porta 8443.

“A exploração bem-sucedida pode ser usada para alterar a configuração, executar comandos do sistema ou gravar arquivos no sistema”, explicou o alerta de segurança. “No momento, temos conhecimento apenas de um número limitado de clientes afetados pelo CVE-2023-38035.”

Há algumas boas notícias. “Embora o problema tenha uma pontuação CVSS alta, há um baixo risco de exploração para clientes que não expõem a porta 8443 à Internet”, afirmou Ivanti. As versões 9.18 e anteriores do Ivanti Sentry foram afetadas, e o bug não afeta nenhum outro produto Ivanti, fomos informados.

"Ao saber da vulnerabilidade, mobilizamos imediatamente recursos para corrigir o problema e disponibilizamos scripts RPM para versões suportadas. Cada script é personalizado para uma única versão." O fornecedor também observou que a aplicação do script errado pode impedir a correção do problema ou causar “instabilidade do sistema”.

A empresa se recusou a responder às perguntas específicas do The Register sobre a falha de segurança, incluindo quantos clientes foram comprometidos.

O comunicado de hoje é o terceiro alerta desse tipo do fornecedor de software em menos de um mês.

No final de julho, os malfeitores exploraram o CVE-2023-35078, outra falha de desvio de autenticação remota no Ivanti Endpoint Manager Mobile (EPMM), para comprometer as vítimas de 12 agências governamentais norueguesas, pelo menos antes de o desenvolvedor emitir uma correção.

De acordo com a CISA do governo dos EUA e o Centro Nacional de Segurança Cibernética da Noruega, quem explorou essa vulnerabilidade crítica passou pelo menos quatro meses bisbilhotando os sistemas das suas vítimas e roubando dados antes de uma intrusão ser detectada.

As duas nações também alertaram sobre o “potencial de exploração generalizada” do software da Ivanti tanto em redes governamentais como empresariais.

Poucos dias depois, Ivanti corrigiu uma segunda vulnerabilidade EPMM, rastreada como CVE-2023-35081.

Este bug exigia que um intruso estivesse logado como administrador para fazer upload de arquivos arbitrários para um servidor de aplicativos da web EPMM. Alguém poderia usar isso para fazer upload de um webshell para um servidor vulnerável e controlar remotamente a caixa backdoor, se conseguisse obter credenciais de login de administrador ou privilégios escalonados por meio de outra falha (o CVE-2023-35078 mencionado acima, digamos?)

Até agora, nem a Ivanti nem qualquer uma das agências governamentais que investigam as intrusões atribuíram qualquer uma destas façanhas a um Estado-nação ou a um grupo criminoso. ®

Envie-nos novidades