.
Um bug crítico de bypass de autenticação no MobileIron Sentry foi explorado na natureza, disse seu fabricante Ivanti em um comunicado na segunda-feira.
Essa vulnerabilidade, rastreada como CVE-2023-38035, é uma falha de 9,8 de 10 em termos de gravidade do CVSS e, estritamente falando, está dentro do Ivanti Sentry, anteriormente conhecido como MobileIron Sentry. Este é um gateway que gerencia e criptografa o tráfego entre os dispositivos móveis de uma organização e os sistemas de back-end.
A exploração desta vulnerabilidade pode resultar em um intruso ganhando o controle deste componente de rede sensível. Para fazer isso, os invasores devem conseguir acessar a porta 8443 da API administrativa de uma implantação vulnerável do Sentry, que pode não ser voltada para o público. De acordo com Ivanti, um número “limitado” de clientes foi alvo dessa falha até agora.
Os criminosos podem explorar essa falha para ignorar a autenticação na interface administrativa devido a uma configuração insuficientemente restritiva do Apache HTTPd. A partir daí, eles podem acessar algumas APIs de administração confidenciais usadas para configurar o Sentry por meio da porta 8443.
“A exploração bem-sucedida pode ser usada para alterar a configuração, executar comandos do sistema ou gravar arquivos no sistema”, disse o alerta de segurança explicou. “No momento, estamos cientes apenas de um número limitado de clientes afetados pelo CVE-2023-38035”.
Há algumas boas notícias. “Embora o problema tenha uma pontuação CVSS alta, há um baixo risco de exploração para clientes que não expõem a porta 8443 à Internet”, afirmou Ivanti. As versões 9.18 e anteriores do Ivanti Sentry foram afetadas, e o bug não afeta nenhum outro produto Ivanti.
“Ao saber da vulnerabilidade, imediatamente mobilizamos recursos para corrigir o problema e temos scripts RPM disponíveis agora para as versões suportadas. Cada script é personalizado para uma única versão.” O fornecedor também observou que aplicar o script errado pode impedir que o problema seja corrigido ou causar “instabilidade do sistema”.
A empresa se recusou a responder Strong The Oneperguntas específicas sobre a falha de segurança, incluindo quantos clientes foram comprometidos.
O comunicado de hoje é o terceiro alerta do fornecedor de software em menos de um mês.
No final de julho, criminosos exploraram o CVE-2023-35078, outra falha de desvio de autenticação remota no Ivanti Endpoint Manager Mobile (EPMM), para comprometer as vítimas 12 agências governamentais norueguesas pelo menos antes de o desenvolvedor emitir uma correção.
De acordo com o CISA do governo dos EUA e o Centro Nacional de Segurança Cibernética da Noruega, quem quer que tenha explorado essa vulnerabilidade crítica passou pelo menos quatro meses bisbilhotando os sistemas de suas vítimas e roubando dados antes que uma invasão fosse detectada.
As duas nações também alertaram sobre o “potencial de exploração generalizada” do software da Ivanti em redes governamentais e corporativas.
Apenas alguns dias depois, Ivanti corrigiu um segunda vulnerabilidade EPMMrastreado como CVE-2023-35081.
Esse bug exigia que um intruso fizesse login como administrador para carregar arquivos arbitrários em um servidor de aplicativos da web EPMM. Alguém pode usar isso para fazer upload de um webshell para um servidor vulnerável e controlar remotamente a caixa backdoored, se conseguir obter credenciais de login de administrador ou privilégios escalados por meio de outra falha (o mencionado CVE-2023-35078, digamos?)
Até agora, nem Ivanti nem nenhuma das agências governamentais que investigam as invasões atribuíram qualquer uma dessas façanhas a um estado-nação ou gangue criminosa. ®
.
