Ivanti、悪用された Sentry ゲートウェイのバグに対するパッチを発行 • The Register

MobileIron Sentry の重大な認証バイパスのバグが実際に悪用されていると、そのメーカーの Ivanti が月曜日の勧告で述べた。

CVE-2023-38035 として追跡されているこの脆弱性は、CVSS 重大度の点で 9.8/10 の欠陥であり、厳密に言えば、以前は MobileIron Sentry として知られていた Ivanti Sentry 内に存在します。 これは、組織のモバイル デバイスとバックエンド システム間のトラフィックを管理および暗号化するゲートウェイです。

この脆弱性が悪用されると、侵入者がこの機密性の高いネットワーク コンポーネントを制御する可能性があります。 これを行うには、攻撃者は脆弱な Sentry デプロイメントの管理 API ポート 8443 にアクセスできる必要がありますが、このポートは公開されていない可能性があります。 Ivanti によると、これまでのところ「限られた」数の顧客がこの欠陥の標的になっています。

Apache HTTPd 構成の制限が不十分なため、不正者はこのホールを悪用して、管理インターフェイスでの認証をバイパスする可能性があります。 そこから、ポート 8443 経由で Sentry の構成に使用されるいくつかの機密性の高い管理 API にアクセスできます。

「悪用に成功すると、設定の変更、システムコマンドの実行、システムへのファイルの書き込みなどが行われる可能性がある」とセキュリティ警告では説明されている。 「現時点では、CVE-2023-38035 の影響を受けるお客様は限られた数だけ把握しています。」

良いニュースがあります。 「この問題のCVSSスコアは高いが、ポート8443をインターネットに公開していない顧客にとって悪用されるリスクは低い」とIvanti氏は主張した。 Ivanti Sentry バージョン 9.18 以前が影響を受け、このバグは他の Ivanti 製品には影響しないとのことです。

「この脆弱性を知った後、私たちは問題を修正するために直ちにリソースを動員し、サポートされているバージョンで RPM スクリプトを利用できるようになりました。各スクリプトは単一のバージョンに合わせてカスタマイズされています。」 ベンダーはまた、間違ったスクリプトを適用すると、問題が修正されなかったり、「システムの不安定性」を引き起こしたりする可能性があると述べています。

同社は、何人の顧客が侵害されたかなど、セキュリティ上の欠陥に関するThe Registerの具体的な質問には答えることを拒否した。

今日の勧告は、このソフトウェアベンダーによるこの1か月以内での3回目の警告となる。

7 月下旬、犯罪者は Ivanti Endpoint Manager Mobile (EPMM) の別のリモート認証バイパスの欠陥である CVE-2023-35078 を悪用し、少なくとも開発者が修正プログラムを公開する前に、被害者である 12 のノルウェー政府機関を侵害しました。

米国政府の CISA とノルウェー国立サイバー セキュリティ センターによると、この重大な脆弱性を悪用した者は、侵入が発見されるまでに少なくとも 4 か月をかけて被害者のシステムを覗き見し、データを盗んでいました。

両国はまた、政府と企業のネットワークの両方でIvantiのソフトウェアが「広範囲に悪用される可能性」があると警告した。

わずか数日後、Ivanti は CVE-2023-35081 として追跡された 2 番目の EPMM 脆弱性にパッチを適用しました。

このバグにより、侵入者は EPMM Web アプリ サーバーに任意のファイルをアップロードするために管理者としてログインする必要がありました。 別の欠陥 (前述の CVE-2023-35078 など) を介して管理者ログイン資格情報または昇格された権限を取得できれば、誰かがこれを使用して脆弱なサーバーに Web シェルをアップロードし、バックドア ボックスをリモートで制御する可能性があります。

Ivanti も、侵入を調査している政府機関も、これまでのところ、これらの悪用が国民国家や犯罪組織によるものであるとはまだ考えていません。 ®

ニュースを送ってください