ABD tabanlı BT yazılım şirketi Ivanti bugün müşterileri vahşi doğada eleştirel bir nöbetçi API kimlik doğrulama bypass güvenlik açığının kullanıldığı konusunda uyardı.
Ivanti Sentry (eski adıyla MobileIron Sentry), Microsoft Exchange Server gibi Enterprise ActiveSync sunucuları veya MobileIron dağıtımlarındaki SharePoint sunucuları gibi arka uç kaynakları için bir bekçi olarak işlev görür ve ayrıca bir Kerberos Anahtar Dağıtım Merkezi Proxy (KKDCP) sunucusu olarak da çalışabilir.
Siber güvenlik şirketi Mnemonic'te araştırmacılar tarafından keşfedilen ve rapor edilen kritik güvenlik açığı (CVE-2023-38035), kimlik doğrulanmamış saldırganların MobileIRIR Configuration Hizmeti (MICS) tarafından kullanılan Hassas Yönetici Portal Yapılandırma API'lerine erişmesini sağlar.
Bu, yeterince kısıtlayıcı bir Apache HTTPD yapılandırmasından yararlanarak kimlik doğrulama kontrollerini atladıktan sonra mümkündür.
Başarılı sömürü, yapılandırmayı değiştirmelerine, sistem komutlarını çalıştırmalarına veya dosyaları IVanti Sentry sürümleri 9.18 ve önceki sistemlere yazmalarına olanak tanır.
Ivanti, yöneticilere MIC'leri internete maruz bırakmamalarını ve iç yönetim ağlarına erişimi kısıtlamalarını tavsiye etti.
"Şu andan itibaren, CVE-2023-38035'ten etkilenen sınırlı sayıda müşterinin farkındayız. Bu kırılganlık, MDM için Ivanti EPMM, Mobileir bulut veya Ivanti nöronları gibi diğer Ivanti ürünlerini veya çözümlerini etkilemiyor." Dedi. .
"Güvenlik açığının öğrenildikten sonra, sorunu çözmek için kaynakları hemen harekete geçirdik ve desteklenen tüm sürümler için şimdi RPM komut dosyalarını kullanıyor. Müşterilerin önce desteklenen bir sürüme yükseltmesini ve ardından sürümleri için özel olarak tasarlanmış RPM komut dosyasını uygulamanızı öneriyoruz." katma.
Ivanti, bu bilgi tabanı makalesinde desteklenen sürümleri çalıştıran sistemlere nöbetçi güvenlik güncellemelerini uygulama hakkında ayrıntılı bilgi sağlar.
Nisan ayından bu yana, devlet destekli bilgisayar korsanları, daha önce MobileIron Core olarak bilinen Ivanti'nin Endpoint Manager Mobile (EPMM) içinde iki ek güvenlik açığından yararlandı.
Bunlardan biri (CVE-2023-35078 olarak izlendi), Norveç'teki çeşitli hükümet kuruluşlarının ağlarını ihlal etmek için sıfır gün olarak istismar edilen önemli bir kimlik doğrulama baypasıdır.
Güvenlik açığı, bir dizin geçiş kusuru (CVE-2023-35081) ile zincirlenebilir ve bu, tehdit aktörlerine idari ayrıcalıklara sahip Web mermileri uzatılmış sistemlere dağıtma yeteneği verir.
"Gelişmiş Kalıcı Tehdit (APT) aktörler, birkaç Norveçli kuruluştan bilgi toplamak ve bir Norveç hükümet ajansının ağına erişmek ve tehlikeye atmak için en az Nisan 2023'ten Temmuz 2023'e kadar CVE-2023-35078'den sıfır gün olarak sömürdü." Cisa, Ağustos ayı başlarında yayınlanan bir danışmanda dedi.
Norveç Ulusal Siber Güvenlik Merkezi (NCSC-NO) ile CISA Ortak Danışmanlığı, bu ayın başlarında yayınlanan emirleri izledi.
Bir hafta önce Ivant, sömürü takiben kazalara ve keyfi kod uygulamasına yol açabilecek bir kurumsal mobilite yönetimi (EMM) çözümü olan çığ yazılımında CVE-2023-32560 olarak izlenen iki kritik yığın tabanlı tampon taşma sabitledi.
Ivanti Yamaları Mobileiron Saldırılarda Sömürü Sıralı Gün Böcek
Ivanti, MobileIron Core'daki yeni kritik kimlikaryalı baypas hatasını açıklıyor
Ivanti Yamalar Norveç Hükümeti Saldırılarında Yeni Sıfır Gün İstismar
Cisa, Govt ajanslarını saldırılarda sömürülen ivanti böceklerini yamaya uyardı
Norveç, Ivanti Zero Day'in Govt IT sistemlerini kesmek için kullanıldığını söylüyor
Kaynak: Bleeping Computer