Ivanti rilascia patch per il bug Sentry Gateway sfruttato • The Register

Un bug critico di bypass dell'autenticazione in MobileIron Sentry è stato sfruttato in massa, ha detto lunedì il suo creatore Ivanti in un avviso.

Questa vulnerabilità, tracciata come CVE-2023-38035, è un difetto 9,8 su 10 in termini di gravità CVSS e, in senso stretto, si trova all'interno di Ivanti Sentry, precedentemente noto come MobileIron Sentry. Si tratta di un gateway che gestisce e crittografa il traffico tra i dispositivi mobili e i sistemi back-end di un'organizzazione.

Lo sfruttamento di questa vulnerabilità può far sì che un intruso acquisisca il controllo di questo componente sensibile della rete. Per fare ciò, gli aggressori devono essere in grado di raggiungere la porta API amministrativa 8443 di una distribuzione Sentry vulnerabile, che potrebbe non essere esposta al pubblico. Secondo Ivanti, finora a causa di questa falla è stato preso di mira un numero "limitato" di clienti.

I malintenzionati possono sfruttare questo buco per aggirare l'autenticazione sull'interfaccia amministrativa a causa di una configurazione Apache HTTPd non sufficientemente restrittiva. Da lì, possono accedere ad alcune API di amministrazione sensibili utilizzate per configurare Sentry tramite la porta 8443.

"Lo sfruttamento riuscito può essere utilizzato per modificare la configurazione, eseguire comandi di sistema o scrivere file sul sistema", spiega l'avviso di sicurezza. "Al momento, siamo a conoscenza solo di un numero limitato di clienti interessati da CVE-2023-38035."

Ci sono alcune buone notizie. "Sebbene il problema abbia un punteggio CVSS elevato, il rischio di sfruttamento è basso per i clienti che non espongono la porta 8443 a Internet", ha affermato Ivanti. Sono interessate le versioni Ivanti Sentry 9.18 e precedenti e, ci è stato detto, il bug non ha alcun impatto su nessun altro prodotto Ivanti.

"Dopo aver appreso della vulnerabilità, abbiamo immediatamente mobilitato le risorse per risolvere il problema e abbiamo subito disponibili gli script RPM per le versioni supportate. Ogni script è personalizzato per una singola versione." Il fornitore ha inoltre notato che l'applicazione dello script sbagliato potrebbe impedire la risoluzione del problema o causare "instabilità del sistema".

La società ha rifiutato di rispondere alle domande specifiche di The Register sulla falla di sicurezza, incluso il numero di clienti compromessi.

L'avviso di oggi è il terzo di questo tipo inviato dal fornitore di software in meno di un mese.

Alla fine di luglio, i criminali hanno sfruttato CVE-2023-35078, un altro difetto di bypass dell'autenticazione remota in Ivanti Endpoint Manager Mobile (EPMM), per compromettere le vittime di 12 agenzie governative norvegesi almeno prima che lo sviluppatore pubblicasse una soluzione.

Secondo la CISA del governo statunitense e il Centro nazionale norvegese per la sicurezza informatica, chiunque abbia sfruttato questa vulnerabilità critica ha trascorso almeno quattro mesi a curiosare nei sistemi delle vittime e a rubare dati prima che un'intrusione fosse individuata.

Le due nazioni hanno anche messo in guardia dal “potenziale di sfruttamento diffuso” del software Ivanti sia nelle reti governative che in quelle aziendali.

Pochi giorni dopo, Ivanti ha corretto una seconda vulnerabilità EPMM, identificata come CVE-2023-35081.

Questo bug richiedeva che un intruso accedesse come amministratore per caricare file arbitrari su un server di app Web EPMM. Qualcuno potrebbe usarlo per caricare una webshell su un server vulnerabile e controllare da remoto la macchina con backdoor, se fosse in grado di ottenere credenziali di accesso da amministratore o privilegi aumentati tramite un altro difetto (il già citato CVE-2023-35078, diciamo?)

Né Ivanti né alcuna delle agenzie governative che indagano sulle intrusioni devono ancora attribuire nessuno di questi exploit a uno stato-nazione o a una banda criminale. ®

Mandaci notizie