Ivanti Adverte sobre Falha Crítica Zero-Day Sendo Explorada Ativamente em Software Sentry
22 de Agosto de 2023

O provedor de serviços de software Ivanti está alertando sobre uma nova falha crítica de dia zero que afeta o Ivanti Sentry (anteriormente MobileIron Sentry), que, segundo a empresa, está sendo explorada ativamente, marcando uma escalada em seus problemas de segurança.

Rastreada como CVE-2023-38035 (pontuação CVSS: 9.8), a questão foi descrita como um caso de bypass de autenticação que impacta as versões 9.18 e anteriores devido ao que a empresa chamou de uma configuração Apache HTTPD insuficientemente restritiva.

“Se explorada, esta vulnerabilidade permite que um ator não autenticado acesse algumas APIs sensíveis que são usadas para configurar o Ivanti Sentry no portal do administrador (porta 8443, comumente MICS)”, disse a empresa.

“Embora a questão tenha uma pontuação CVSS alta, há um baixo risco de exploração para os clientes que não expõem a porta 8443 na internet.”

A exploração bem-sucedida do bug poderia permitir que um invasor alterasse a configuração, executasse comandos do sistema ou escrevesse arquivos no sistema.

É recomendável que os usuários restrinjam o acesso ao MICS pelas redes de gestão internas.

Embora os detalhes exatos em torno da natureza da exploração sejam desconhecidos, a empresa disse que está "apenas ciente de um número limitado de clientes" que foram afetados.

A empresa norueguesa de segurança cibernética mnemonic foi creditada por descobrir e relatar a falha.

"Exploração bem-sucedida permite que um ator de ameaça não autenticado leia e escreva arquivos no servidor Ivanti Sentry e execute comandos de sistema operacional como administrador do sistema (root) por meio do uso de 'super usuário faz' (sudo)", disse.

Além disso, a CVE-2023-38035 poderia ser armada após explorar a CVE-2023-35078 e a CVE-2023-35081 , duas outras falhas recentemente divulgadas no Endpoint Manager Mobile (EPMM) da Ivanti, em cenários em que a porta 8443 não é acessível publicamente, dado que o portal do administrador é usado para se comunicar com o servidor Ivanti EPMM.

O desenvolvimento surge uma semana depois que a Ivanti corrigiu duas falhas críticas de estouro de buffer baseado em pilha ( CVE-2023-32560 ) em seu software Avalanche, que poderiam levar a falhas e execução de código arbitrário em instalações vulneráveis.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...