Hoppa yfir valmynd

Alvarlegur núlldagsveikleiki í Ivanti Sentry

22. ágú. 2023

Alvarlegur núlldagsveikleiki í Ivanti Sentry

Tilkynnt hefur verið um alvarlegan núlldagsveikleika í Ivanti Sentry [1,2,4]. Veikleikinn gerir ógnaraðila kleift að breyta stillingum (e. change configuration), keyra skipanir (e. run system commands) eða skrifa skrár á kerfið (e. write files onto the system). Bleepingcomputer varar við að veikleikinn sé þegar misnotaður af ógnaraðilum [4]. CERT-IS mælir með að fylgja leiðbeiningum Ivanti um útfærslu mótvægisaðgerða og fylgjast með frekari tilkynningum frá Ivanti [2]. 
Athugið að veikleikinn er til staðar í Ivanti Sentry, en ekki öðrum vörum eins og Ivanti EPMM, MobileIron Cloud eða Ivanti Neurons for MDM. 

Alvarlegir veikleikar (e. critical)


CVE-2023-38035

Veikleikinn CVE-2023-38035 er með CVSSv3 skor 9.8 og er til staðar í öllum útgáfum af Ivanti Sentry. Veikleikinn felur í sér að hægt er að fara fram hjá auðkenningarstýringum (e. authentication controls) á stjórnkerfisviðmóti (e. administrative interface) kerfisins [2].


Eftirfarandi kerfi eru veik fyrir göllunum:


Ivanti Sentry

Útgáfur 9.16, 9.17 og 9.18 (allar studdar útgáfur). 
 

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

 

Ivanti Sentry

Ekki eru til staðar eiginlegar uppfærslur. Ivanti hefur úbúið skriftur (e. RPM script) sem viðskiptavinir keyra inn sem mótvægisaðgerð. Athugið að uppfæra þarf í studda útgáfu áður en skriftur eru keyrðar og að skriftur eru sérhannaðar fyrir hverja útgáfu, notkun rangra skriftna getur leitt til óstöðugleika [2]. Einnig bendir Ivanti viðskiptavinum á að hafa ekki opið á stjórnkerfisviðmót út á internetið. Sjá nánari leiðbeiningar frá Ivanti [3]. 
 

Tilvísanir:

[1] https://www.ivanti.com/blog/cve-2023-38035-vulnerability-affecting-ivanti-sentry 
[2] https://forums.ivanti.com/s/article/CVE-2023-38035-API-Authentication-Bypass-on-Sentry-Administrator-Interface?language=en_US 
[3] https://forums.ivanti.com/s/article/KB-API-Authentication-Bypass-on-Sentry-Administrator-Interface-CVE-2023-38035?language=en_US 
[4] https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-actively-exploited-mobileiron-zero-day-bug/