Ivanti veröffentlicht Patches für den ausgenutzten Sentry-Gateway-Bug • The Register

Ein kritischer Fehler bei der Authentifizierungsumgehung in MobileIron Sentry sei ausgenutzt worden, sagte der Hersteller Ivanti am Montag in einem Advisory.

Diese Schwachstelle mit der Bezeichnung CVE-2023-38035 weist einen CVSS-Schweregrad von 9,8 von 10 auf und liegt streng genommen bei Ivanti Sentry, früher bekannt als MobileIron Sentry. Hierbei handelt es sich um ein Gateway, das den Datenverkehr zwischen den mobilen Geräten einer Organisation und den Back-End-Systemen verwaltet und verschlüsselt.

Die Ausnutzung dieser Schwachstelle kann dazu führen, dass ein Eindringling die Kontrolle über diese sensible Netzwerkkomponente erlangt. Dazu müssen Angreifer in der Lage sein, den administrativen API-Port 8443 einer anfälligen Sentry-Bereitstellung zu erreichen, die möglicherweise nicht öffentlich zugänglich ist. Laut Ivanti wurde bisher eine „begrenzte“ Anzahl von Kunden durch diese Schwachstelle angegriffen.

Täter können diese Lücke ausnutzen, um die Authentifizierung auf der Verwaltungsschnittstelle aufgrund einer nicht ausreichend restriktiven Apache HTTPd-Konfiguration zu umgehen. Von dort aus können sie über Port 8443 auf einige sensible Admin-APIs zugreifen, die zur Konfiguration von Sentry verwendet werden.

„Eine erfolgreiche Ausnutzung kann dazu genutzt werden, die Konfiguration zu ändern, Systembefehle auszuführen oder Dateien auf das System zu schreiben“, heißt es in der Sicherheitswarnung. „Derzeit ist uns nur eine begrenzte Anzahl von Kunden bekannt, die von CVE-2023-38035 betroffen sind.“

Es gibt gute Neuigkeiten. „Obwohl das Problem einen hohen CVSS-Score aufweist, besteht ein geringes Risiko einer Ausnutzung für Kunden, die Port 8443 nicht dem Internet zugänglich machen“, behauptete Ivanti. Betroffen sind die Ivanti Sentry-Versionen 9.18 und früher, und der Fehler betrifft keine anderen Ivanti-Produkte, wie uns mitgeteilt wurde.

„Als wir von der Sicherheitslücke erfuhren, haben wir sofort Ressourcen mobilisiert, um das Problem zu beheben, und stellen jetzt RPM-Skripte für unterstützte Versionen zur Verfügung. Jedes Skript ist für eine einzelne Version angepasst.“ Der Anbieter wies außerdem darauf hin, dass die Anwendung des falschen Skripts die Behebung des Problems verhindern oder zu „Systeminstabilität“ führen kann.

Das Unternehmen lehnte es ab, die spezifischen Fragen von The Register zu der Sicherheitslücke zu beantworten, einschließlich der Frage, wie viele Kunden kompromittiert wurden.

Die heutige Empfehlung ist die dritte derartige Warnung des Softwareanbieters in weniger als einem Monat.

Ende Juli nutzten Kriminelle CVE-2023-35078 aus, eine weitere Schwachstelle bei der Umgehung der Fernauthentifizierung im Ivanti Endpoint Manager Mobile (EPMM), um zwölf norwegische Regierungsbehörden zu gefährden, zumindest bevor der Entwickler einen Fix herausgab.

Nach Angaben des CISA der US-Regierung und des norwegischen Nationalen Cyber-Sicherheitszentrums verbrachte derjenige, der diese kritische Sicherheitslücke ausnutzte, mindestens vier Monate damit, die Systeme seiner Opfer auszuspionieren und Daten zu stehlen, bevor ein Einbruch entdeckt wurde.

Die beiden Nationen warnten außerdem vor dem „Potenzial einer weitreichenden Ausbeutung“ der Ivanti-Software sowohl in Regierungs- als auch in Unternehmensnetzwerken.

Nur wenige Tage später hat Ivanti eine zweite EPMM-Schwachstelle mit der Bezeichnung CVE-2023-35081 gepatcht.

Dieser Fehler erforderte, dass ein Eindringling als Administrator angemeldet sein musste, um beliebige Dateien auf einen EPMM-Webanwendungsserver hochzuladen. Jemand könnte dies nutzen, um eine Webshell auf einen anfälligen Server hochzuladen und die Backdoor-Box fernzusteuern, wenn er in der Lage wäre, über einen anderen Fehler (z. B. den oben genannten CVE-2023-35078) Administrator-Anmeldeinformationen oder erweiterte Berechtigungen zu erhalten.

Weder Ivanti noch eine der Regierungsbehörden, die die Eingriffe untersuchen, haben bisher jemals irgendeine dieser Taten einem Nationalstaat oder einer kriminellen Bande zugeschrieben. ®

Senden Sie uns Neuigkeiten