Ivanti曝新的MobileIron零日漏洞,正在被恶意利用
2023-8-23 10:22:16 Author: www.freebuf.com(查看原文) 阅读量:28 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国 IT 软件公司 Ivanti 今天提醒客户,一个关键的 Sentry API 身份验证绕过漏洞正在被恶意利用。

Ivanti Sentry(前身为 MobileIron Sentry)在 MobileIron 部署中充当 Microsoft Exchange Server 等企业 ActiveSync 服务器或 Sharepoint 服务器等后端资源的守门员,它还可以充当 Kerberos 密钥分发中心代理(KKDCP)服务器。

网络安全公司 mnemonic 的研究人员发现并报告了这个关键漏洞(CVE-2023-38035),未经身份验证的攻击者可以通过 MobileIron 配置服务(MICS)使用的 8443 端口访问敏感的管理门户配置 API。

攻击者利用限制性不足的 Apache HTTPD 配置绕过身份验证控制后,就可以实现这一点。

成功利用后,他们就可以在运行 Ivanti Sentry 9.18 及以前版本的系统上更改配置、运行系统命令或写入文件。

Ivanti 建议管理员不要将 MICS 暴露在互联网上,并限制对内部管理网络的访问。

Ivanti 表示:"截至目前,我们仅发现少数客户受到 CVE-2023-38035 的影响。该漏洞不会影响其他 Ivanti 产品或解决方案,如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM"。

随后,该公司补充说:"在得知该漏洞后,我们立即调动资源修复该问题,并为所有支持版本提供了RPM脚本。我们建议客户首先升级到支持的版本,然后应用专门为其版本设计的 RPM 脚本"。

四月份以来被攻击利用的其他 Ivanti 漏洞

自 4 月份以来,国家支持的黑客已经利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)(以前称为 MobileIron Core)中的另外两个安全漏洞。

其中一个(被追踪为 CVE-2023-35078)是一个重要的身份验证绕过漏洞,该漏洞作为零日漏洞被滥用,入侵了挪威多个政府实体的网络。

该漏洞还可与一个目录遍历漏洞(CVE-2023-35081)结合,使具有管理权限的威胁行为者能够在被入侵系统上部署网络外壳。

CISA在8月初发布的一份公告中说:高级持续威胁(APT)组织至少在2023年4月至2023年7月期间利用CVE-2023-35078作为零日漏洞,从多个挪威组织收集信息,并访问和入侵了一个挪威政府机构的网络。

在CISA与挪威国家网络安全中心(NCSC-NO)发布联合公告之前,本月早些时候曾发布命令,要求美国联邦机构在8月15日和8月21日前修补这两个被主动利用的漏洞。

一周前,Ivant 还修复了其企业移动管理(EMM)解决方案 Avalanche 软件中的两个关键的基于堆栈的缓冲区溢出,被追踪为 CVE-2023-32560,利用后可能导致崩溃和任意代码执行。

参考链接:https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-actively-exploited-mobileiron-zero-day-bug/


文章来源: https://www.freebuf.com/news/375839.html
如有侵权请联系:admin#unsafe.sh