Ivanti Sentry güvenlik ağ geçidi ürününün hemen hemen her sürümünü kullanan kuruluşlar, teknolojide sıfır gün gibi görünen bir güvenlik açığını gidermek için şirketin bugün yayınladığı güvenlik düzeltme ekini hemen uygulamak isteyebilir.
Şu şekilde izlenen güvenlik açığı: CVE-2023-38035, yöneticilerin güvenlik politikalarını yapılandırmak için kullandıkları arayüzde bulunur ve saldırganlara kimlik doğrulama kontrollerini atlamaları için bir yol sağlar. Kusur, desteklenen tüm Sentry sürümlerini (918, 9.17 ve 9.16) etkiler. Sentry’nin daha eski, desteklenmeyen sürümleri ve yayınları da bu güvenlik açığından yararlanma riski altındadır.
Kimliği Doğrulanmamış Erişim
Satıcı yaptığı açıklamada, “Bu güvenlik açığı kötüye kullanılırsa, kimliği doğrulanmamış bir aktörün yönetici portalında (bağlantı noktası 8443, genellikle MICS) Ivanti Sentry’yi yapılandırmak için kullanılan bazı hassas API’lere erişmesine olanak tanır.”
Hatadan başarıyla yararlanan bir saldırgan, ağ geçidinin yapılandırmasını değiştirebilir, sistem komutlarını yürütebilir ve sisteme rasgele dosyalar yazabilir. Ivanti, riski azaltmak için, kuruluşların yönetici portalına erişimi yalnızca dahili yönetim ağlarıyla sınırlaması gerektiğini, İnternet ile sınırlamaması gerektiğini söyledi.
Hatanın önem derecesi, olası 10 üzerinden 9,8’dir ve bu da onu kritik bir sorun haline getirir. Bununla birlikte, Ivanti’ye göre kusur, HTTPS veya SSL şifreli web trafiği için 8443 numaralı bağlantı noktasını İnternet’e göstermeyen kuruluşlar için çok az risk oluşturuyor.
En az bir medya raporu, Ivanti’nin kusuru açıkladığı sırada saldırganların zaten CVE-2023-38035’ten yararlandığını bildirdi ve bu, tanımı gereği onu sıfır gün hatası yapacaktı.
Ivanti’nin kendisi, bu karakterizasyonun onaylanması için bir Karanlık Okuma talebine doğrudan yanıt vermedi. Saldırganın şu ana kadar kaç müşteriyi tehlikeye atmış olabileceğine dair bilgi arayan bir soruya da yanıt vermedi. Bunun yerine, şirket bir işaret etti Blog ve bir danışma bugün güvenlik açığı hakkında yayınladığını. Hiçbiri, kusuru hedefleyen aktif istismar faaliyetinden bahsetmedi.
Kısa, iki cümlelik bir açıklamada Ivanti, güvenlik açığından yalnızca “çok sınırlı sayıda müşterinin” etkilendiğinin farkında olduğunu söyledi.
Çekici Hedef
Önceden MobileIron Sentry olan Ivanti Sentry, Ivanti’nin daha geniş Birleşik Uç Nokta Yönetimi ürünleri portföyünün bir parçasıdır. Kuruluşların mobil cihazlar ve arka uç sistemleri arasındaki trafiği yönetmesine, şifrelemesine ve korumasına olanak tanıyan bir ağ geçidi teknolojisidir. Ivanti’nin kendisi, Sentry’yi bir kuruluşun Microsoft Exchange Server’ına veya diğer ActiveSync sunucusuna veya Sharepoint sunucusu gibi arka uç sistemlerine bir tür bekçi olarak hizmet ediyor olarak tanımlıyor. Sentry, Kerberos Anahtar Dağıtım Merkezi Proxy (KKDCP) sunucusu olarak da kullanılabilir.
Son yıllarda birçok şirket, uzaktan çalışanların kişisel olarak sahip olunan ve şirket tarafından verilen mobil cihazları kullanarak kurumsal uygulamalara ve cihazlara güvenli bir şekilde erişebilmesini sağlamak için bu tür teknolojileri devreye aldı. Artan kullanımları, güvenlik araştırmacıları ve saldırganların artan ilgisini çekmiştir. Örneğin daha geçen ay saldırganlar, Ivanti Endpoint Manager’da bir uzak API erişim güvenlik açığı bulup istismar ettikten sonra 12 Norveç devlet kurumuna ait sistemlere girdi. Hata şu şekilde izlendi: CVE-2023-35078 saldırganların verilere erişmesine ve verileri çalmasına, cihaz yapılandırma bilgilerini değiştirmesine ve bir yönetici hesabı eklemesine izin verdi. Bu ayın başlarında, Ivanti başka bir hatayı açıkladı (CVE-2023-32560), Trend Micro’nun Zero-Day Initiative şirketi hatayı şirkete bildirdikten sonra bu kez Avalanche mobil yönetim teknolojisinde.
Ivanti, güvenlik satıcısı mnemonic’teki araştırmacılara kredi verdi[[<<COPYDESK: MNEMONIC REFERS TO ITSELF IN ALL LOWERCASE]]en yeni hatayı şirkete bildirdiğiniz için. Şirket, sorunu çözmek için hemen harekete geçtiğini ve RedHat Paket Yöneticisi (RPM) komut dosyalarını desteklenen tüm sürümler için mümkün olan en kısa sürede kullanıma sunduğunu iddia etti. Ivanit, RPM betiklerinin her sürüm için özelleştirildiğini ve kuruluşların ortamlarına hangisini yüklediklerine dikkat etmeleri gerektiği konusunda uyardı. Şirket, “Yanlış RPM komut dosyası uygulanırsa, güvenlik açığının düzeltilmesini engelleyebilir veya sistem kararsızlığına neden olabilir” dedi.
