Fournisseur de services logiciels Ivanti est avertissement d’une nouvelle faille zero-day critique affectant Ivanti Sentry (anciennement MobileIron Sentry) qui, selon lui, est activement exploitée dans la nature, marquant une escalade de ses problèmes de sécurité.
Suivi comme CVE-2023-38035 (score CVSS : 9,8), le problème a été décrit comme un cas de contournement d’authentification impactant les versions 9.18 et antérieures en raison de ce qu’il appelle une configuration Apache HTTPD insuffisamment restrictive.
« Si elle est exploitée, cette vulnérabilité permet à un acteur non authentifié d’accéder à certaines API sensibles utilisées pour configurer Ivanti Sentry sur le portail de l’administrateur (port 8443, généralement MICS) », explique la société. dit.
« Bien que le problème ait un score CVSS élevé, le risque d’exploitation est faible pour les clients qui n’exposent pas le port 8443 à Internet. »
Une exploitation réussie du bug pourrait permettre à un attaquant de modifier la configuration, d’exécuter des commandes système ou d’écrire des fichiers sur le système. Il est recommandé aux utilisateurs de limiter l’accès à MICS aux réseaux de gestion internes.
Bien que les détails exacts concernant la nature de l’exploitation soient actuellement inconnus, la société a déclaré qu’elle n’était « au courant que d’un nombre limité de clients » qui ont été concernés.
Entreprise norvégienne de cybersécurité mnémonique a été crédité de la découverte et du signalement de la faille.
« Une exploitation réussie permet à un acteur malveillant non authentifié de lire et d’écrire des fichiers sur le serveur Ivanti Sentry et d’exécuter des commandes du système d’exploitation en tant qu’administrateur système (root) grâce à l’utilisation du ‘super utilisateur do’ (sudo) », indique-t-il. dit.
De plus, CVE-2023-38035 pourrait être utilisé comme arme après avoir exploité CVE-2023-35078 et CVE-2023-35081, deux autres failles récemment révélées dans Ivanti Endpoint Manager Mobile (EPMM) dans des scénarios où le port 8443 n’est pas accessible publiquement comme le Le portail d’administration est utilisé pour communiquer avec le serveur Ivanti EPMM.
Ce développement intervient une semaine après qu’Ivanti ait corrigé deux failles critiques de dépassement de tampon de pile (CVE-2023-32560) dans son logiciel Avalanche qui pourraient entraîner des plantages et l’exécution de code arbitraire sur les installations vulnérables.