Ivanti Sentry API Authentication Bypass
Deze liveblog bevat informatie over een kwetsbaarheid in Ivanti Sentry. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 25 augustus 2023.
T-Update
Deze liveblog bevat informatie over een kwetsbaarheid in Ivanti Sentry. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 25 augustus 2023.
Update 25 augustus 2023
12:30 | Cyber security bedrijf Horizon3 heeft een gedetailleerde blog gepubliceerd over CVE-2023-38035 met een Proof-of-Concept (POC) exploit. Deze POC-exploit is verkregen door reverse-engineering van een patch die publiekelijk beschikbaar is gemaakt om de kwetsbaarheid te verhelpen. Voor een meer technische en diepgaande analyse, zie hier het bericht geschreven door Horizon3:
Er zijn geen directe indicators of compromise benoemd in de blog. Echter, alle onbekende HTTP-verzoeken aan /services/* zouden reden tot zorg moeten zijn, zoals aangegeven door Horizon3. Er kan in de logs in de web-interface gekeken worden voor verdachte activiteiten.
Als alternatief kunnen de access logs in /var/log/tomcat2/ op een geëxploiteerd systeem met behulp van forensische analyse worden bekeken om te controleren welke hosts zijn benaderd.
Omdat er momenteel een POC-exploit beschikbaar is, adviseren wij om zo snel mogelijk te patchen volgens de eerder gecommuniceerde instructies.
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Update 22 augustus 2023
19:30 | Op 21 augustus heeft Ivanti een security blog gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven. De kwetsbaarheid is geregistreerd als CVE-2023-38035 en stelt een unauthenticated aanvaller met toegang tot de Sentry System Manager Portal (ook bekend als MICS, MobileIron Configuration Service) om configuratiewijzigingen aan te brengen in Sentry en het onderliggende besturingssysteem.
Uitbuiting van CVE-2023-38035 is reeds in het wild waargenomen tegen een klein aantal klanten. Deze kwetsbaarheid heeft geen invloed op andere producten of oplossingen van Ivanti, zoals Ivanti EPMM (Endpoint Manager Mobile), MobileIron Cloud of Ivanti Neurons for MDM. Ivanti heeft software-updates uitgebracht. Het wordt aanbevolen om deze beveiligingspatches zo snel mogelijk toe te passen.
Achtergrond
Op 21 augustus heeft Ivanti een security blog gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven. De kwetsbaarheid is geregistreerd als CVE-2023-38035 en stelt een unauthenticated aanvaller met toegang tot de Sentry System Manager Portal (ook bekend als MICS, MobileIron Configuration Service) om configuratiewijzigingen aan te brengen in Sentry en het onderliggende besturingssysteem. Uitbuiting van CVE-2023-38035 is reeds in het wild waargenomen tegen een klein aantal klanten. Deze kwetsbaarheid heeft geen invloed op andere producten of oplossingen van Ivanti, zoals Ivanti EPMM (Endpoint Manager Mobile), MobileIron Cloud of Ivanti Neurons for MDM. Ivanti heeft software-updates uitgebracht. Het wordt aanbevolen om deze beveiligingspatches zo snel mogelijk toe te passen.
Risico
De kwetsbaarheid CVE-2023-38035 heeft een CVSS-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 is zeldzaam en impliceert een lage complexiteit en een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid CVE-2023-38035 stelt een unauthenticated aanvaller met toegang tot de Sentry System Manager Portal (MICS) om configuratiewijzigingen aan te brengen in Sentry en het onderliggende besturingssysteem.
Succesvolle uitbuiting kan de aanvaller in staat stellen om als root OS-commando’s op het systeem uit te voeren.
De Sentry System Manager Portal wordt standaard gehost op poort 8443. Ivanti raadt aan om de portal niet publiek te ontsluiten op het internet.
Uitbuiting van CVE-2023- 38035 is reeds in het wild waargenomen tegen een klein aantal klanten. Ivanti raadt aan om te upgraden naar een ondersteunde versie en vervolgens de door Ivanti geleverde RPM-scripts toe te passen.
Advies
Ivanti Sentry was voorheen bekend als MobileIron Sentry. De volgende versies van Ivanti Sentry zijn kwetsbaar:
- Versie – 9.18, 9.17, and 9.16
- Oudere versies/releases
We adviseren om zo spoedig mogelijk te upgraden naar één van de volgende ondersteunde versies en de RPM-scripts toe te passen:
- Sentry 9.18
- Sentry 9.17
- Sentry 9.16
De RPM-scripts zijn aangeleverd door Ivanti en kunnen hier worden gevonden:
Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
