Ivanti heeft voor de derde keer binnen een maand een kwetsbaarheid in zijn software gepatcht. Deze keer gaat het om een authenticatie-omzeiling in Ivanti Sentry, het oude MobileIron Sentry.
Ivanti Sentry is een gateway die het verkeer tussen de mobiele devices van bedrijven en de achterliggende systemen beheert en versleutelt. De aangetroffen kwetsbaarheid CVE-2023-38035 zou al op beperkte schaal worden misbruikt en heeft een hoge prioriteitsscore.
Getroffen Ivanti Sentry-versies zijn v9.18 en eerder. Andere Ivanti-oplossingen zijn niet kwetsbaar.
Authenticatie omzeilen
De kwetsbaarheid omzeilt authenticatie en laat hackers de gateway overnemen. Eerst moet men wel toegang verkrijgen tot de administratieve API-poort 8443 of een kwetsbare Ivanti Sentry-installatie.
Via de API-poort omzeilen de hackers de authenticatie voor de beheerinterface door een niet genoeg beperkende Apache HTTPd-configuratie. Hiermee krijgen zij toegang tot verschillende gevoelige admin API’s voor het configureren van Ivanti Sentry via de genoemde poort 8843.
De hackers kunnen dan de configuratie veranderen, systeemopdrachten uitvoeren of bestanden naar het betreffende systeem schrijven. Het goede nieuws is dat gebruikers die poort 8843 niet blootstellen aan het internet, weinig risico lopen.
Patch via RPM scripts
De devicebeheerspecialist heeft direct een patch uitgebracht in de vorm van RPM scripts voor de getroffen versies, Iedere versie van Ivanti Sentry heeft zijn eigen RPM script gekregen. Gebruikers moeten er goed op letten het juiste script voor de juiste versie te gebruiken. Anders werkt de fix niet of wordt de Sentry-versie onstabiel.
Derde keer in een maand
De nieuwe kwetsbaarheid is de derde die Ivanti binnen een maand ontdekt. Eind juli werd de remote authentication bypass-kwetsbaarheid CVE-2023-35078 ontdekt. Deze kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) trof 12 Noorse ministeries voordat het werd gepatcht.
Een paar dagen later kwam eenzelfde EPMM-kwetsbaarheid bovendrijven, CVE-2023-35081. Deze kwetsbaarheid werd vrijwel direct door de devicebeheerspecialist gepatcht.
Lees ook: Hackers misbruiken zeroday in Ivanti-software al zeker sinds april