Ivanti publie des correctifs pour le bug exploité de la passerelle Sentry • The Register

Un bug critique de contournement de l'authentification dans MobileIron Sentry a été exploité de manière sauvage, a déclaré son fabricant Ivanti dans un avis publié lundi.

Cette vulnérabilité, identifiée comme CVE-2023-38035, est une faille de 9,8 sur 10 en termes de gravité CVSS et se trouve à proprement parler dans Ivanti Sentry, anciennement connu sous le nom de MobileIron Sentry. Il s'agit d'une passerelle qui gère et chiffre le trafic entre les appareils mobiles d'une organisation et les systèmes back-end.

L’exploitation de cette vulnérabilité pourrait permettre à un intrus de prendre le contrôle de ce composant sensible du réseau. Pour ce faire, les attaquants doivent pouvoir atteindre le port API administratif 8443 d'un déploiement Sentry vulnérable, qui peut ne pas être accessible au public. Selon Ivanti, un nombre « limité » de clients ont été jusqu'à présent ciblés par cette faille.

Les malfaiteurs peuvent exploiter cette faille pour contourner l'authentification sur l'interface d'administration en raison d'une configuration Apache HTTPd insuffisamment restrictive. À partir de là, ils peuvent accéder à certaines API d'administration sensibles utilisées pour configurer Sentry via le port 8443.

"Une exploitation réussie peut être utilisée pour modifier la configuration, exécuter des commandes système ou écrire des fichiers sur le système", explique l'alerte de sécurité. "Pour l'instant, nous ne connaissons qu'un nombre limité de clients concernés par le CVE-2023-38035."

Il y a quelques bonnes nouvelles. « Bien que le problème ait un score CVSS élevé, le risque d'exploitation est faible pour les clients qui n'exposent pas le port 8443 à Internet », affirme Ivanti. Les versions 9.18 et antérieures d'Ivanti Sentry sont concernées, et le bug n'affecte aucun autre produit Ivanti, nous dit-on.

"Dès que nous avons pris connaissance de la vulnérabilité, nous avons immédiatement mobilisé des ressources pour résoudre le problème et avons désormais des scripts RPM disponibles pour les versions prises en charge. Chaque script est personnalisé pour une seule version." Le fournisseur a également noté que l'application d'un mauvais script pourrait empêcher la résolution du problème ou provoquer une « instabilité du système ».

La société a refusé de répondre aux questions spécifiques de The Register sur la faille de sécurité, notamment sur le nombre de clients compromis.

L'avis d'aujourd'hui est la troisième alerte de ce type émise par l'éditeur de logiciels en moins d'un mois.

Fin juillet, des malfaiteurs ont exploité CVE-2023-35078, une autre faille de contournement d'authentification à distance dans Ivanti Endpoint Manager Mobile (EPMM), pour compromettre les victimes de 12 agences gouvernementales norvégiennes au moins avant que le développeur ne publie un correctif.

Selon le CISA du gouvernement américain et le Centre national norvégien de cybersécurité, quiconque a exploité cette vulnérabilité critique a passé au moins quatre mois à fouiner dans les systèmes de ses victimes et à voler des données avant qu'une intrusion ne soit détectée.

Les deux pays ont également mis en garde contre un « potentiel d'exploitation à grande échelle » des logiciels Ivanti dans les réseaux gouvernementaux et d'entreprise.

Quelques jours plus tard, Ivanti a corrigé une deuxième vulnérabilité EPMM, identifiée comme CVE-2023-35081.

Ce bug nécessitait qu'un intrus soit connecté en tant qu'administrateur pour télécharger des fichiers arbitraires sur un serveur d'applications Web EPMM. Quelqu'un pourrait l'utiliser pour télécharger un webshell sur un serveur vulnérable et contrôler à distance la boîte dérobée, s'il est en mesure d'obtenir des informations de connexion d'administrateur ou des privilèges élevés via une autre faille (la CVE-2023-35078 susmentionnée, disons ?)

Ni Ivanti ni aucune des agences gouvernementales enquêtant sur ces intrusions n'ont encore attribué aucun de ces exploits à un État-nation ou à un gang criminel. ®

Envoyez-nous des nouvelles