美國 IT 軟件公司 Ivanti 今天提醒客戶，一個(gè)關(guān)鍵的 Sentry API 身份驗(yàn)證繞過漏洞正在被惡意利用。

Ivanti Sentry（前身為 MobileIron Sentry）在 MobileIron 部署中充當(dāng) Microsoft Exchange Server 等企業(yè) ActiveSync 服務(wù)器或 Sharepoint 服務(wù)器等后端資源的守門員，它還可以充當(dāng) Kerberos 密鑰分發(fā)中心代理（KKDCP）服務(wù)器。

網(wǎng)絡(luò)安全公司 mnemonic 的研究人員發(fā)現(xiàn)并報(bào)告了這個(gè)關(guān)鍵漏洞（CVE-2023-38035），未經(jīng)身份驗(yàn)證的攻擊者可以通過 MobileIron 配置服務(wù)（MICS）使用的 8443 端口訪問敏感的管理門戶配置 API。

攻擊者利用限制性不足的 Apache HTTPD 配置繞過身份驗(yàn)證控制后，就可以實(shí)現(xiàn)這一點(diǎn)。

成功利用后，他們就可以在運(yùn)行 Ivanti Sentry 9.18 及以前版本的系統(tǒng)上更改配置、運(yùn)行系統(tǒng)命令或?qū)懭胛募?/p>

Ivanti 建議管理員不要將 MICS 暴露在互聯(lián)網(wǎng)上，并限制對內(nèi)部管理網(wǎng)絡(luò)的訪問。

Ivanti 表示："截至目前，我們僅發(fā)現(xiàn)少數(shù)客戶受到 CVE-2023-38035 的影響。該漏洞不會影響其他 Ivanti 產(chǎn)品或解決方案，如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM"。

隨后，該公司補(bǔ)充說："在得知該漏洞后，我們立即調(diào)動資源修復(fù)該問題，并為所有支持版本提供了RPM腳本。我們建議客戶首先升級到支持的版本，然后應(yīng)用專門為其版本設(shè)計(jì)的 RPM 腳本"。

四月份以來被攻擊利用的其他 Ivanti 漏洞

自 4 月份以來，國家支持的黑客已經(jīng)利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前稱為 MobileIron Core）中的另外兩個(gè)安全漏洞。

其中一個(gè)（被追蹤為 CVE-2023-35078）是一個(gè)重要的身份驗(yàn)證繞過漏洞，該漏洞作為零日漏洞被濫用，入侵了挪威多個(gè)政府實(shí)體的網(wǎng)絡(luò)。

該漏洞還可與一個(gè)目錄遍歷漏洞（CVE-2023-35081）結(jié)合，使具有管理權(quán)限的威脅行為者能夠在被入侵系統(tǒng)上部署網(wǎng)絡(luò)外殼。

CISA在8月初發(fā)布的一份公告中說：高級持續(xù)威脅（APT）組織至少在2023年4月至2023年7月期間利用CVE-2023-35078作為零日漏洞，從多個(gè)挪威組織收集信息，并訪問和入侵了一個(gè)挪威政府機(jī)構(gòu)的網(wǎng)絡(luò)。

在CISA與挪威國家網(wǎng)絡(luò)安全中心（NCSC-NO）發(fā)布聯(lián)合公告之前，本月早些時(shí)候曾發(fā)布命令，要求美國聯(lián)邦機(jī)構(gòu)在8月15日和8月21日前修補(bǔ)這兩個(gè)被主動利用的漏洞。

一周前，Ivant 還修復(fù)了其企業(yè)移動管理（EMM）解決方案 Avalanche 軟件中的兩個(gè)關(guān)鍵的基于堆棧的緩沖區(qū)溢出，被追蹤為 CVE-2023-32560，利用后可能導(dǎo)致崩潰和任意代碼執(zhí)行。

參考鏈接：https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-actively-exploited-mobileiron-zero-day-bug/