美國(guó) IT 軟件公司 Ivanti 今天提醒客戶，一個(gè)關(guān)鍵的 Sentry API 身份驗(yàn)證繞過(guò)漏洞正在被惡意利用。

Ivanti Sentry（前身為 MobileIron Sentry）在 MobileIron 部署中充當(dāng) Microsoft Exchange Server 等企業(yè) ActiveSync 服務(wù)器或 Sharepoint 服務(wù)器等后端資源的守門(mén)員，它還可以充當(dāng) Kerberos 密鑰分發(fā)中心代理（KKDCP）服務(wù)器。

網(wǎng)絡(luò)安全公司 mnemonic 的研究人員發(fā)現(xiàn)并報(bào)告了這個(gè)關(guān)鍵漏洞（CVE-2023-38035），未經(jīng)身份驗(yàn)證的攻擊者可以通過(guò) MobileIron 配置服務(wù)（MICS）使用的 8443 端口訪問(wèn)敏感的管理門(mén)戶配置 API。

攻擊者利用限制性不足的 Apache HTTPD 配置繞過(guò)身份驗(yàn)證控制后，就可以實(shí)現(xiàn)這一點(diǎn)。

成功利用后，他們就可以在運(yùn)行 Ivanti Sentry 9.18 及以前版本的系統(tǒng)上更改配置、運(yùn)行系統(tǒng)命令或?qū)懭胛募?/p>

Ivanti 建議管理員不要將 MICS 暴露在互聯(lián)網(wǎng)上，并限制對(duì)內(nèi)部管理網(wǎng)絡(luò)的訪問(wèn)。

Ivanti 表示："截至目前，我們僅發(fā)現(xiàn)少數(shù)客戶受到 CVE-2023-38035 的影響。該漏洞不會(huì)影響其他 Ivanti 產(chǎn)品或解決方案，如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM"。

隨后，該公司補(bǔ)充說(shuō)："在得知該漏洞后，我們立即調(diào)動(dòng)資源修復(fù)該問(wèn)題，并為所有支持版本提供了RPM腳本。我們建議客戶首先升級(jí)到支持的版本，然后應(yīng)用專門(mén)為其版本設(shè)計(jì)的 RPM 腳本"。

四月份以來(lái)被攻擊利用的其他 Ivanti 漏洞

自 4 月份以來(lái)，國(guó)家支持的黑客已經(jīng)利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前稱為 MobileIron Core）中的另外兩個(gè)安全漏洞。

其中一個(gè)（被追蹤為 CVE-2023-35078）是一個(gè)重要的身份驗(yàn)證繞過(guò)漏洞，該漏洞作為零日漏洞被濫用，入侵了挪威多個(gè)政府實(shí)體的網(wǎng)絡(luò)。

該漏洞還可與一個(gè)目錄遍歷漏洞（CVE-2023-35081）結(jié)合，使具有管理權(quán)限的威脅行為者能夠在被入侵系統(tǒng)上部署網(wǎng)絡(luò)外殼。

CISA在8月初發(fā)布的一份公告中說(shuō)：高級(jí)持續(xù)威脅（APT）組織至少在2023年4月至2023年7月期間利用CVE-2023-35078作為零日漏洞，從多個(gè)挪威組織收集信息，并訪問(wèn)和入侵了一個(gè)挪威政府機(jī)構(gòu)的網(wǎng)絡(luò)。

在CISA與挪威國(guó)家網(wǎng)絡(luò)安全中心（NCSC-NO）發(fā)布聯(lián)合公告之前，本月早些時(shí)候曾發(fā)布命令，要求美國(guó)聯(lián)邦機(jī)構(gòu)在8月15日和8月21日前修補(bǔ)這兩個(gè)被主動(dòng)利用的漏洞。

一周前，Ivant 還修復(fù)了其企業(yè)移動(dòng)管理（EMM）解決方案 Avalanche 軟件中的兩個(gè)關(guān)鍵的基于堆棧的緩沖區(qū)溢出，被追蹤為 CVE-2023-32560，利用后可能導(dǎo)致崩潰和任意代碼執(zhí)行。

參考鏈接：https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-actively-exploited-mobileiron-zero-day-bug/