Ivanti выпустила срочное исправление для уязвимости обхода аутентификации API

Aug 29, 2023

Уязвимость критической серьезности в продукте Ivanti Sentry (ранее MobileIron Sentry) открывает доступ к конфиденциальным данным и конфигурациям API.

К

Флипборд

Реддит

Пинтерест

WhatsApp

WhatsApp

Электронная почта

Проблемы Ivanti с дефектами безопасности в ее корпоративных продуктах начинают накапливаться.

Компания ИТ-разработчика программного обеспечения в понедельник отправила срочные исправления для критической уязвимости в продукте Ivanti Sentry (ранее MobileIron Sentry) и предупредила, что хакеры могут использовать эту проблему для доступа к конфиденциальным данным и конфигурациям API.

Уязвимость, отмеченная как CVE-2023-38035, затрагивает Ivanti Sentry версии 9.18 и более ранние и может быть использована злоумышленниками для изменения конфигурации, запуска системных команд или записи файлов в систему, говорится в сообщении Ivanti.

«В случае эксплуатации эта уязвимость позволяет неаутентифицированному субъекту получить доступ к некоторым конфиденциальным API, которые используются для настройки Ivanti Sentry на портале администратора (порт 8443, обычно MICS)», — заявили в компании.

Несмотря на то, что проблема имеет оценку серьезности CVSS 9,8 из 10, Иванти отмечает, что существует низкий риск эксплуатации для администраций предприятий, которые не предоставляют порт 8443 доступу в Интернет.

«Иванти рекомендует клиентам ограничить доступ к MICS внутренними сетями управления и не раскрывать его в Интернете», — заявили в компании.

Иванти заявила, что «знает об ограниченном числе клиентов, затронутых CVE-2023-38035», но пока неясно, используется ли эта проблема как «нулевой день».

Проблемы с безопасностью Ivanti обострились в последние месяцы с выпуском исправлений для критических уязвимостей в линейке продуктов Avalanche Enterprise MDM, открытой эксплуатацией уязвимостей в Ivanti EPMM и документированной деятельностью APT, нацеленной на уязвимости нулевого дня Ivanti.

Связанный:Ivanti исправляет критическую ошибку в продукте Avalanche Enterprise MDM

Связанный:Эксплуатация уязвимости Ivanti EPMM

Связанный:Ivanti Zero-Day используется APT как минимум с апреля

Связанный:Вторая ошибка нулевого дня Ivanti EPMM, используемая в целевых атаках

Райан Нарейн — главный редактор SecurityWeek и ведущий популярной серии подкастов Security Conversations. Он является экспертом по взаимодействию с сообществом безопасности, который разработал программы для крупнейших мировых брендов, включая Intel Corp., Bishop Fox и GReAT. Райан — директор-основатель некоммерческой организации Security Tinkerers, советник начинающих предпринимателей и постоянный докладчик на конференциях по безопасности по всему миру.

Подпишитесь на брифинг SecurityWeek по электронной почте, чтобы быть в курсе последних угроз, тенденций и технологий, а также получать полезные колонки от отраслевых экспертов.

Присоединяйтесь к экспертам по безопасности, которые обсуждают неиспользованный потенциал ZTNA как по снижению киберрисков, так и по расширению возможностей бизнеса.

Присоединяйтесь к вебинару Microsoft и Finite State, на котором будет представлена ​​новая стратегия обеспечения безопасности цепочки поставок программного обеспечения.

Когда правила раскрытия информации о киберинцидентах SEC вступят в силу, организации будут вынуждены серьезно задуматься о предоставлении места за столом переговоров руководителям служб безопасности. (Марк Соломон)

Удаленная работа никуда не денется, и предприятиям следует продолжать следить за тем, чтобы их основные формы связи были правильно настроены и защищены. (Мэтт Хонеа)

Сложность и сложность распределенных облачных сред часто требуют управления множеством стеков инфраструктуры, технологий и безопасности, множеством механизмов политики, множеством наборов средств контроля и множеством инвентаризаций активов. (Джошуа Гольдфарб)

Автоматизированная оценка мер безопасности повышает уровень безопасности, проверяя правильные, согласованные конфигурации мер безопасности, а не просто подтверждая их существование. (Торстен Джордж)

Контекст помогает завершить картину и дает полезную информацию, которую службы безопасности могут использовать для более быстрого принятия обоснованных решений (Мэтт Уилсон).