美國 IT 軟件公司 Ivanti 今天提醒客戶，一個關鍵的 Sentry API 身份驗證繞過漏洞正在被惡意利用。

Ivanti Sentry（前身為 MobileIron Sentry）在 MobileIron 部署中充當 Microsoft Exchange Server 等企業(yè) ActiveSync 服務器或 Sharepoint 服務器等后端資源的守門員，它還可以充當 Kerberos 密鑰分發(fā)中心代理（KKDCP）服務器。

網(wǎng)絡安全公司 mnemonic 的研究人員發(fā)現(xiàn)并報告了這個關鍵漏洞（CVE-2023-38035），未經(jīng)身份驗證的攻擊者可以通過 MobileIron 配置服務（MICS）使用的 8443 端口訪問敏感的管理門戶配置 API。

攻擊者利用限制性不足的 Apache HTTPD 配置繞過身份驗證控制后，就可以實現(xiàn)這一點。

成功利用后，他們就可以在運行 Ivanti Sentry 9.18 及以前版本的系統(tǒng)上更改配置、運行系統(tǒng)命令或寫入文件。

Ivanti 建議管理員不要將 MICS 暴露在互聯(lián)網(wǎng)上，并限制對內部管理網(wǎng)絡的訪問。

Ivanti 表示："截至目前，我們僅發(fā)現(xiàn)少數(shù)客戶受到 CVE-2023-38035 的影響。該漏洞不會影響其他 Ivanti 產(chǎn)品或解決方案，如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM"。

隨后，該公司補充說："在得知該漏洞后，我們立即調動資源修復該問題，并為所有支持版本提供了RPM腳本。我們建議客戶首先升級到支持的版本，然后應用專門為其版本設計的 RPM 腳本"。

四月份以來被攻擊利用的其他 Ivanti 漏洞

自 4 月份以來，國家支持的黑客已經(jīng)利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前稱為 MobileIron Core）中的另外兩個安全漏洞。

其中一個（被追蹤為 CVE-2023-35078）是一個重要的身份驗證繞過漏洞，該漏洞作為零日漏洞被濫用，入侵了挪威多個政府實體的網(wǎng)絡。

該漏洞還可與一個目錄遍歷漏洞（CVE-2023-35081）結合，使具有管理權限的威脅行為者能夠在被入侵系統(tǒng)上部署網(wǎng)絡外殼。

CISA在8月初發(fā)布的一份公告中說：高級持續(xù)威脅（APT）組織至少在2023年4月至2023年7月期間利用CVE-2023-35078作為零日漏洞，從多個挪威組織收集信息，并訪問和入侵了一個挪威政府機構的網(wǎng)絡。

在CISA與挪威國家網(wǎng)絡安全中心（NCSC-NO）發(fā)布聯(lián)合公告之前，本月早些時候曾發(fā)布命令，要求美國聯(lián)邦機構在8月15日和8月21日前修補這兩個被主動利用的漏洞。

一周前，Ivant 還修復了其企業(yè)移動管理（EMM）解決方案 Avalanche 軟件中的兩個關鍵的基于堆棧的緩沖區(qū)溢出，被追蹤為 CVE-2023-32560，利用后可能導致崩潰和任意代碼執(zhí)行。

參考鏈接：https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-actively-exploited-mobileiron-zero-day-bug/