近日Ivanti披露另一個已被利用的關鍵零日漏洞,這是上個月發生的第三起此類漏洞。

該漏洞被標記為CVE-2023-38035,影響著Ivanti Sentry(以前稱為 MobileIron Sentry)9.18 及更低版本,并且CVSS評分為9.8 分(滿分 10 分)。Ivanti Sentry是Unified Endpoint Management Solutions平臺的一個組件,用于保護移動設備和企業系統之間的數據。該軟件供應商認可網絡安全公司Mnemonic報告在MobileIron Configuration Service管理門戶(也稱為端口8443)中發現的漏洞。

在安全公告中,Ivanti警告說,未經身份驗證的攻擊者可以利用漏洞訪問一些敏感的API,這些 API 用于在端口 8443 上配置 Ivanti Sentry。我們敦促客戶升級到固定版本并應用 RPM 腳本,并聲明每個腳本都是針對單個版本定制。

周一的另外兩篇文章中透露了更多信息,其中包括一篇強調積極消息的博客文章。

Ivanti在一篇博客文章中寫道:“雖然這個問題的CVSS分數很高,但對于沒有將8443暴露在互聯網上的客戶來說,漏洞利用的風險很低。”

在針對CVE-2023-38035知識庫(KB)文章中,Ivanti表示,使端口 8443 脫機也至關重要,因為“只能通過系統管理器門戶進行利用”。

該知識庫文章還提到攻擊范圍,并擴展談到API身份驗證繞過漏洞。Ivanti 透露,到目前為止,主動漏洞利用已經影響“有限數量的客戶”。根據分析,Ivanti 表示不認為該漏洞是供應鏈攻擊的一部分,并表示供應商本身并未因 CVE-2023-38035 而受到損害。

但是,解決漏洞的補救措施并不那么簡單。Ivanti 警告客戶,使用錯誤的 RPM 腳本可能會阻止修復該漏洞,或者可能導致系統不穩定。Ivanti強調的一個已知問題是,在 Sentry 9.16 版本中輸入重新加載命令后,客戶會收到一條錯誤消息,內容為“無法保存配置”。

Ivanti 在知識庫文章中寫道:“我們建議再次鍵入‘reload’命令以成功重新啟動服務。如果問題反復發生,請聯系支持人員。”

目前尚不清楚有多少客戶受到該問題的影響或其對整個修復過程的影響。Ivanti建議確保防火墻阻止外部訪問端口 8443 上的 Sentry,作為快速修復,并將端口訪問限制為僅 IT 管理員。

該知識庫文章還提到了最近在Ivanti Endpoint Manager Mobile(EPMM)中發現的另外兩個零日漏洞,分別標記為 CVE-2023-35078 和 CVE-2023-35081。最關鍵的是 CVE-2023-35078,這是一個身份驗證繞過漏洞,于7月下旬披露,CVSS 得分為 10 分(滿分 10 分)。Ivanti透露,上個月底攻擊者利用這些漏洞攻擊挪威政府部門的安全和服務和組織。

盡管在一個月內這三個漏洞被報告為被積極利用,但 Ivanti 強調 CVE-2023-38035 影響了 Ivanti Sentry,而不是EPMM。

該博客文章寫道:“Ivanti 被告知,在利用 CVE-2023-35078 和 CVE-2023-35081 后,CVE-2023-38035被利用。”

周二,CVE-2023-38035 加入了 CISA 已知漏洞目錄中的 CVE-2023-35078 和 CVE-2023-35081,這表明企業應優先考慮修復。

零日漏洞 網絡安全 漏洞 sentry
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接