سازمانهایی که تقریباً از هر نسخهای از محصول دروازه امنیتی Ivanti Sentry استفاده میکنند، ممکن است بخواهند فوراً وصله امنیتی را که این شرکت امروز منتشر کرد، برای رفع آسیبپذیری روز صفر در این فناوری اعمال کنند.
این آسیب پذیری ، به عنوان پیگیری شده است CVE-2023-38035 ، در رابطی که مدیران برای پیکربندی سیاست های امنیتی استفاده می کنند وجود دارد و به مهاجمان راهی برای دور زدن کنترل های احراز هویت می دهد. این نقص بر تمام نسخه های Sentry (918، 9.17 و 9.16) پشتیبانی می شود. نسخهها و نسخههای قدیمیتر و بدون پشتیبانی Sentry نیز از طریق این آسیبپذیری در معرض خطر سوءاستفاده قرار دارند.
دسترسی غیر مجاز
فروشنده در بیانیه ای گفت: «اگر این آسیب پذیری مورد سوء استفاده قرار گیرد، یک عامل تایید نشده را قادر می سازد تا به برخی از API های حساسی که برای پیکربندی Ivanti Sentry در پورتال مدیر (پورت 8443، معمولا MICS) استفاده می شوند، دسترسی پیدا کند.
مهاجمی که با موفقیت از اشکال سوء استفاده می کند، می تواند پیکربندی دروازه را تغییر دهد، دستورات سیستم را اجرا کند و فایل های دلخواه را روی سیستم بنویسد. ایوانتی گفت که برای کاهش خطر، سازمان ها باید دسترسی به پورتال مدیر را فقط به شبکه های مدیریت داخلی محدود کنند و نه به اینترنت.
این اشکال دارای امتیاز 9.8 از 10 ممکن است، که آن را به یک مشکل مهم تبدیل می کند. با این حال، به گفته ایوانتی، این نقص برای سازمان هایی که پورت 8443 - برای ترافیک وب رمزگذاری شده HTTPS یا SSL - را در معرض اینترنت قرار نمی دهند، خطر کمی دارد.
حداقل یک گزارش رسانهای، مهاجمان را در زمانی که ایوانتی این نقص را فاش کرد، قبلاً از CVE-2023-38035 سوء استفاده میکردند، که طبق تعریف آن را به یک باگ روز صفر تبدیل میکرد، توصیف کرد.
خود ایوانتی مستقیماً به درخواست دارک ریدینگ برای تایید آن شخصیت پردازی پاسخ نداد. همچنین به سؤالی که به دنبال اطلاعاتی در مورد تعداد مشتریانی است که مهاجم ممکن است تاکنون به خطر انداخته باشد، پاسخ نداد. در عوض، شرکت به یک اشاره کرد وبلاگ و مشاوره که امروز در مورد آسیب پذیری منتشر کرد. هیچ یک از فعالیت های بهره برداری فعال که این نقص را هدف قرار می دهد، اشاره ای نکردند.
ایوانتی در بیانیهای کوتاه و دو جملهای گفت که از «تعداد بسیار محدودی از مشتریان» که تحت تأثیر این آسیبپذیری قرار گرفتهاند آگاه است.
هدف جذاب
Ivanti Sentry، سابقا MobileIron Sentry، بخشی از مجموعه گستردهتر محصولات Ivanti Endpoint Management است. این یک فناوری دروازه است که به سازمان ها اجازه می دهد ترافیک بین دستگاه های تلفن همراه و سیستم های پشتیبان را مدیریت، رمزگذاری و محافظت کنند. خود ایوانتی Sentry را بهعنوان نوعی دروازهبان برای سرور Microsoft Exchange یا سایر سرورهای ActiveSync یا با سیستمهای Backend مانند سرور Sharepoint خدمت میکند. Sentry همچنین می تواند به عنوان سرور Kerberos Key Distribution Center Proxy (KKDCP) استفاده شود.
بسیاری از شرکتها چنین فناوریهایی را در سالهای اخیر به کار گرفتهاند تا اطمینان حاصل کنند که کارگران راه دور میتوانند به طور ایمن به برنامهها و دستگاههای سازمانی با استفاده از دستگاههای تلفن همراه متعلق به شخصی و صادر شده توسط شرکت دسترسی پیدا کنند. استفاده روزافزون از آنها توجه روزافزون محققان امنیتی و مهاجمان را به خود جلب کرده است. به عنوان مثال، همین ماه گذشته، مهاجمان به سیستم های متعلق به آن نفوذ کردند 12 سازمان دولتی نروژ پس از یافتن و بهره برداری از یک آسیب پذیری دسترسی از راه دور API در Ivanti Endpoint Manager. اشکال به عنوان ردیابی شد CVE-2023-35078 به مهاجمان اجازه دسترسی و سرقت دادهها، تغییر اطلاعات پیکربندی دستگاه و اضافه کردن یک حساب کاربری را میدهد. در اوایل این ماه، ایوانتی باگ دیگری را فاش کرد (CVE-2023-32560)، این بار در فناوری مدیریت موبایل Avalanche خود پس از اینکه Trend Micro's Zero-Day Initiative این اشکال را به شرکت گزارش داد.
ایوانتی به محققان در فروشنده امنیتی یادداشت[[<
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- ChartPrime. بازی معاملاتی خود را با ChartPrime ارتقا دهید. دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/attacks-breaches/ivanti-issues-fix-for-critical-vuln-in-its-sentry-gateway-technology
- : دارد
- :است
- :نه
- 10
- 16
- 17
- 7
- 8
- 9
- a
- دسترسی
- مطابق
- حساب
- فعال
- فعالیت
- اضافه کردن
- نشانی
- مدیر سایت
- مدیران
- پس از
- معرفی
- مجاز
- اجازه می دهد تا
- قبلا
- همچنین
- an
- و
- دیگر
- هر
- API
- دسترسی به API
- رابط های برنامه کاربردی
- ظاهر می شود
- برنامه های کاربردی
- اعمال می شود
- درخواست
- هستند
- AS
- At
- توجه
- مجذوب
- تصدیق
- در دسترس
- بهمن
- مطلع
- بخش مدیریت
- BE
- بودن
- میان
- گسترده تر
- شکست
- اشکال
- by
- CAN
- علت
- مرکز
- تغییر دادن
- ادعا کرد که
- عموما
- شرکت
- شرکت
- در معرض خطر
- پیکر بندی
- تایید
- گروه شاهد
- بحرانی
- مشتریان
- سفارشی
- تاریک
- تاریک خواندن
- داده ها
- تعریف
- مستقر
- شرح داده شده
- دستگاه
- دستگاه ها
- DID
- مستقیما
- توزیع
- do
- هر
- پیش از آن
- را قادر می سازد
- رمزگذاری
- نقطه پایانی
- اطمینان حاصل شود
- سرمایه گذاری
- محیط
- تبادل
- اجرا کردن
- بهره برداری
- سوء استفاده قرار گیرد
- بهره برداری از
- سوء استفاده
- بسیار
- فایل ها
- پیدا کردن
- رفع
- نقص
- برای
- سابق
- از جانب
- دروازه بان
- دروازه
- می دهد
- دولت
- در حال رشد
- آیا
- چگونه
- اما
- HTTPS
- if
- بلافاصله
- نهفته
- in
- افزایش
- اطلاعات
- ابتکار عمل
- بی ثباتی
- نصب
- نمونه
- در عوض
- رابط
- داخلی
- اینترنت
- به
- موضوع
- مسائل
- IT
- ITS
- خود
- JPG
- تنها
- کلید
- نام
- کمترین
- محدود شده
- کوچک
- ساخته
- ساخت
- ساخت
- مدیریت
- مدیریت
- مدیر
- بسیاری
- ممکن است..
- رسانه ها
- مایکروسافت
- قدرت
- کاهش
- موبایل
- دستگاه های تلفن همراه
- ماه
- نیاز
- نه
- شبکه
- تازه ترین
- نروژی
- اشاره کرد
- عدد
- of
- on
- ONE
- فقط
- or
- کدام سازمان ها
- سازمان های
- دیگر
- خارج
- متعلق به
- بسته
- بخش
- وصله
- پرداخت
- شخصا
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- پورتال
- مقام
- به شمار
- ممکن
- در حال حاضر
- جلوگیری از
- مشکل
- محصول
- محصولات
- محافظت از
- پروکسی
- منتشر شده
- سوال
- رتبه
- مطالعه
- اخیر
- اشاره دارد
- منتشر شد
- منتشر شده
- دور
- کارگران از راه دور
- گزارش
- گزارش
- گزارش
- درخواست
- محققان
- پاسخ
- محدود کردن
- خطر
- s
- سعید
- اسکریپت
- ایمن
- تیم امنیت لاتاری
- وصله امنیتی
- سیاست های امنیتی
- به دنبال
- حساس
- خدمت
- باید
- So
- تا حالا
- برخی از
- بزودی
- SSL
- بیانیه
- موفقیت
- چنین
- پشتیبانی
- سیستم
- سیستم های
- هدف گذاری
- فن آوری
- پیشرفته
- که
- La
- شان
- آنها
- این
- زمان
- به
- امروز
- ترافیک
- روند
- یکپارچه
- استفاده کنید
- استفاده
- با استفاده از
- فروشنده
- نسخه
- نسخه
- بسیار
- از طريق
- آسیب پذیری
- می خواهم
- بود
- مسیر..
- وب
- ترافیک وب
- چی
- که
- با
- کارگران
- خواهد بود
- نوشتن
- اشتباه
- سال
- زفیرنت
- اشکال روز صفر