ארגונים המשתמשים כמעט בכל גרסה של מוצר שער האבטחה של Ivanti Sentry עשויים לרצות להחיל באופן מיידי את תיקון האבטחה שהחברה פרסמה היום כדי לטפל במה שנראה כחולשה של יום אפס בטכנולוגיה.
הפגיעות, מעקב אחר כ- CVE-2023-38035, קיים בממשק שמנהלי מערכת משתמשים בו כדי להגדיר מדיניות אבטחה ונותן לתוקפים דרך לעקוף את בקרות האימות. הפגם משפיע על כל גרסאות Sentry הנתמכות (918, 9.17 ו-9.16). גרסאות וגרסאות ישנות יותר שאינן נתמכות של Sentry נמצאות גם הן בסיכון לניצול באמצעות הפגיעות.
גישה לא מאומתת
"אם מנוצלת, הפגיעות הזו מאפשרת לשחקן לא מאומת לגשת לכמה ממשקי API רגישים המשמשים להגדיר את Ivanti Sentry בפורטל המנהל (יציאה 8443, בדרך כלל MICS)", אמר הספק בהצהרה.
תוקף שמנצל בהצלחה את הבאג יכול לשנות את תצורת השער, לבצע פקודות מערכת ולכתוב קבצים שרירותיים במערכת. כדי להפחית סיכונים, ארגונים צריכים להגביל את הגישה לפורטל המנהלים לרשתות ניהול פנימיות בלבד ולא לאינטרנט, אמר איבנטי.
לבאג יש דירוג חומרה של 9.8 מתוך 10 אפשרי, מה שהופך אותו לבעיה קריטית. עם זאת, לפי איבנטי, הפגם מהווה סיכון קטן עבור ארגונים שאינם חושפים את פורט 8443 - לתעבורת אינטרנט מוצפנת HTTPS או SSL - לאינטרנט.
לפחות דיווח אחד בתקשורת תיאר את התוקפים כבר מנצלים את CVE-2023-38035 בזמן שאיוונטי חשף את הפגם, שבהגדרה יהפוך אותו לבאג של יום אפס.
איבנטי עצמו לא הגיב ישירות לבקשת Dark Reading לאישור האפיון הזה. הוא גם לא הגיב לשאלה שחיפשה מידע על כמה לקוחות התוקף עלול להתפשר עד כה. במקום זאת, החברה הצביעה על א בלוג ו ייעוץ שפרסמה היום על הפגיעות. אף אחד מהם לא הזכיר כל פעילות ניצול אקטיבי המכוון לפגם.
בהצהרה קצרה בת שני משפטים, איבנטי אמרה כי היא מודעת לכך שרק "מספר מצומצם מאוד של לקוחות" מושפע מהפגיעות.
יעד אטרקטיבי
Ivanti Sentry, לשעבר MobileIron Sentry, היא חלק מהפורטפוליו הרחב יותר של Ivanti של מוצרי Unified Endpoint Management. זוהי טכנולוגיית שער המאפשרת לארגונים לנהל, להצפין ולהגן על תעבורה בין מכשירים ניידים ומערכות עורפיות. Ivanti עצמו מתאר את Sentry כמשמש כמעין שומר סף לשרת Microsoft Exchange של ארגון או שרת ActiveSync אחר או עם מערכות עורפיות כמו שרת Sharepoint. Sentry יכול לשמש גם כשרת Proxy של Kerberos Key Distribution Center (KKDCP).
חברות רבות פרסו טכנולוגיות כאלה בשנים האחרונות כדי להבטיח שעובדים מרוחקים יוכלו לגשת בצורה מאובטחת ליישומים ומכשירים ארגוניים תוך שימוש במכשירים ניידים בבעלות אישית ובהנפקה ארגונית. השימוש הגובר בהם משך תשומת לב גוברת מצד חוקרי אבטחה ותוקפים. רק בחודש שעבר, למשל, פרצו תוקפים למערכות השייכות ל 12 סוכנויות ממשלתיות נורבגיות לאחר איתור וניצול פגיעות של גישה מרחוק ל-API במנהל נקודות הקצה של Ivanti. הבאג עוקב כ CVE-2023-35078 אפשרו לתוקפים לגשת ולגנוב נתונים, לשנות מידע על תצורת המכשיר ולהוסיף חשבון מנהל. מוקדם יותר החודש, איבנטי חשף באג נוסף (CVE-2023-32560), הפעם בטכנולוגיית ניהול הנייד שלה Avalanche לאחר ש-Zero-Day Initiative של Trend Micro דיווחה על הבאג לחברה.
איבנטי זיכה חוקרים מחברת האבטחה mnemonic[[<
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/attacks-breaches/ivanti-issues-fix-for-critical-vuln-in-its-sentry-gateway-technology
- :יש ל
- :הוא
- :לֹא
- 10
- 16
- 17
- 7
- 8
- 9
- a
- גישה
- פי
- חֶשְׁבּוֹן
- פעיל
- פעילות
- להוסיף
- כתובת
- מנהל
- מנהלים
- לאחר
- תעשיות
- מותר
- מאפשר
- כְּבָר
- גם
- an
- ו
- אחר
- כל
- API
- גישה לממשק API
- ממשקי API
- מופיע
- יישומים
- יישומית
- החל
- ARE
- AS
- At
- תשומת לב
- נמשך
- אימות
- זמין
- מפולת שלגים
- מודע
- קצה אחורי
- BE
- להיות
- בֵּין
- רחב
- חסר פרוטה
- חרק
- by
- CAN
- לגרום
- מרכז
- שינוי
- נתבע
- בדרך כלל
- חברות
- חברה
- התפשר
- תְצוּרָה
- אישור
- בקרות
- קריטי
- לקוחות
- אישית
- כהה
- קריאה אפלה
- נתונים
- הגדרה
- פרס
- מְתוּאָר
- מכשיר
- התקנים
- DID
- ישירות
- הפצה
- do
- כל אחד
- מוקדם יותר
- מאפשר
- מוצפן
- נקודת קצה
- לְהַבטִיחַ
- מִפְעָל
- סביבה
- חליפין
- לבצע
- לנצל
- ומנוצל
- מנצל
- מעללים
- רחוק
- קבצים
- מציאת
- לסדר
- פגם
- בעד
- לשעבר
- החל מ-
- שׁוֹעֵר
- שער כניסה
- נותן
- ממשלה
- גדל
- יש
- איך
- אולם
- HTTPS
- if
- מיד
- מושפעים
- in
- גדל
- מידע
- יוזמה
- אי יציבות
- להתקין
- למשל
- במקום
- מִמְשָׁק
- פנימי
- אינטרנט
- אל תוך
- סוגיה
- בעיות
- IT
- שֶׁלָה
- עצמו
- jpg
- רק
- מפתח
- אחרון
- הכי פחות
- מוגבל
- קְצָת
- עשוי
- לעשות
- עשייה
- לנהל
- ניהול
- מנהל
- רב
- מאי..
- מדיה
- מיקרוסופט
- יכול
- להקל
- סלולרי
- מכשירים ניידים
- חוֹדֶשׁ
- צורך
- לא זה ולא זה
- רשתות
- החדש ביותר
- נורבגי
- ציין
- מספר
- of
- on
- ONE
- רק
- or
- ארגון
- ארגונים
- אחר
- הַחוּצָה
- בבעלות
- חבילה
- חלק
- תיקון
- תשלום
- אישית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- כניסה
- תיק עבודות
- תנוחות
- אפשרי
- להציג
- למנוע
- בעיה
- המוצר
- מוצרים
- להגן
- פרוקסי
- לאור
- שאלה
- דירוג
- קריאה
- לאחרונה
- מתייחס
- שוחרר
- עיתונות
- מרחוק
- עובדים מרוחקים
- לדווח
- דווח
- דווח
- לבקש
- חוקרים
- להגיב
- לְהַגבִּיל
- הסיכון
- s
- אמר
- סקריפטים
- מאובטח
- אבטחה
- תיקון אבטחה
- מדיניות אבטחה
- מחפשים
- רגיש
- הגשה
- צריך
- So
- עד כה
- כמה
- בקרוב
- SSL
- הצהרה
- בהצלחה
- כזה
- נתמך
- מערכת
- מערכות
- מיקוד
- טכנולוגיות
- טכנולוגיה
- זֶה
- השמיים
- שֶׁלָהֶם
- הֵם
- זֶה
- זמן
- ל
- היום
- תְנוּעָה
- מְגַמָה
- מאוחד
- להשתמש
- מְשׁוּמָשׁ
- באמצעות
- מוכר
- גרסה
- גירסאות
- מאוד
- באמצעות
- פגיעות
- רוצה
- היה
- דֶרֶך..
- אינטרנט
- תנועת רשת
- מה
- אשר
- עם
- עובדים
- היה
- לכתוב
- טעות
- שנים
- זפירנט
- באג של יום אפס