Ivanti zero-day vulnerabilities
Ivanti ha publicado un parche para una vulnerabilidad de omisión de autenticación explotada activamente en
Ivanti Sentry (anteriormente conocido como MobileIron Sentry), un componente de software que gestiona y
protege el tráfico entre dispositivos móviles y sistemas empresariales back-end.
Este ultimo Zero-day (CVE-2023-38035) se produce después de que la compañía publicara en julio
correcciones para otras dos fallas explotadas activamente en Ivanti Endpoint Manager Mobile (o EPMM,
anteriormente conocido como MobileIron Core), incluido CVE-2023-35078 una grave vulnerabilidad de
omisión de autenticación que se aprovechó para atacar una plataforma de software utilizada por 12 agencias
gubernamentales Noruegas, y CVE-2023-35081, un transversal bug que tiene una puntuación de gravedad
más baja pero que puede encadenarse con CVE-2023-35078 en los ataques.
Ivanti dijo el martes que “se le informó que CVE-2023-38035 fue explotado después de explotar
CVE-2023-35078 y CVE-2023-35081”.
"Ivanti ha sido informada de la explotación de un número muy limitado de clientes", según informa la
empresa en un aviso de seguridad. "No podemos discutir las particularidades de nuestros clientes”.
Más detalles de la explotación no están disponibles. También el martes, la Agencia de Seguridad de
Infraestructura y Ciberseguridad (CISA) agregó CVE-2023-38035 a su Catálogo de vulnerabilidades
explotadas conocidas.
Problema conocido:
El cliente puede observar el mensaje de error "Unable to save the configuration" después de ingresar el
comando reload (paso 4) en la versión Sentry 9.16. Esto puede ocurrir cuando los servicios de Tomcat tardan
más de lo esperado en iniciarse.
Recomendamos escribir el comando "reload" nuevamente para reiniciar los servicios exitosamente.
Comuníquese con el soporte si el problema ocurre repetidamente.
Versiones Afectadas
Ivanti Sentry version 9.18 y anteriores (incluidas las versiones compatibles y anteriores)
Recomendaciones
Ivanti ha creado secuencias de comandos RPM para cada versión compatible de Ivanti Sentry e insta a los
clientes a aplicar estas secuencias de comandos.
NOTA: Lea atentamente las instrucciones. El uso de un RPM incorrecto para su versión puede impedir que
se solucione la vulnerabilidad o provocar inestabilidad en el sistema.
1. Utilice ssh para iniciar sesión en una CLI del sistema en una ventana de terminal como lo
estableció el usuario administrador durante la instalación del sistema.
Ingrese la contraseña correspondiente.
2. Escriba enable y la contraseña del sistema correspondiente establecida inicialmente durante la
instalación del sistema para ingresar al modo EXEC PRIVILEGED. La línea de comando cambiará de > a #.
3. Instale el RPM correcto para su versión para descargar e instalar:
• 9.18: Escriba la URL de rpm de instalación https://support.mobileiron.com/ivanti-updates/sentry-securityupdate-
9.18.0-3.noarch.rpm
• 9.17: Escriba la URL de rpm de instalación https://support.mobileiron.com/ivanti-updates/sentry-securityupdate-
9.17.0-3.noarch.rpm
• 9.16: Escriba la URL de rpm de instalación https://support.mobileiron.com/ivanti-updates/sentry-security
4. Escriba reload para reiniciar el sistema y que la actualización haga efecto.
5. Para validar que la instala ción de rpm sea exitosa, vuelva a cargar el sistema,
Escriba: install rpm info detail mi-mics.
Verifique que la versión esté actualizada a 9.16.0a para 9.16.0 sentry. De manera similar, para las versiones
Sentry 9.17.0 y 9.18.0, el paquete se actualiza a 9.17.0a y 9.18.0a respectivamente.
Ivanti recomienda encarecidamente actualizar a una versión compatible del producto y aplicar el script RPM.
Si esto no es posible, consulte las mitigaciones a continuación.
La explotación solo es posible a través del Portal del administrador del sistema, alojado en el puerto 8443 de
forma predeterminada. Ivanti no recomienda que esto esté disponible en Internet.
Para reducir rápidamente el riesgo, recomendamos asegurarse de que el firewall bloquee el acceso externo
a Sentry en el puerto 8443. Cuando sea posible, recomendamos encarecidamente que el puerto 8443 se
restrinja a una red de administración a la que solo tengan acceso los administradores de TI.
Referencias
https://forums.ivanti.com/s/article/KB-API-Authentication-Bypass-on-Sentry-Administrator-Interface-CVE-2023-38035?language=en_US
.jpg)
