Ivanti publica parches para el error explotado en la puerta de enlace Sentry • The Register

Un error crítico de omisión de autenticación en MobileIron Sentry ha sido explotado en estado salvaje, dijo su fabricante Ivanti en un aviso el lunes.

Esta vulnerabilidad, registrada como CVE-2023-38035, es una falla de 9,8 de 10 en términos de gravedad CVSS y, estrictamente hablando, se encuentra dentro de Ivanti Sentry, anteriormente conocido como MobileIron Sentry. Se trata de una puerta de enlace que gestiona y cifra el tráfico entre los dispositivos móviles de una organización y los sistemas back-end.

La explotación de esta vulnerabilidad puede resultar en que un intruso obtenga el control de este componente sensible de la red. Para hacerlo, los atacantes deben poder alcanzar el puerto API administrativo 8443 de una implementación Sentry vulnerable, que puede no ser pública. Según Ivanti, hasta ahora un número "limitado" de clientes se ha visto afectado por este fallo.

Los malhechores pueden aprovechar este agujero para eludir la autenticación en la interfaz administrativa debido a una configuración de Apache HTTPd insuficientemente restrictiva. Desde allí, pueden acceder a algunas API de administración confidenciales utilizadas para configurar Sentry a través del puerto 8443.

"La explotación exitosa se puede utilizar para cambiar la configuración, ejecutar comandos del sistema o escribir archivos en el sistema", explica la alerta de seguridad. "Por ahora, solo conocemos un número limitado de clientes afectados por CVE-2023-38035".

Hay algunas buenas noticias. "Si bien el problema tiene una puntuación CVSS alta, existe un bajo riesgo de explotación para los clientes que no exponen el puerto 8443 a Internet", afirmó Ivanti. Las versiones 9.18 y anteriores de Ivanti Sentry se ven afectadas y el error no afecta a ningún otro producto de Ivanti, según nos informan.

"Al enterarnos de la vulnerabilidad, inmediatamente movilizamos recursos para solucionar el problema y ahora tenemos scripts RPM disponibles para las versiones compatibles. Cada script está personalizado para una única versión". El proveedor también señaló que la aplicación de un script incorrecto puede impedir que se solucione el problema o causar "inestabilidad del sistema".

La compañía se negó a responder las preguntas específicas de The Register sobre la falla de seguridad, incluido cuántos clientes se vieron comprometidos.

El aviso de hoy es la tercera alerta de este tipo del proveedor de software en menos de un mes.

A finales de julio, los malhechores explotaron CVE-2023-35078, otra falla de omisión de autenticación remota en Ivanti Endpoint Manager Mobile (EPMM), para comprometer a las víctimas 12 agencias gubernamentales noruegas al menos antes de que el desarrollador publicara una solución.

Según el CISA del gobierno de EE. UU. y el Centro Nacional de Seguridad Cibernética de Noruega, quien haya explotado esa vulnerabilidad crítica pasó al menos cuatro meses husmeando en los sistemas de sus víctimas y robando datos antes de que se detectara una intrusión.

Las dos naciones también advirtieron sobre el "potencial de explotación generalizada" del software de Ivanti tanto en redes gubernamentales como empresariales.

Apenas unos días después, Ivanti parchó una segunda vulnerabilidad EPMM, rastreada como CVE-2023-35081.

Este error requirió que un intruso iniciara sesión como administrador para cargar archivos arbitrarios a un servidor de aplicaciones web EPMM. Alguien podría usar esto para cargar un webshell en un servidor vulnerable y controlar de forma remota el cuadro de puerta trasera, si puede obtener credenciales de inicio de sesión de administrador o privilegios escalados a través de otra falla (¿el CVE-2023-35078 antes mencionado, por ejemplo?)

Hasta el momento, ni Ivanti ni ninguna de las agencias gubernamentales que investigan las intrusiones han atribuido ninguna de estas hazañas a un Estado-nación o a una banda criminal. ®

Envíanos noticias