ClickySkip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

Ivanti Sentry API Authentication Bypass

Door 25 augustus 2023 CERT, SOC, Kwetsbaarheid

Deze liveblog bevat informatie over een kwetsbaarheid in Ivanti Sentry. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 25 augustus 2023.

Update 25 augustus 2023

12:30 | Cyber security bedrijf Horizon3 heeft een gedetailleerde blog gepubliceerd over CVE-2023-38035 met een Proof-of-Concept (POC) exploit. Deze POC-exploit is verkregen door reverse-engineering van een patch die publiekelijk beschikbaar is gemaakt om de kwetsbaarheid te verhelpen. Voor een meer technische en diepgaande analyse, zie hier het bericht geschreven door Horizon3:

Er zijn geen directe indicators of compromise benoemd in de blog. Echter, alle onbekende HTTP-verzoeken aan /services/* zouden reden tot zorg moeten zijn, zoals aangegeven door Horizon3. Er kan in de logs in de web-interface gekeken worden voor verdachte activiteiten.

Als alternatief kunnen de access logs in /var/log/tomcat2/ op een geëxploiteerd systeem met behulp van forensische analyse worden bekeken om te controleren welke hosts zijn benaderd.

Omdat er momenteel een POC-exploit beschikbaar is, adviseren wij om zo snel mogelijk te patchen volgens de eerder gecommuniceerde instructies.

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Update 22 augustus 2023

19:30 | Op 21 augustus heeft Ivanti een security blog gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven. De kwetsbaarheid is geregistreerd als CVE-2023-38035 en stelt een unauthenticated aanvaller met toegang tot de Sentry System Manager Portal (ook bekend als MICS, MobileIron Configuration Service) om configuratiewijzigingen aan te brengen in Sentry en het onderliggende besturingssysteem.

Uitbuiting van CVE-2023-38035 is reeds in het wild waargenomen tegen een klein aantal klanten. Deze kwetsbaarheid heeft geen invloed op andere producten of oplossingen van Ivanti, zoals Ivanti EPMM (Endpoint Manager Mobile), MobileIron Cloud of Ivanti Neurons for MDM. Ivanti heeft software-updates uitgebracht. Het wordt aanbevolen om deze beveiligingspatches zo snel mogelijk toe te passen.

Aanleiding en achtergrond van deze blog

Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.

Kwetsbaarheid informatie

Op 21 augustus heeft Ivanti een security blog gepubliceerd waarin een kritieke kwetsbaarheid wordt beschreven. De kwetsbaarheid is geregistreerd als CVE-2023-38035 en stelt een unauthenticated aanvaller met toegang tot de Sentry System Manager Portal (ook bekend als MICS, MobileIron Configuration Service) om configuratiewijzigingen aan te brengen in Sentry en het onderliggende besturingssysteem.

Uitbuiting van CVE-2023-38035 is reeds in het wild waargenomen tegen een klein aantal klanten. Deze kwetsbaarheid heeft geen invloed op andere producten of oplossingen van Ivanti, zoals Ivanti EPMM (Endpoint Manager Mobile), MobileIron Cloud of Ivanti Neurons for MDM. Ivanti heeft software-updates uitgebracht. Het wordt aanbevolen om deze beveiligingspatches zo snel mogelijk toe te passen.

Mogelijke risico’s

De kwetsbaarheid CVE-2023-38035 heeft een CVSS-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 is zeldzaam en impliceert een lage complexiteit en een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid CVE-2023-38035 stelt een unauthenticated aanvaller met toegang tot de Sentry System Manager Portal (MICS) om configuratiewijzigingen aan te brengen in Sentry en het onderliggende besturingssysteem.

Succesvolle uitbuiting kan de aanvaller in staat stellen om als root OS-commando’s op het systeem uit te voeren.

De Sentry System Manager Portal wordt standaard gehost op poort 8443. Ivanti raadt aan om de portal niet publiek te ontsluiten op het internet.

Uitbuiting van CVE-2023- 38035 is reeds in het wild waargenomen tegen een klein aantal klanten. Ivanti raadt aan om te upgraden naar een ondersteunde versie en vervolgens de door Ivanti geleverde RPM-scripts toe te passen.

Detail informatie

Ivanti Sentry was voorheen bekend als MobileIron Sentry. De volgende versies van Ivanti Sentry zijn kwetsbaar:

  • Versie – 9.18, 9.17, and 9.16
  • Oudere versies/releases

We adviseren om zo spoedig mogelijk te upgraden naar één van de volgende ondersteunde versies en de RPM-scripts toe te passen:

  • Sentry 9.18
  • Sentry 9.17
  • Sentry 9.16

De RPM-scripts zijn aangeleverd door Ivanti en kunnen hier worden gevonden:

Als er verdachte of kwaadaardige activiteiten worden waargenomen in verband met dit artikel, neem dan contact op met T-CERT. Het Tesorion Computer Emergency Response Team biedt 24/7 specialistische ondersteuning. In noodgevallen voeren we onmiddellijk een eerste telefonische beoordeling uit en doen we er alles aan om de situatie zo snel mogelijk onder controle te krijgen.

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu