Ivanti는 악용된 Sentry 게이트웨이 버그에 대한 패치를 발행합니다. • The Register

MobileIron Sentry의 심각한 인증 우회 버그가 실제로 악용되었다고 제조사 Ivanti가 월요일에 권고문을 통해 밝혔습니다.

CVE-2023-38035로 추적되는 이 취약점은 CVSS 심각도 측면에서 9.8/10의 결함이며 엄밀히 말하면 이전에 MobileIron Sentry로 알려진 Ivanti Sentry 내에 있습니다. 조직의 모바일 기기와 백엔드 시스템 간의 트래픽을 관리하고 암호화하는 게이트웨이입니다.

이 취약점을 악용하면 침입자가 이 민감한 네트워크 구성 요소를 제어할 수 있게 될 수 있습니다. 이를 위해 공격자는 공개되지 않을 수 있는 취약한 Sentry 배포의 관리 API 포트 8443에 접근할 수 있어야 합니다. Ivanti에 따르면 지금까지 이 결함을 통해 "제한된" 수의 고객이 표적이 되었습니다.

불충분하게 제한적인 Apache HTTPd 구성으로 인해 범죄자는 이 허점을 이용하여 관리 인터페이스의 인증을 우회할 수 있습니다. 여기에서 포트 8443을 통해 Sentry를 구성하는 데 사용되는 일부 민감한 관리 API에 액세스할 수 있습니다.

보안 경고는 "성공적인 악용은 구성을 변경하거나, 시스템 명령을 실행하거나, 시스템에 파일을 쓰는 데 사용될 수 있습니다"라고 설명했습니다. "현재 우리는 CVE-2023-38035의 영향을 받은 제한된 수의 고객만 알고 있습니다."

좋은 소식이 있습니다. Ivanti는 "이 문제는 CVSS 점수가 높지만 포트 8443을 인터넷에 노출하지 않는 고객이 악용될 위험은 낮습니다"라고 주장했습니다. Ivanti Sentry 버전 9.18 및 이전 버전이 영향을 받으며 이 버그는 다른 Ivanti 제품에는 영향을 미치지 않는다고 합니다.

"취약점을 발견하자마자 우리는 문제를 해결하기 위해 즉시 리소스를 동원했으며 이제 지원되는 버전에 대한 RPM 스크립트를 사용할 수 있게 되었습니다. 각 스크립트는 단일 버전에 맞게 사용자 정의되었습니다." 공급업체는 또한 잘못된 스크립트를 적용하면 문제가 해결되지 않거나 "시스템 불안정"이 발생할 수 있다고 지적했습니다.

회사는 얼마나 많은 고객이 손상되었는지를 포함하여 보안 결함에 대한 The Register의 구체적인 질문에 답변을 거부했습니다.

오늘의 권고는 소프트웨어 공급업체가 한 달도 안 되어 세 번째로 받은 경고입니다.

7월 말, 범죄자들은 ​​EPMM(Ivanti Endpoint Manager Mobile)의 또 다른 원격 인증 우회 결함인 CVE-2023-35078을 악용하여 적어도 개발자가 수정 사항을 발표하기 전에 노르웨이 정부 기관 12곳의 피해자를 손상시켰습니다.

미국 정부의 CISA와 노르웨이 국립 사이버 보안 센터에 따르면, 이 치명적인 취약점을 악용한 사람은 침입이 발견되기 전에 최소 4개월 동안 피해자의 시스템을 기웃거리며 데이터를 훔쳤습니다.

양국은 또한 정부와 기업 네트워크 모두에서 Ivanti의 소프트웨어가 "광범위하게 악용될 가능성"에 대해 경고했습니다.

불과 며칠 후 Ivanti는 CVE-2023-35081로 추적되는 두 번째 EPMM 취약점을 패치했습니다.

이 버그로 인해 침입자가 EPMM 웹 앱 서버에 임의 파일을 업로드하려면 관리자로 로그인해야 했습니다. 다른 결함(앞서 언급한 CVE-2023-35078)을 통해 관리자 로그인 자격 증명이나 상승된 권한을 얻을 수 있는 경우 누군가 이를 사용하여 취약한 서버에 웹셸을 업로드하고 백도어 상자를 원격으로 제어할 수 있습니다.

Ivanti나 침입을 조사하는 정부 기관 중 어느 누구도 아직까지 이러한 공격을 국가나 범죄 집단의 소행으로 간주하지 않았습니다. ®

우리에게 소식을 보내주세요