Ivanti Sentry の深刻な脆弱性 CVE-2023-38035 が FIX:Apache HTTPD 認証がカギ

Ivanti warns of new actively exploited MobileIron zero-day bug

2023/08/21 BleepingComputer — 8月21日に、米国の IT ソフトウェア会社 Ivanti は、Sentry API 認証バイパスの脆弱性が悪用されているとして、顧客へ向けて警告を発した。 Ivanti Sentry (旧 MobileIron Sentry) は、Microsoft Exchange Server のようなエンタープライズ ActiveSync サーバや、Sharepoint サーバのようなバックエンド・リソースのゲートキーパーとして機能するものであり、Kerberos Key Distribution Center Proxy (KKDCP) サーバとしても機能する。


この深刻な脆弱性 CVE-2023-38035 は、サイバー・セキュリティ企業 mnemonic の研究者により発見/報告された。

その悪用に成功した未認証の攻撃者は、MobileIron Configuration Service (MICS) が使用するポート 8443 を介して公開される、機密性の高い管理ポータル設定 API にアクセスできる。

ただし、それが可能になるのは、設定が不十分な Apache HTTPD の認証制御を回避した後となる。この悪用に成功した攻撃者は、Ivanti Sentry バージョン 9.18 以前を実行しているシステム上で、設定の変更/システムコマンドの実行/ファイルの書き込みなどを可能にするという。

Ivanti が管理者に推奨しているのは、MICS をインターネットに公開せず、内部管理ネットワークへのアクセスを制限することだ。

同社は、「現時点では、CVE-2023-38035の影響を受けている顧客は限られている。この脆弱性は、Ivanti EPMM/MobileIron Cloud/Ivanti Neurons for MDM などの、他の Ivanti 製品やソリューションには影響しない。当社は、この脆弱性が発見されてから、直ちに問題を修正するためにリソースを動員し、現在はサポートされている全てのバージョンで RPM スクリプトが利用可能になっている。顧客には、まずサポートされているバージョンにアップグレードし、そのバージョン専用に設計された RPM スクリプトを適用することを推奨する」と述べている。

Ivanti は、8月21日に公開した記事で、サポートされているバージョンを実行しているシステムに対して、Sentry セキュリティ・アップデートを適用するための詳細な情報を提供している。

Ivanti CVE -2023-38035 tweet
2023年4月以降の攻撃で悪用された他の Ivanti の脆弱性

2023年4月以降から、MobileIron Core として知られていた Ivanti の Endpoint Manager Mobile (EPMM) 内の2つのセキュリティ脆弱性が、国家支援のハッカーたちにより悪用されている。

そのうちの1つは、認証バイパスの脆弱性 CVE-2023-35078 であり、ノルウェーの政府機関などのネットワークに侵入するためにゼロデイとして悪用された。

また、この脆弱性は、ディレクトリ・トラバーサルの脆弱性 CVE-2023-35081 と連鎖する可能性があり、管理者権限を持つ脅威アクターに、侵害されたシステム上にウェブシェルの展開をゆるす可能性がある。

CISA は、2023年8月初旬に発表したアドバイザリで、「APT (Advanced Persistent Threat) アクターは、遅くとも 2023年4月から 2023年7月にかけて、CVE-2023-35078 をゼロデイで悪用し、ノルウェーの複数の組織から情報を収集するとともに、ノルウェー政府機関のネットワークにアクセスして侵害した」と述べている。

CISA とノルウェーの Cyber Security Centre (NCSC-NO) による共同アドバイザリは、8月の初めに出された司令に続くものであり、活発に悪用されている2つの脆弱性に対して、8月15日と8月21日までにパッチを当てるよう米連邦政府機関に求めている。

Ivant は1週間前にも、同社の EMM (Enterprise Mobility Management) ソリューションである Avalanche ソフトウェアで、悪用されるとクラッシュや任意のコード実行につながる可能性のある、深刻なスタック・ベースのバッファ・オーバーフローの脆弱性 CVE-2023-32560 を修正している。

このところ、Ivant に関するトピックが続いています。よろしければ、2023/07/24 の「Ivanti EPMM (MobileIron) のゼロデイ CVE-2023-35078 が FIX:早急にパッチ適用を!」と、2023/08/16 の「Ivanti Avalanche の深刻な脆弱性 CVE-2023-32560 が FIX:脅威アクターが探索!」も、ご参照ください。