Exploit released for Ivanti Sentry bug abused as zero-day in attacks
2023/08/24 BleepingComputer — Ivanti Sentry に存在する、認証バイパスの脆弱性の悪用に成功した攻撃者は、脆弱なシステムの root としてリモート・コード実行が可能になる。この脆弱性 CVE-2023-38035 は、サイバー・セキュリティ企業 mnemonic により発見されたものであり、Apache HTTPD の設定が十分に制限されていないことに起因する。その結果として、機密性の高い Sentry 管理者インターフェース API への、攻撃者によるアクセスを許すことになる。具体的に言うと、Ivanti Sentry のバージョン 9.18 以下を実行しているシステム上で、システム・コマンドの実行やファイルへの書込みが可能になる。
そして 8月24日には、Horizon3 のセキュリティ研究者が、この深刻度の高い脆弱性の、技術的な要因と PoC エクスプロイトを発表した。
Horizon3 の James Horseman は、「この PoC は、未認証でのコマンド・インジェクションを悪用し、その結果として root ユーザーとして任意のコマンド実行を可能にする。この製品の影響を受けるユーザーに対しては、可能であれば直ちにパッチを適用し、インターネットへの露出がないことを確認することを推奨する」と述べている。
ゼロデイとして攻撃に使用される
Ivanti は、Sentry のセキュリティ・アップデートの適用に関する詳細な情報を提供している。さらに同社は、顧客の一部が CVE-2023-38035 攻撃の影響を受けたことを確認し、管理者に対して内部ネットワークへのアクセスを制限するよう求めている。
しかし、Shodan の検索結果によると、現時点で 500以上の Ivanti Sentry インスタンスがオンラインで公開されているようだ。
8月22日に CISA は、セキュリティ上の脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加し、連邦政府機関に 9月14日までにシステムを保護するよう命じている。
2023年4月以降に、Ivanti の EPMM (Endpoint Manager Mobile/旧 MobileIron Core) の他の2つのセキュリティ脆弱性が、国家関連のハッカーたちに悪用されている。
このうちの1つの脆弱性 CVE-2023-35078 は、深刻な認証バイパスの欠陥であり、ノルウェーの複数の政府組織のネットワークに侵入するゼロデイ作戦として悪用された。
先週にも Ivanti は、同社の Avalanche EMM (Enterprise Mobility Management) ソリューション内におけるスタック・バッファ・オーバーフローの脆弱性 CVE-2023-32560 にパッチを適用した。この脆弱性の悪用に成功した攻撃者は、システム・クラッシュや任意のコード実行を引き起こす可能性がある。
この脆弱性に関しては、すでに 2023/08/21 の「Ivanti Sentry の深刻な脆弱性 CVE-2023-38035 が FIX:Apache HTTPD 認証がカギ」でお伝えしていますが、PoC の登場に合わせての続報となります。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.