Kritische Sicherheitslücke in Ivanti Sentry wird bereits missbraucht
Ivanti schließt in Sentry, vormals MobileIron Sentry, eine kritische Sicherheitslücke. Sie wird bereits angegriffen.
(Bild: solarseven/Shutterstock.com)
In Ivanti Sentry, ehemals als MobileIron Sentry bekannt, klafft eine kritische Sicherheitslücke, die Angreifer bereits aktiv missbrauchen. Für diese Zero-Day-Lücke hat der Hersteller jetzt ein Update veröffentlicht, das sie schließen soll.
Ivanti Sentry verwaltet und verschlüsselt den Datenverkehr zwischen Mobilgeräten und den Unternehmenssystemen. In Version 9.18 und früheren der Software können Angreifer aus dem Netz ohne vorherige Anmeldung auf sensible APIs zugreifen, mit denen sie Sentry auf dem Administratorportal konfigurieren können. Bei Erfolg können bösartige Akteure die Konfiguration ändern, Systembefehle absetzen oder Dateien im System schreiben (CVE-2023-38035, CVSS 9.8, Risiko "kritisch"). Der Schwachstellenbeschreibung zufolge können Angreifer die Authentifizierung des Management-Interface aufgrund einer nicht ausreichend restriktiven Apache-HTTPD-Konfiguration umgehen.
Zero-Day-Lücke: Alles halb so wild?
In der Sicherheitsmeldung schreibt Ivanti, dass das Risiko des Missbrauchs gering sei, obwohl die Lücke einen hohen CVSS-Wert habe – für Kunden, die den Port 8443, auf dem der Dienst läuft, nicht im Internet exponieren. Das sei auch die Empfehlung seitens Ivanti, den Zugriff auf den Port zu beschränken. Derzeit seien dem Unternehmen auch nur eine begrenzte Anzahl an Kunden bekannt, die von der Lücke betroffen seien.
In einem Knowedgebase-Eintrag verdeutlicht Ivanti, dass das Unternehmen von dem Missbrauch der Schwachstelle bei einigen Kunden weiß. Für die Versionen 9.18, 9.17 und 9.16 stellt der Hersteller RPM-Pakete bereit, die die Lücke in den jeweiligen Versionen schließen sollen. Nicht mehr unterstützte Versionen lassen sich damit nicht absichern, ergänzt Ivanti. Administratoren sollen sicherstellen, das korrekte RPM für die installierte Version einzusetzen, da andernfalls der Patch entweder unwirksam bleibt oder es zu unerwünschten Nebenwirkungen kommen kann.
IT-Verantwortliche sollten die Aktualisierungen so schnell wie möglich anwenden. Erst Anfang des Monats hatte Ivanti vor einer kritischen Sicherheitslücke in der Mobile-Device-Management-Software MobileIron gewarnt. Da die betroffene Software-Versionen keinen Support mehr erhielten, lautete da die Lösung, auf das Nachfolgeprodukt Endpoint Manager Mobile (EPMM) zu aktualisieren.
Inzwischen haben die IT-Sicherheitsforscher einen Proof-of-Concept veröffentlicht, der den Missbrauch der Schwachstelle vorführt. Details sind auf der Github-Seite von Horizon3.ai zu finden.
(dmk)
