Ivanti fournit un correctif urgent pour la vulnérabilité de contournement de l'authentification API

Aug 29, 2023

Une vulnérabilité de gravité critique dans le produit Ivanti Sentry (anciennement MobileIron Sentry) expose des données et des configurations d'API sensibles.

Par

Tableau à feuilles mobiles

Reddit

Pinterest

WhatsApp

WhatsApp

E-mail

Les problèmes d'Ivanti liés aux défauts de sécurité de ses produits destinés aux entreprises commencent à s'accumuler.

L'éditeur de logiciels informatiques a expédié lundi des correctifs urgents pour une vulnérabilité de gravité critique dans le produit Ivanti Sentry (anciennement MobileIron Sentry) et a averti que les pirates pourraient exploiter le problème pour accéder aux données et configurations API sensibles.

La vulnérabilité, marquée CVE-2023-38035, affecte les versions 9.18 et antérieures d'Ivanti Sentry et pourrait être exploitée par des pirates malveillants pour modifier la configuration, exécuter des commandes système ou écrire des fichiers sur le système, a déclaré Ivanti dans un avis.

"Si elle est exploitée, cette vulnérabilité permet à un acteur non authentifié d'accéder à certaines API sensibles utilisées pour configurer Ivanti Sentry sur le portail administrateur (port 8443, généralement MICS)", a déclaré la société.

Bien que le problème ait un score de gravité CVSS de 9,8/10, Ivanti note qu'il existe un faible risque d'exploitation pour les administrations d'entreprise qui n'exposent pas le port 8443 à Internet.

« Ivanti recommande aux clients de limiter l'accès aux MICS aux réseaux de gestion internes et de ne pas l'exposer à Internet », a déclaré la société.

Ivanti a déclaré qu'il était « conscient du nombre limité de clients touchés par CVE-2023-38035 », mais il n'est pas encore clair si le problème est exploité comme un jour zéro dans la nature.

Les problèmes de sécurité d'Ivanti se sont intensifiés ces derniers mois avec la publication de correctifs pour les failles critiques de la gamme de produits Avalanche Enterprise MDM, l'exploitation sauvage des vulnérabilités dans Ivanti EPMM et l'activité APT documentée ciblant les failles Zero Day d'Ivanti.

En rapport:Ivanti corrige une faille critique dans le produit Avalanche Enterprise MDM

En rapport:Exploitation de la vulnérabilité Ivanti EPMM détectée

En rapport:Ivanti Zero-Day exploité par APT depuis au moins avril

En rapport:Deuxième bug Ivanti EPMM Zero-Day exploité dans des attaques ciblées

Ryan Naraine est rédacteur en chef chez SecurityWeek et animateur de la populaire série de podcasts Security Conversations. Il est un expert en engagement communautaire en matière de sécurité qui a élaboré des programmes pour de grandes marques mondiales, notamment Intel Corp., Bishop Fox et GReAT. Ryan est directeur fondateur de l'association à but non lucratif Security Tinkerers, conseiller auprès des entrepreneurs en démarrage et conférencier régulier lors de conférences sur la sécurité dans le monde entier.

Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.

Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.

Rejoignez Microsoft et Finite State pour un webinaire qui présentera une nouvelle stratégie de sécurisation de la chaîne d'approvisionnement logicielle.

À mesure que les règles de divulgation des cyberincidents de la SEC entreront en vigueur, les organisations seront obligées d’envisager sérieusement de donner une place aux responsables de la sécurité à la table. (Marc Solomon)

Le travail à distance est là pour rester et les entreprises doivent continuer à s'assurer que leurs formes de communication de base sont correctement configurées et sécurisées. (Matt Honea)

La complexité et les défis des environnements cloud distribués nécessitent souvent la gestion de plusieurs infrastructures, technologies et piles de sécurité, de plusieurs moteurs de politiques, de plusieurs ensembles de contrôles et de plusieurs inventaires d'actifs. (Joshua Goldfarb)

L'évaluation automatisée des contrôles de sécurité améliore la posture de sécurité en vérifiant les configurations appropriées et cohérentes des contrôles de sécurité, plutôt que de simplement confirmer leur existence. (Torsten George)

Le contexte permet de compléter le tableau et donne lieu à des renseignements exploitables que les équipes de sécurité peuvent utiliser pour prendre des décisions éclairées plus rapidement. (Matt Wilson)