Am 21. August 2023 wurde eine Zero-Day Schwachstelle in Ivanti Sentry – ehemals vertrieben unter MobileIron Sentry – bekannt gegeben. Die Sicherheitslücke wird gemäß Common Vulnerabilities and Exposures (CVE) unter der Nummer CVE-2023-38035 gelistet und hat eine CVSS-Bewertung von 9.8 (“kritisch”).
Einem nicht-authentifizierten Angreifer könnte es mithilfe dieser Verwundbarkeit gelingen, auf sensible Teile der API zuzugreifen (Authentication Bypass), die zur
Konfiguration von Ivanti Sentry im System Manager Portal (MICS) genutzt wird. In der Folge können die Täter Konfigurationsänderungen an Ivanti Sentry durchführen, Betriebssystem-Befehle ausführen sowie Dateien verändern oder erstellen. Ursache hierfür ist eine unzureichend restriktive Apache HTTPD-Konfiguration
Betroffen von CVE-2023-38035 sind die unterstützten Produktversionen 9.18, 9.17 und 9.16 sowie alle älteren, nicht länger unterstützen Versionen von Ivanti (MobileIron) Sentry. Die Schwachstelle wurde nach erfolgreichen Angriffen auf Ivanti Endpoint Manager Mobile (CVE-2023-35078, CVE-2023-35081) bereits von Angreifern ausgenutzt.
Ivanti stellt ein RPM Skript für die unterstützten Versionen zur Verfügung, um die Schwachstelle zu schließen.
Bewertung
Da die entdeckte Sicherheitslücke CVE-2023-38035 alle Versionen von Ivanti MobileIron Sentry betrifft und Angreifer im Rahmen der zuletzt bekanntgewordenen Verwundbarkeiten im Ivanti Endpoint Manager Mobile (EPMM) bereits erste Angriffsziele kompromittiert haben, birgt der Sachverhalt ein hohes Risiko – zumal die Ausnutzung über das Internet ohne Authentifizierung möglich ist.
Betroffen von der Schwachstelle sind alle Ivanti Sentry Kunden, die den Port 8443 exponieren und damit den Ivanti System Manager aus dem Internet erreichbar machen. In Deutschland konnte eine mittlere Betroffenheit von potenziell gefährdeten Ivanti Sentry Instanzen festgestellt werden. Technische Details oder ein Proof-of-Concept sind zum Zeitpunkt der Veröffentlichung des Advisories nicht verfügbar. Jedoch ist davon auszugehen, dass diese Schwachstelle von Angreifern, wie die Sicherheitslücken in Ivanti EPMM, schnell großflächig ausgenutzt werden könnte und es nicht bei den von Ivanti aktuell genannten einzelnen Angriffen bleiben wird.
Maßnahmen, die Anwender ergreifen müssen
Um die Schwachstelle CVE-2023-38035 zu beheben und das Risiko einer Kompromittierung zu reduzieren, sollten IT-Sicherheitsverantwortliche auf eine unterstützte Version (9.18, 9.17 oder 9.16) aktualisieren und das jeweils verfügbare RPM Skript nutzen. Alternativ ist es möglich, den Zugriff auf das System Manager Portal (Port 8443) mit einer Firewall-Regel zu unterbinden, um somit nicht mehr aus dem Internet angreifbar zu sein. Mit dem Workaround können auch ältere Produktversionen vor einer Kompromittierung geschützt werden. Ivanti empfiehlt, den Zugriff auf das System Manager Portal ausschließlich über das interne Netzwerk zu erlauben.
Zur Mitigation von CVE-2023-38035 bzw. Ausführung des RPM Skripts muss wie folgt vorgegangen werden:
- Verwenden Sie SSH, um sich über ein Terminal mit einem Administrator-Account anzumelden, der während der Systeminstallation erstellt wurde.
- Geben Sie das entsprechende Passwort ein.
- Geben Sie enable ein und verwenden Sie das Systempasswort, das während der Systeminstallation festgelegt wurde, um in den EXEC-PRIVILEGED-Modus zu gelangen. Die Befehlszeilenaufforderung ändert sich von “>” zu “#”.
- Installieren Sie nun das RPM-Skript zur Behebung von CVE-2023-38035 mit dem Befehl zu jeweiligen installierten Version:
› 9.18: install rpm url https://support.mobileiron.com/ivanti-updates/sentry-security-update-9.18.0-3.noarch.rpm
› 9.17: install rpm url https://support.mobileiron.com/ivanti-updates/sentry-security-update-9.17.0-3.noarch.rpm
› 9.16: install rpm url https://support.mobileiron.com/ivanti-updates/sentry-security-update-9.16.0-3.noarch.rpm - Geben Sie reload ein, um das System neu zu starten.
- Zur Validierung der vollständigen Installation geben Sie install rpm info detail mi-mics ein und stellen Sie sicher, dass die Versionsnummer mit “a” endet (9.18.0a, 9.17.0a, 9.16.0a)
www.bsi.bund.de