新发现的 Ivanti Sentry 零日漏洞

关键要点

Ivanti Sentry 网关存在零日漏洞，CVSS评分为98，正在被积极利用。该漏洞允许未验证的攻击者访问关键API和系统命令。Ivanti建议客户限制对MICS的访问，仅开放给内部网络。此漏洞目前影响所有受支持的Sentry版本。

IT软件公司 Ivanti 最近披露了一个安全问题，这次是其Ivanti Sentry网关中的零日漏洞，现已在野外被积极利用。

在周一发布的安全咨询 中，Ivanti表示只知道“少数客户”受到该漏洞的影响。该漏洞的CVSS评分高达98，并被追踪为CVE202338035。

Ivanti Sentry之前称为MobileIron Sentry作为移动设备与公司ActiveSync服务器如Microsoft Exchange Server之间的守门人。

“如果该漏洞被利用，未经验证的攻击者可以访问用于配置Ivanti Sentry的某些敏感API，这些API位于管理员门户 (8443端口，通常是MICS)上，”该公司在其咨询中指出。

Ivanti还表示，虽然自该漏洞的CVSS评分较高，但对于不暴露8443端口给互联网的客户，利用的风险较低。

发现该漏洞的Mnemonic公司的研究者在一篇博文 中解释称，Sentry从Ivanti Endpoint Manager Mobile (EPMM)平台获取配置和设备信息。

研究人员写道，“成功的利用使得未经验证的威胁行为者可以读取和写入Ivanti Sentry服务器上的文件，并使用‘超级用户做’ (sudo) 以系统管理员root的身份执行操作系统命令。”

近期，EPMM平台在过去一个月里也暴露了两起高危的关键性漏洞，其中一个曾在挪威政府的12个部门中被利用。

美国网络安全和基础设施安全局CISA在8月1日的咨询中提到，“移动设备管理MDM系统对于威胁行为者很有吸引力，因为它们提供对成千上万移动设备的高级访问。”

外网加速器

CISA已将这两个EPMM漏洞CVE202335078 和 CVE202335081添加到其已知被利用漏洞目录中，这意味着所有美国联邦民用行政支援机关都必须进行修复。

Ivanti表示，最近发现的Sentry漏洞并不影响其其他产品，包括Ivanti EPMM。

为了应对Sentry漏洞，该公司已经开发了安全更新，并以RPM脚本的形式提供给所有当前受支持的版本918、917和916。

“我们建议客户首先升级到受支持的版本，然后应用针对他们版本特别设计的RPM脚本，”Ivanti表示。

上周，Tenable发布了关于Ivanti Avalanche企业移动设备管理系统中的关键漏洞的详细信息，该安全公司在4月时发现并报告了这个问题。

Tenable表示，其中一位研究人员在Ivanti Avalanche WLAvanacheServerexe v6400中发现了多个基于堆栈的缓冲区溢出。Ivanti已通过发布版本641修复了该问题，并修复了其他六个漏洞。