Ivanti Sentry - CVE-2023-38035

Date de publication : 22/08/2023

Date de mise à jour : 25/08/2023

Un défaut de configuration d’Apache HTTPD dans le portail d’administration MICS (MobileIron Configuration Service) permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de contourner la politique de sécurité et d’exécuter du code sur le système avec les privilèges root.

CVE-2023-38035

[Score CVSS v3.1: 9.8]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire

Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-287: Improper Authentication

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Ivanti Sentry version 9.18 et antérieures

Contournement provisoire

Si le correctif ne peut pas être déployé, il est recommandé de limiter l’accès au port d’administration (port 8443 par défaut).

Solutions ou recommandations

Mettre à jour Ivanti Sentry vers la version 9.16, 9.17, 9.18 ou ultérieure et appliquer les scripts RPM mis à disposition par Ivanti.
Des informations complémentaires sont disponibles dans le bulletin d’Ivanti.