El código de explotación de prueba de concepto ahora está disponible para una vulnerabilidad crítica de omisión de autenticación de Ivanti Sentry que permite a los atacantes ejecutar código de forma remota como root en sistemas vulnerables.
Descubierta por mnemonic de la empresa de ciberseguridad, la falla (CVE-2023-38035) permite a los actores de amenazas acceder a API sensibles de la interfaz de administrador de Sentry explotando una configuración Apache HTTPD insuficientemente restrictiva.
Una explotación exitosa puede permitirles ejecutar comandos del sistema o escribir archivos en sistemas que ejecutan Ivanti Sentry versiones 9.18 y anteriores.
Hoy, los investigadores de seguridad de la empresa de evaluación de superficies de ataque Horizon3 han publicado un análisis técnico de la causa raíz de esta vulnerabilidad de alta gravedad y un exploit de prueba de concepto (PoC).
«Este POC abusa de una inyección de comando no autenticado para ejecutar comandos arbitrarios como usuario root», dijo el investigador de vulnerabilidades de Horizon3, James Horseman.
«Recomendamos que cualquier usuario afectado de este producto parchee y verifique que no esté expuesto externamente a Internet, si es posible».
Nagios es un poderoso sistema de monitoreo de infraestructuras TI que permite a las organizaciones identificar y resolver problemas antes de que afecten los procesos comerciales críticos.
Conocer..
Utilizado en ataques como día cero.
Ivanti proporciona información detallada sobre la aplicación de las actualizaciones de seguridad de Sentry en este artículo de la base de conocimientos. La compañía también confirmó que algunos de sus clientes se vieron afectados por ataques CVE-2023-38035 y aconsejó a los administradores que restringieran el acceso a la red interna.
Sin embargo, según una búsqueda de Shodan, actualmente hay más de 500 instancias de Ivanti Sentry expuestas en línea.
El martes, CISA agregó la falla de seguridad a su Catálogo de vulnerabilidades explotadas conocidas y ordenó a las agencias federales que protejan sus sistemas antes del 14 de septiembre.
A partir de abril, los piratas informáticos afiliados al estado han abusado de otras dos vulnerabilidades de seguridad en Endpoint Manager Mobile (EPMM) de Ivanti, anteriormente reconocido como MobileIron Core.
CVE-2023-35078, otra falla grave de omisión de autenticación, fue explotada como una maniobra de día cero para infiltrarse en las redes de múltiples organizaciones gubernamentales en Noruega.
Hace una semana, Ivant parchó otro par de desbordamientos de búfer críticos basados en pilas, rastreados colectivamente como CVE-2023-32560 dentro de su solución de gestión de movilidad empresarial (EMM) Avalanche, lo que podría provocar fallas del sistema y ejecución arbitraria de código tras ataques exitosos.
Fuente: Bleepingcomputer
