Dag: 23 augusti 2023

Kritisk sårbarhet i Ivanti Mobileiron Sentry (uppdaterad 2023-08-23)

Uppdaterad 2023-08-23 12:17 | Publicerad 2023-08-22 12:19 – SårbarhetIvantiMobileiron

Ivanti har rättat en kritisk sårbarhet (CVE-2023-38035, CVSS-klassning 9,8) i Ivanti Mobileiron Sentry [1]. Produkten kan användas som en gateway mellan mobila enheter och bakomliggande system [2].

Sårbarheten möjliggör för en angripare att kringgå behörighetskontroller till systemets administrationsportal och på så sätt fjärrköra skadlig kod (remote code execution, RCE). Ivanti skriver att risken för att sårbarheten kan utnyttjas är lägre för kunder som inte har administrationsportalen exponerad mot internet.

Sårbarheten har enligt Ivanti utnyttjats som en nolldagssårbarhet i begränsad omfattning.

Uppdatering 2023-08-23

CISA har lagt sårbarheten till sin lista över kända utnyttjade sårbarheter. [3]

Påverkade produkter

Ivanti Mobileiron Sentry version 9.18.0 eller tidigare.

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter enligt instruktioner i tillverkarens säkerhetsmeddelande. Ivanti rekommenderar att blockera tillgång till administrationsportalen via internet och endast tillåta tillgång via interna administrationsnät.

Källor

[1] https://forums.ivanti.com/s/article/CVE-2023-38035-API-Authentication-Bypass-on-Sentry-Administrator-Interface
[2] https://help.ivanti.com/mi/help/en_us/SNTRY/9.x/gdco/SentryGuide/MobileIron_Sentry_overvi.htm
[3] https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Kritiska sårbarheter i Juniper Networks Junos OS

Juniper Networks rättar fyra sårbarheter (CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847) i Junos OS som tillsammans uppnår kritisk allvarlighetsgrad. 

Sårbarheterna finns i komponenten J-Web som tillåter användare att konfigurera, hantera och övervaka hårdvara i produktserierna SRX och EX som kör Junos OS. Två av sårbarheterna gör det möjligt att modifiera PHP-variabler genom specialutformade anrop medan de övriga två gör det möjligt att skriva filer till filsystemet. Genom att kedja samman de fyra sårbarheterna kan en angripare fjärrköra kod på sårbara system utan autentisering.

Påverkade produkter

Juniper Networks Junos OS på enheter i SRX-serien:
Alla versioner före 20.4R3-S8
21.2-versioner före 21.2R3-S6
21.3-versioner före 21.3R3-S5
21.4-versioner före 21.4R3-S5
22.1-versioner före 22.1R3-S3
22.2-versioner före 22.2R3-S2
22.3-versioner före 22.3R2-S2, 22.3R3
22.4-versioner före 22.4R2-S1, 22.4R3

Juniper Networks Junos OS på enheter i EX-serien:
Alla versioner före 20.4R3-S8
21.2-versioner före 21.2R3-S6
21.3-versioner före 21.3R3-S5
21.4-versioner före 21.4R3-S4
22.1-versioner före 22.1R3-S3
22.2-versioner före 22.2R3-S1
22.3-versioner före 22.3R2-S2, 22.3R3
22.4-versioner före 22.4R2-S1, 22.4R3

Rekommendationer

CERT-SE rekommenderar att snarast möjligt uppdatera sårbara produkter. I situationer där uppdatering inte är möjligt på kort sikt, föreslår Juniper Networks att J-Web inaktiveras eller att tillgång begränsas till pålitliga klienter.

Källor

[1] https://supportportal.juniper.net/s/article/2023-08-Out-of-Cycle-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Multiple-vulnerabilities-in-J-Web-can-be-combined-to-allow-a-preAuth-Remote-Code-Execution