CVE-2023-38035

Ivanti Sentry

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-08-22

Официальное описание

Ivanti Sentry, formerly known as MobileIron Sentry, contains an authentication bypass vulnerability that may allow an attacker to bypass authentication controls on the administrative interface due to an insufficiently restrictive Apache HTTPD configuration.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-38035 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в Ivanti Sentry (ранее MobileIron Sentry). Проблема вызвана недостаточно строгой конфигурацией веб-сервера Apache HTTPD, который используется для управления административным интерфейсом (System Manager Portal) на порту 8443.

Злоумышленник, имеющий сетевой доступ к порту 8443, может обойти механизмы проверки подлинности и получить доступ к конфиденциальным API-эндпоинтам. Это позволяет выполнять административные действия, изменять конфигурацию системы или выполнять произвольные команды на уровне операционной системы без наличия валидных учетных данных.

Как исправить

Основным способом устранения уязвимости является установка официальных патчей (RPM-пакетов), выпущенных производителем Ivanti. Исправление должно быть применено ко всем поддерживаемым версиям продукта.

  1. Проверьте текущую версию Ivanti Sentry через консоль управления.
  2. Скачайте соответствующий патч (скрипт или RPM) с портала Ivanti для вашей версии (9.17.0, 9.18.0 или 9.19.0).
  3. Загрузите файл патча на сервер Sentry.
  4. Выполните установку патча через командную строку (CLI). Пример команды для установки RPM:
rpm -ivh ivanti-sentry-patch-1.0.0-1.noarch.rpm
  1. После установки патча перезагрузите систему для применения изменений в конфигурации Apache:
reboot

Временные меры

Если немедленная установка патча невозможна, необходимо ограничить поверхность атаки с помощью сетевых настроек и конфигурации доступа.

  1. Ограничьте доступ к административному интерфейсу (порт 8443) на сетевом уровне (Firewall/ACL), разрешив подключения только с доверенных IP-адресов администраторов или из выделенного сегмента управления (Management VLAN).

  2. Убедитесь, что порт 8443 не проброшен во внешнюю сеть (Internet).

  3. Если используется встроенный функционал ограничения доступа в самом Sentry, примените ACL для интерфейса управления:

config terminal
interface eth0
ip access-group 100 in
exit
  1. Настройте мониторинг логов Apache на предмет необычных POST-запросов к API-эндпоинтам со стороны неавторизованных IP-адресов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей