16/12/2024

Actu Cybersécurité

La faille de sécurité CVE-2023-38035 met en danger les serveurs Ivanti Sentry

Une faille de sécurité critique affecte la solution Ivanti Sentry ! En l'exploitant, un attaquant peut exécuter du code à distance en tant que root sur le serveur cible ! Si vous utilisez cette solution, vous devez patcher en urgence !

Découverte par la société Mnemonic et divulguée par l'éditeur sur son site officiel le 21 août 2023, la faille de sécurité CVE-2023-38035 affecte la solution Ivanti Sentry (anciennement MobileIron Sentry) et elle hérite d'un score CVSS v3.1 de 9.8 sur 10 !

Cette vulnérabilité affecte le composant Apache des serveurs Ivanti Sentry, ce qui permet à un attaquant non authentifié d'accéder à certaines API sensibles utilisées pour configurer Ivanti Sentry à partir du portail d'administration. Si votre serveur est exposé sur Internet, sur le port 8443, vous êtes clairement exposé à une cyberattaque. Si le serveur n'est pas exposé sur Internet, le risque d'exploitation est plus faible bien que présent. Toutefois, une recherche sur Shodan permet d'identifier au moins 500 serveurs Ivanti Sentry exposés sur Internet.

Ces dernières heures, des chercheurs en sécurité de chez Horizon3 ont mis en ligne un exploit PoC de cette faille de sécurité ! Cet exploit disponible sur GitHub permet d'exécuter une commande à distance sans être authentifié, mais avec les permissions de root sur le serveur cible. Ce qui ne fait qu'accroitre le danger, d'autant plus qu'il y a déjà des attaques en cours...

Quelles sont les versions affectées ? Comment se protéger ?

D'après le bulletin de sécurité officiel, cette vulnérabilité critique affecte Ivanti Sentry versions 9.18.0 et inférieures.

Dès à présent, les versions encore supportées par l'éditeur Ivanti peuvent bénéficier d'un correctif par l'intermédiaire d'un script RPM : "Dès que nous avons appris l'existence de cette vulnérabilité, nous avons immédiatement mobilisé des ressources pour corriger le problème et des scripts RPM sont désormais disponibles pour les versions prises en charge."

L'agence américaine CISA a émis une alerte au sujet de cette vulnérabilité, tout comme le CERT-FR au niveau de la France.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.