Impacto mundial (en el momento de la difusión)
- Más de 270 servidores Sentry públicos en todo el mundo
- 10% de estos hosts con capacidades de acceso remoto
Principales países afectados:
1. Alemania
2. EE.UU.
3. Francia
4. REINO UNIDO
5. China
Resumen
Censys es consciente de que el 18 de marzo de 2024 Ivanti publicó CVE-2023-41724, una vulnerabilidad de ejecución remota de código (RCE) en su producto Standalone Sentry. Esta CVE se actualizó el 25 de marzo de 2024. Según Dark Reading, la vulnerabilidad "permite a un atacante no autenticado ejecutar código arbitrario en el sistema operativo subyacente."
Impacto
Según Ivanti, Sentry autónomo ayuda a gestionar el acceso a diversos activos de la organización mediante la interacción con recursos empresariales backend. Este nivel de privilegios y acceso convierte a Sentry en un objetivo valioso, ya que puede ofrecer oportunidades de movimiento lateral dentro de una organización. Podría decirse que esta preocupación es menor ya que "los actores de amenazas sin un certificado de cliente TLS válido inscrito a través de EPMM / N-MDM no pueden explotar directamente este problema en Internet"(Ivanti).
Sin embargo, los activos de Standalone Sentry expuestos públicamente pueden servir como objetivos atractivos para posibles atacantes.
Activos afectados
Según Ivanti, "esta vulnerabilidad afecta a todas las versiones soportadas 9.17.0, 9.18.0 y 9.19.0. Las versiones anteriores también están en riesgo".
CensysEl equipo de respuesta rápida de Ivanti fue capaz de identificar las versiones específicas afectadas de los activos de Sentry con el riesgo ASM que se indica a continuación. Las consultas de búsqueda y ASM encuentran todos los activos de Sentry de cara al público y observados recientemente en nuestros escaneos, independientemente de la versión.
Tenga en cuenta que "MobileIron" es el nombre heredado de este activo y que fue adquirido por Ivanti; Censys utiliza esta nomenclatura para identificar de forma precisa y exhaustiva los activos afectados.
Censys Nombre de riesgo de ASM para dispositivos potencialmente vulnerables
"Vulnerable Ivanti Sentry [CVE-2023-41724]"
Censys Los clientes de ASM verán este riesgo aplicado a los activos afectados en sus espacios de trabajo. Aquellos que se hayan suscrito a la alerta de riesgos automatizada de respuesta rápida serán contactados directamente en relación con los activos afectados.
Censys Consulta ASM para activos expuestos.
Esta consulta se comparte para los clientes que desean refinar o alterar el versionado para operaciones personalizadas.
Censys Consultas de búsqueda se comparten directamente con los clientes de Censys . Si desea obtener la consulta Censys para identificar instancias globales relacionadas con este problema, o necesita ayuda, póngase en contacto con nosotros.
Recomendaciones
de Ivanti afirman que los propietarios de estos activos deben
- emplear un parche que "ya está disponible a través del portal de descargas estándar para Ivanti Standalone Sentry Supported Release (9.17.1, 9.18.1 y 9.19.1)
Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.
