Impact mondial (au moment de la diffusion)
- Plus de 270 hôtes Sentry en contact avec le public dans le monde entier
- 10% de ces hôtes ont des capacités d'accès à distance
Principaux pays touchés :
1. L'Allemagne
2. ÉTATS-UNIS
3. France
4. ROYAUME-UNI
5. La Chine
Résumé
Censys est conscient que le 18 mars 2024, Ivanti a publié CVE-2023-41724, une vulnérabilité d'exécution de code à distance (RCE) dans son produit Standalone Sentry. Cette CVE a été mise à jour le 25 mars 2024. Selon Dark Reading, la vulnérabilité "permet à un attaquant non authentifié d'exécuter un code arbitraire sur le système d'exploitation sous-jacent".
Impact
Selon Ivanti, Sentry aide à gérer l'accès à divers actifs organisationnels en interagissant avec les ressources de l'entreprise. Ce niveau de privilège et d'accès fait de Sentry une cible précieuse dans la mesure où il peut offrir des opportunités de mouvement latéral au sein d'une organisation. Cette préoccupation est sans doute atténuée car "les acteurs de la menace qui ne disposent pas d'un certificat client TLS valide enregistré via EPMM / N-MDM ne peuvent pas exploiter directement ce problème sur l'Internet"(Ivanti).
Toutefois, les équipements Standalone Sentry exposés publiquement peuvent constituer des cibles attrayantes pour d'éventuels attaquants.
Actifs touchés
Selon Ivanti, "cette vulnérabilité affecte toutes les versions 9.17.0, 9.18.0 et 9.19.0 prises en charge. Les versions plus anciennes sont également menacées".
CensysL'équipe de réponse rapide d'Ivanti a pu identifier les versions spécifiques et affectées des actifs Sentry avec le risque ASM listé ci-dessous. Les requêtes Search et ASM permettent de trouver toutes les ressources Sentry accessibles au public et récemment observées lors de nos analyses, quelle que soit la version.
Notez que "MobileIron" est l'ancien nom de cet actif et qu'il a été acquis par Ivanti ; Censys utilise cette nomenclature afin d'identifier de manière précise et complète les actifs affectés.
Censys Nom du risque ASM pour les dispositifs potentiellement vulnérables
"Vulnérable Ivanti Sentry [CVE-2023-41724]"
Censys Les clients d'ASM verront ce risque appliqué aux biens concernés dans leur espace de travail. Ceux qui se sont inscrits au système d'alerte automatisé Rapid Response seront contactés directement au sujet des biens concernés.
Censys Requête ASM pour les actifs exposés.
Cette requête est partagée par les clients qui souhaitent affiner ou modifier les versions pour des opérations personnalisées.
Censys Les requêtes de recherche sont partagées directement avec les clients de Censys . Si vous souhaitez obtenir la requête Censys pour identifier les instances globales liées à ce problème, ou si vous avez besoin d'aide, veuillez nous contacter.
Recommandations pour l’assainissement
d'Ivanti indiquent que les propriétaires de ces actifs doivent
- utiliser un correctif qui est "disponible dès maintenant via le portail de téléchargement standard pour les versions prises en charge de Ivanti Standalone Sentry (9.17.1, 9.18.1 et 9.19.1)".
Si vous avez besoin d'aide pour identifier positivement ces actifs, n'hésitez pas à nous le faire savoir.
