-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheid verholpen in Ivanti MobileIron Sentry
Advisory ID : NCSC-2023-0428
Versie : 1.01
Kans : high
CVE ID : CVE-2023-38035
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Manipulatie van gegevens
Omzeilen van authenticatie
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20230825
Toepassing : MobileIron Sentry
Versie(s) :
Platform(s) :
Update
Voor de kwetsbaarheid met kenmerk CVE-2023-38035 is publieke exploit
code verschenen. Dit maakt de kans op actieve uitbuiting van de
kwetsbaarheid groot. De inschaling van dit beveiligingsadvies is
daarom verhoogd naar High/High.
Beschrijving
Ivanti heeft een kwetsbaarheid verholpen in MobileIron Sentry. Een
ongeauthenticeerde kwaadwillende met toegang tot de beheerinterface
kan de kwetsbaarheid misbruiken om middels API-calls het
Sentry-systeem te manipuleren en opdrachten uit te voeren met
rechten van een beheerder.
Voor succesvol misbruik moet de kwaadwillende toegang hebben tot de
beheerinterface. Het is goed gebruik een dergelijke interface niet
publiek toegankelijk te hebben.
Ivanti meldt dat de kwetsbaarheid beperkt en gericht actief is
misbruikt.
Mogelijke oplossingen
Ivanti heeft scripts uitgebracht om de kwetsbaarheid te verhelpen in
MobileIron Sentry en adviseert om eerst Sentry bij te werken tot de
laatste versie en vervolgens de scripts in te zetten. Voor meer
informatie, zie:
https://www.ivanti.com/blog
/cve-2023-38035-vulnerability-affecting-ivanti-sentry
https://forums.ivanti.com/s/article
/CVE-2023-38035-API-Authentication-Bypass-on-Sentry-Administrator
-Interface?language=en_US
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298) - not licensed for commercial use: www.pgp.com
Charset: utf-8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=fwYj
-----END PGP SIGNATURE-----
