イバンティ(Ivanti)社のIvanti Sentry(旧 MobileIron Sentry)とは、Microsoft ExchangeサーバーなどのActiveSyncサーバーまたは、Sharepointサーバーのようなバックエンドリソースのためのソリューションであり、サーバー間のデータ同期化のために使用されます。Ivantiは最近、CVE-2023-38035ゼロデイに関する勧告を掲載しました。CVE-2023-38035ゼロデイは権限を持っていない攻撃者にウェブ管理者のインターフェースと管理者サーバーへのアクセスを許す認証バイパス脆弱性です。
Ivanti Sentryのシステム管理者ポータルは以下のような画面で起動され、TCP/8443ポートを通じてアクセスできるようになっています。ウェブサーバーはApache HTTPDを使います。脆弱性公開当時、アメリカ国立標準技術研究所(NIST、National Institute of Standards and Technology)は、CVE-2023-38035ゼロデイに対して「まだ分析を行っている最中で、Ivantiが一部情報を提供していない」と述べながら、CVSSスコアを公開しませんでしたが、本投稿を書く時点ではCVSSv3スコアが9.8で公開されました。
Ivantiは公式サイトで脆弱性パッチを公表し、RPMスクリプトを提供しました。バージョンごとの設置スクリプトが存在し、9.15以下のバージョンではまず9.16以上のバージョンに更新した後、新しいRPMスクリプトを使うことを勧告しています。
上記のログイン画面の右上でも「9.17.0」というバージョンが表記されていて、使用中のシステム管理者ポータルのバージョンを簡単に確認できます。
| Ivanti Sentryの影響を受けるバージョン | 解決策(RPMスクリプトを使用) |
|---|---|
| 9.18 | 9.18.0-3 インストール |
| 9.17 | 9.17.0-3 インストール |
| 9.16 | 9.16.0-3 インストール |
| 9.15 以下 | 9.16 以上のバージョンに更新した後、関連RPMスクリプトを適用する |
Criminal IPのIT資産検索では、title:”MobileIron System Manager” のフィルター検索を通じてIvantiのMobileIron Sentryのシステム管理者ポータルを検索でき、現在、100台以上のサーバーがインターネットに漏洩されていることがわかります。
* 当クエリに使用されたtitleフィルターは検索したキーワードを含むタイトルタグを保有するIPアドレスを見つけるフィルターです。
CVE-2023-38035ゼロデイの解決のためには、一刻も早く脆弱性パッチを適用するべきです。しかし、直ちにパッチを適用できない場合は、MobileIron Sentryで使用するTCP/8443ポートを外部からアクセスできないようにブロックすることが一番大事です。
関連してOSINTツールを活用したMS Exchangeゼロデイ脆弱性の検知に関する投稿をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。
只今Criminal IPの無料アカウントを作成すると、レポートに引用された検索結果を自ら確認するか、より膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
https://blog.criminalip.co.jp/posts/42020741?categoryIds=7687200
