Ivanti waarschuwt voor kritieke bugs in Standalone Sentry en Neurons for ITSM

Ivanti waarschuwt gebruikers voor twee kritieke kwetsbaarheden in zijn software. Eén bug, die door het securitycentrum van de NAVO werd ontdekt, zit in Ivanti Standalone Sentry. De andere bug zit in Ivanti Neurons for ITSM. Voor beide problemen is een patch uitgebracht.

De door de NAVO gevonden kwetsbaarheid wordt aangeduid onder CVE-2023-41724. Met de bug kunnen niet-geauthenticeerde aanvallers op afstand eigen code uitvoeren op het onderliggende besturingssysteem. De fout wordt als ernstig beschouwd en krijgt een CVSS-score van 9,6. Ook het Nederlandse Nationaal Cyber Security Centrum heeft een security advisory uitgebracht voor de kwetsbaarheid, maar schat de kans op misbruik als medium in. Mocht de bug misbruikt worden, dan is er wel een grote kans op schade, zegt de organisatie. Vooralsnog is echter geen bewijs gevonden dat de kwetsbaarheid actief misbruikt wordt.

Voor de kwetsbare versies van Ivanti Standalone Sentry 9.17.0, 9.18.0 en 9.19.0 is een patch uitgebracht die het probleem oplost. Maar ook oudere versies van de software lopen risico door de kwetsbaarheid, waarschuwt het bedrijf. Het advies is dan ook om te updaten en de patch te installeren.

Ivanti waarschuwt ook voor een tweede kritieke kwetsbaarheid, die een CVSS-score van 9,9. Deze bug, geregistreerd als CVE-2023-46808, zit in Ivanti Neurons for ITSM en laat geauthenticeerde aanvallers bestanden naar de ITSM-server schrijven. Vervolgens kunnen aanvallers mogelijk commando's uitvoeren. Ook in dit geval zijn er nog geen aanwijzingen van actief misbruik gevonden.

Voor de kwetsbare versies van Neurons for ITSM, dus 2023.3, 2023.2 en 2023.1, is een patch uitgebracht. Gebruikers die niet-ondersteunde versies gebruiken, worden geadviseerd om te upgraden, aangezien ook deze versies risico lopen.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 21-03-2024 12:02
21 • submitter: vSev

21-03-2024 • 12:02

21

Submitter: vSev

Lees meer

Ivanti waarschuwt voor ernstige zeroday in Connect Secure-vpn en Policy Secure
Ivanti waarschuwt voor ernstige zeroday in Connect Secure-vpn en Policy Secure Nieuws van 12 januari 2024
Ivanti waarschuwt voor ernstig lek waarmee hackers EPM-machines kunnen overnemen
Ivanti waarschuwt voor ernstig lek waarmee hackers EPM-machines kunnen overnemen Nieuws van 5 januari 2024
Rapid7 vindt nieuwe kwetsbaarheid in eerder misbruikte Ivanti-tool MobileIron
Rapid7 vindt nieuwe kwetsbaarheid in eerder misbruikte Ivanti-tool MobileIron Nieuws van 3 augustus 2023
Noorse overheid erkent gehackt te zijn via zeroday in Ivanti
Noorse overheid erkent gehackt te zijn via zeroday in Ivanti Nieuws van 26 juli 2023
Meer producten en artikelen
Networking en security Bedrijfsnieuws Ivanti Security

Reacties (21)

-Moderatie-faq
21
21
9
0
0
7
Wijzig sortering
grasmanek94 21 maart 2024 12:16
Bij mijn werk (65.000+ wereldwijd) is IT nu weg aan het gaan van Ivanti producten :+
Zal er vast mee te maken hebben.

Of Ivanti is juist erg goed in bugs opsporen (of laten opsporen) en snel patchen, en andere fabrikanten/softwarehuizen niet.. of andere producten zijn niet lek en Ivanti ietsjes meer wel.

Ben benieuwd welke de werkelijkheid is.

[Reactie gewijzigd door grasmanek94 op 22 juli 2024 23:11]

JerX @grasmanek9421 maart 2024 12:25
Bij mijn vorige werkgever veel met Ivanti gewerkt. Het was de afgelopen 2-3 jaar erg rommelig bij Ivanti, aangezien ze veel bedrijven opkochten en vervolgens aan bestaande producten wilde koppelen. Kan mij voorstellen dat deze vlugge intregraties en verdere ontwikkeling nogal wat issues te weeg brengen.
sonidodmassive @JerX21 maart 2024 13:18
Ivanti koopt vaker producten op waaronder destijds RES (Workspace Control/Automation), dit artikel gaat uiteraard over een ander product maar door het opkopen van techniek koop je nog niet direct expertise in. Het structureel onderhouden van de software kost veel geld en personeel en vaak (uitgaande van look and feel) hebben producten van Ivanti een compleet andere codebase dan hun andere producten wat zorgt voor meer overhead. Het is goed dat ze de vulnerabilities snel patchen maar ik vermoed dat veel organisaties het niet prettig vinden dat de stekker uit een product wordt getrokken waarop ze bijvoorbeeld de hele werkplek hebben ingericht om vervolgens te horen dat ze maar een ander product binnen de Ivanti catalogus moeten gebruiken wat niet dezelfde functionaliteiten bied:
https://rawworks.nl/ivant...-dit-voor-uw-organisatie/
Linke-soep @JerX21 maart 2024 13:16
Klinkt als echte ict cowboys. Helaas is die tijd nu echt wel voorbij. Men gaat liever voor veiligheid en stabiliteit zeker met alle gevoelige data wat in de cloud wordt opgeslagen.
rsbroer 21 maart 2024 12:20
Ons bedrijf is enkele maanden geleden weggegaan van Ivanti vanwege security vunerabilities.
Nu gebruiken we de producten van Perimiter 81
SchulieBug @rsbroer21 maart 2024 12:34
Ik denk dat elk product wel security vulnerabilities heeft, alleen zijn ze er bij Ivanti wel achter gekomen en bij anderen wellicht nog niet. De vraag is meer hoe de leverancier ermee omgaat en snel met fixes komt.
Cergorach
@rsbroer21 maart 2024 12:49
Ook bij Perimeter 81 zijn er security vulnerabilities:
https://www.kb.cert.org/vuls/id/653767

Het issue is natuurlijk wat voor en hoe het wordt opgelost, geeft dat genoeg vertrouwen. Ivanti gaf mij al niet een vertrouwd gevoel ~3 jaar geleden toen we aan het kijken waren naar patchmanagement. Mooie verhalen op de website, weinig specifieke informatie en wat je wel bovenwater haalde was verre van indrukwekkend. De nieuws items over Ivantie sindsdien zijn imho ook niet heel vertrouwenwekkend in een industrie die heel veel keuze heeft en geeft. Helemaal gezien Ivanti alles behalve goedkoop is.

Bij een (software) bedrijf is het niet de vraag of er security vulnerabilities zijn, maar wanneer die worden gevonden. Het kritische punt is wat die zijn en hoe ze worden opgelost.
PEBKAC 21 maart 2024 12:06
Gaat lekker met Ivanti de laatste tijd...
Wij gebruiken wel Ivanti, maar (gelukkig) niet deze producten.
Sluuut @PEBKAC21 maart 2024 12:36
Eigenlijk is dat een beetje raar om te zeggen. Bijvoorbeeld Microsoft komt elke patch tuesday met 50+ patches en dat vind men wel normaal. Waarom is het dan niet normaal voor een ander softwarebedrijf om lekken te vinden en te dichten?

Ik vind het meer afhankelijk van wat voor soort lek er is gevonden en door wie. Als er constante kritische lekken worden gevonden door externen die komen door slechte code, is dat heel wat anders dan minder kritische lekken door een intern team die erop zit.

[Reactie gewijzigd door Sluuut op 22 juli 2024 23:11]

Cergorach
@Sluuut21 maart 2024 12:59
#1 Volgens de berichtgeving is het lek gevonden door de NAVO, wat mogelijk een klant is van Ivanti.
#2 Het is een remote code execution bug in Ivanti Standalone Sentry:
An unauthenticated threat actor can execute arbitrary commands on the underlying operating system of the appliance within the same physical or logical network.
Iedereen zal denken "Boeien!", waarschijnlijk totdat duidelijk wordt wat Ivanti Standalone Sentry doet:
Ivanti Standalone Sentry is a part of deployment that serves as an intelligent gatekeeper to your company’s ActiveSync server, such as a Microsoft Exchange Server, or with a backend resource such as a Sharepoint server, or it can be configured as a Kerberos Key Distribution Center Proxy (KKDCP) server. Sentry gets configuration and device information from a unified endpoint management (UEM) platform - Ivanti EPMM or Ivanti Neurons for MDM.
#3 Het zit er al een eeuwigheid in, Men heeft het over supported versie 9.17.0+ (december 2022), maar het zat dus ook in eerdere versies, die niet meer supported zijn.

Gevonden door externen: check!
Kritische bug op kritische infra: check!
Een bug die er al heel lang inzit: check!

Bron:
https://help.ivanti.com/m...ileIron_Sentry_overvi.htm
Powermage @Cergorach21 maart 2024 17:26
Maar dat is nog steeds ook een vrij gangbare gang van zaken binnen microsoft toch, ook daar worden de meeste bugs door klanten of externen ontdekt, en soms zit t ook al jaren in Windows omdat het echt uit de kern komt.
Cergorach
@Powermage22 maart 2024 00:17
Het probleem is, MS zit op zo een positie waarbij je niet makkelijk af komt van MS. Windows client of server? Je stapt niet effe over op MacOS en/of Linux. Zeker aan de server kant, alle servers die over konden naar Linux zijn waarschijnlijk al over naar Linux...

Office, exact hetzelfde. Google Docs of Libre Office? Klinkt leuk, maar haalt het niet bij zelfs een buggy MS Word/Excel/Powerpoint. Outlook vs Thunderbird? Azure vs AWS of Google Cloud? Nothing is perfect! Je leert werken met de zaken waar je aan vast zit. MS is alles behalve heilig, maar in kantoor automatisering is het de grootste speler en in de cloud is het een van de grootste spelers... Ivanti is niet een van de grootste spelers in de security markt of de ITSM markt. Effe een vlotte google leert dat Ivanti 0,5% marketshare heeft van de ITSM markt, samen met 59 anderen.

De afgelopen jaren echt heel vaak gedacht, MS dit is wel welletjes, ik ga kijken naar een andere oplossing! Maar uiteindelijk blijkt gewoon dat ongeacht wat voor P-zooi MS er ook van maakt, it's the lesser 'evil'...

Bron:
https://web.archive.org/w...vice-manager-market-share
Powermage @Cergorach22 maart 2024 09:41
Zeker, maar het is dus bijzonder dat we eigenlijk constateren dat elke grote fabrikant bugs heeft die tot kritieke lekken escaleren.
Dat dit eigenlijk gangbaar is.

Maar de ene wordt er veel harder op afgerekend dan de ander.
Cergorach
@Powermage22 maart 2024 09:51
Je haalt een aantal dingen door elkaar, de ene serie bugs is niet de andere serie bugs. Verschillende bedrijven gaan verschillend om met gevonden bugs. En als het je niet bevalt hoe men omgaat met de security bug afhandeling heb je niet evenveel alternatieven (afhankelijk van het bedrijf). In het geval van Ivanti is er heel veel concurrentie (die imho beter is), op het geval van MS is die concurrentie beperkt en zeer zeker niet altijd beter.

In het ene geval ben je extreem ontevreden en kan je een andere kant op. In het andere geval ben je net zo extreem ontevreden, maar kan je geen andere kant op.
Resistor 21 maart 2024 12:18
Een beetje uitleg om wat voor product het nou gaat was wel prettig.

Ik dacht dat het een wapensysteem was.
Cerberus_tm @Resistor21 maart 2024 14:01
Ik heb ook echt geen idee, deze namen nog nooit gehoord.
CSB @Cerberus_tm21 maart 2024 16:03
Voor de duidelijkheid: het betreft hier het oude MobileIron (een MDM systeem) dat is opgekocht door Ivanti. Wellicht ook handig om in de tekst op te nemen, die namen veranderen namelijk bijna jaarlijks...

[Reactie gewijzigd door CSB op 22 juli 2024 23:11]

Cerberus_tm @CSB21 maart 2024 18:47
En wie of wat is MDM dan, is de volgende vraag...

Het zou wel fijn zijn als het nieuwsartikel even kort in één zin zou zeggen waar het überhaupt over gaat, en dan in helder Nederlands, niet in corporate speak.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 23:11]

CSB @Cerberus_tm22 maart 2024 00:12
Één google search had je verteld dat MDM staat voor Mobile Device Management. Ik ben het met je eens dat je bij verslaglegging zo compleet mogelijk moet zijn, maar alles in Jip-en-Janneke taal uit te gaan leggen is ook niet te doen. Je moet ergens een keus maken waar je de grens legt voor het uitleggen en vertalen naar non-corpo speak. ;)
Cerberus_tm @CSB22 maart 2024 03:38
Tja, wat Mobile Device Management inhoudt is zou ik ook niet weten. Maar afgezien daarvan:
https://en.wikipedia.org/wiki/MDM
MDM geeft veel opties, zo makkelijk is dat Googlen nog niet.
SchulieBug 21 maart 2024 12:31
Volgens mij is het Neurons en geen Neuros. Verder ligt het er maar aan welk product van Ivanti je gebruikt, wij gebruiken Automation & Workspace, en afgezien de vroege aankondiging van de Workspace EOL (eind 2026) werkt het prima.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq