Am 21. August 2023 wurde eine Zero-Day Schwachstelle in Ivanti Sentry - ehemals vertrieben unter MobileIron Sentry - bekannt gegeben. Die Sicherheitslücke wird gemäß Common Vulnerabilities and Exposures (CVE) unter der Nummer CVE-2023-38035 gelistet und hat eine CVSS-Bewertung von 9.8 ("kritisch"). Einem nicht-authentifizierten Angreifer könnte es mithilfe dieser Verwundbarkeit gelingen, auf sensible Teile der API zuzugreifen (Authentication Bypass), die zur Konfiguration von Ivanti Sentry im System Manager Portal (MICS) genutzt wird. In der Folge können die Täter Konfigurationsänderungen an Ivanti Sentry durchführen, Betriebssystem-Befehle ausführen sowie Dateien verändern oder erstellen. Ursache hierfür ist eine unzureichend restriktive Apache HTTPD-Konfiguration.

Betroffen von CVE-2023-38035 sind die unterstützten Produktversionen 9.18, 9.17 und 9.16 sowie alle älteren, nicht länger unterstützen Versionen von Ivanti (MobileIron) Sentry.

Die Schwachstelle wurde nach erfolgreichen Angriffen auf Ivanti Endpoint Manager Mobile (CVE-2023-35078, CVE-2023-35081) bereits von Angreifern ausgenutzt.

Ivanti stellt ein RPM Skript für die unterstützten Versionen zur Verfügung, um die Schwachstelle zu schließen.