Ciberseguridad 360 | Ivanti advierte de un nuevo zero-day explotado activamente

Ivanti ha advertido hoy de otras dos vulnerabilidades que afectan a las pasarelas Connect Secure, Policy Secure y ZTA, una de ellas un fallo zero-day que ya est� siendo explotado activamente.

El fallo zero-day (CVE-2024-21893) es una vulnerabilidad de falsificaci�n de peticiones del lado del servidor en el componente SAML de las pasarelas que permite a los atacantes eludir la autenticaci�n y acceder a recursos restringidos en dispositivos vulnerables.

Un segundo fallo (CVE-2024-21888) en el componente web de las pasarelas permite a los agresores escalar privilegios hasta los de administrador.

"Como parte de nuestra investigaci�n en curso sobre las vulnerabilidades comunicadas el 10 de enero en las pasarelas Ivanti Connect Secure, Ivanti Policy Secure y ZTA, hemos descubierto nuevas vulnerabilidades. Estas vulnerabilidades afectan a todas las versiones soportadas - Versi�n 9.x y 22.x", dijo hoy la compa��a.

"No tenemos constancia de que ning�n cliente se haya visto afectado por CVE-2024-21888 en este momento. S�lo tenemos conocimiento de un peque�o n�mero de clientes que han sido impactados por CVE-2024-21893 en este momento."

"Es fundamental que tome medidas de inmediato para asegurarse de que est� completamente protegido", advirti� Ivanti.

Ivanti ha publicado parches de seguridad para solucionar ambos fallos para algunas versiones afectadas de ZTA y Connect Secure, y proporciona instrucciones de mitigaci�n para los dispositivos que a�n esperan un parche.

Parches para dos zero-days activamente explotados

La empresa tambi�n ha publicado hoy parches para otros dos zero-days revelados a principios de enero -un bypass de autenticaci�n (CVE-2023-46805) y una inyecci�n de comandos (CVE-2024-21887)- que se han encadenado en ataques generalizados para desplegar malware en ICS, IPS y pasarelas ZTA vulnerables desde el 11 de enero.

Ivanti tambi�n ha publicado medidas de mitigaci�n para bloquear los intentos de ataque e instrucciones de recuperaci�n dise�adas para ayudar a restaurar los dispositivos comprometidos y ponerlos de nuevo en l�nea.

La plataforma de monitorizaci�n de amenazas Shadowserver rastrea actualmente m�s de 24.700 pasarelas ICS VPN expuestas a Internet, m�s de 7.200 en Estados Unidos (Shodan tambi�n ve m�s de 22.000 Ivanti ICS VPN expuestas en l�nea).

Shadowserver tambi�n realiza un seguimiento diario de las instancias VPN Ivanti comprometidas en todo el mundo, con m�s de 460 dispositivos comprometidos descubiertos s�lo el 30 de enero.

Dispositivos Ivanti expuestos a Internet (Shodan)

CISA tambi�n emiti� la primera directiva de emergencia de 2024 (ED 24-01), ordenando a las agencias federales mitigar inmediatamente los fallos zero-days CVE-2023-46805 y CVE-2024-21887 Ivanti en respuesta a la explotaci�n masiva por parte de m�ltiples actores de amenazas.

Cuando se encadenan, los dos zero-days permiten a los atacantes moverse lateralmente dentro de las redes de las v�ctimas, robar datos y establecer acceso persistente desplegando puertas traseras.

La lista de v�ctimas descubiertas hasta ahora incluye organizaciones gubernamentales y militares de todo el mundo, empresas nacionales de telecomunicaciones y contratistas de defensa, as� como organizaciones bancarias, financieras y contables y empresas aeroespaciales, de aviaci�n y tecnol�gicas.

Todas ellas var�an significativamente en tama�o, desde peque�as empresas hasta algunos de los mayores conglomerados multinacionales, incluidas varias empresas de Fortune 500 de diversos sectores industriales.

Mandiant encontr� cinco cepas de malware personalizadas desplegadas en estos extensos ataques que ayudan a los actores de la amenaza a robar credenciales, desplegar webshells y soltar cargas maliciosas adicionales.

Volexity y GreyNoise tambi�n han observado que los atacantes despliegan mineros de criptomoneda XMRig y cargas �tiles de malware basadas en Rust en los sistemas comprometidos de algunas v�ctimas.

Fuente: bleepingcomputer.