Ciberseguridad 360 | Ivanti soluciona vulnerabilidades críticas en Connect Secure y Policy Secure

Ivanti ha publicado actualizaciones de seguridad para solucionar m�ltiples fallos de seguridad que afectan a Connect Secure (ICS), Policy Secure (IPS) y Cloud Services Application (CSA) que podr�an aprovecharse para lograr la ejecuci�n arbitraria de c�digo.

La lista de vulnerabilidades es la siguiente:

CVE-2024-38657 (puntuaci�n CVSS: 9,1) - El control externo de un nombre de archivo en Ivanti Connect Secure antes de la versi�n 22.7R2.4 e Ivanti Policy Secure antes de la versi�n 22.7R1.3 permite a un atacante remoto autenticado con privilegios de administrador escribir archivos arbitrarios.

CVE-2025-22467 (puntuaci�n CVSS: 9,9) - Un desbordamiento de b�fer basado en pila en Ivanti Connect Secure antes de la versi�n 22.7R2.6 permite a un atacante remoto autenticado la ejecuci�n remota de c�digo.

CVE-2024-10644 (puntuaci�n CVSS: 9,1) - La inyecci�n de c�digo en Ivanti Connect Secure antes de la versi�n 22.7R2.4 e Ivanti Policy Secure antes de la versi�n 22.7R1.3 permite a un atacante remoto autenticado con privilegios de administrador ejecutar c�digo de forma remota.

CVE-2024-47908 (puntuaci�n CVSS: 9,1) - La inyecci�n de comandos del sistema operativo en la consola web de administraci�n de Ivanti CSA antes de la versi�n 5.0.5 permite a un atacante remoto autenticado con privilegios de administrador ejecutar c�digo de forma remota.

Las deficiencias se han subsanado en las siguientes versiones :

Ivanti Connect Secure 22.7R2.6

Ivanti Policy Secure 22.7R1.3

Ivanti CSA 5.0.5

La compa��a dijo que no tiene conocimiento de ninguno de los defectos que se explotan en la naturaleza. Sin embargo, dado que los dispositivos Ivanti est�n siendo utilizados repetidamente como armas por actores maliciosos, es imperativo que los usuarios tomen medidas para aplicar los �ltimos parches.

JPCERT/CC, en un informe publicado hoy, ha revelado que ha observado que CVE-2025-0282 -una vulnerabilidad ya parcheada que afecta a Ivanti Connect Secure- est� siendo explotada para distribuir una versi�n actualizada del marco de malware SPAWN denominada SPAWNCHIMERA.

"SPAWNCHIMERA es un malware que combina las funciones actualizadas de SPAWNANT, SPAWNMOLE y SPAWNSNAIL en una sola", explic� el investigador de seguridad Yuma Masubuchi, quien a�adi� que las modificaciones incluyen cambios en la comunicaci�n entre procesos para utilizar sockets de dominio UNIX y una funci�n para tapar el defecto de seguridad en un intento de evitar que otros actores lo exploten.

Ivanti tambi�n reconoci� que sus productos de borde han sido "blanco y explotados por sofisticados ataques de actores de amenazas" y que se est� esforzando por mejorar su software, aplicar principios de seguridad por dise�o y elevar el list�n ante posibles abusos por parte de adversarios.

"Aunque estos productos no son el objetivo final, son cada vez m�s la ruta en la que grupos de naciones con recursos centran sus esfuerzos para intentar campa�as de espionaje contra organizaciones de gran valor", declar� Daniel Spicer, CSO de Ivanti.

"Hemos mejorado el escaneo interno, la explotaci�n manual y las capacidades de prueba, aumentado la colaboraci�n y el intercambio de informaci�n con el ecosistema de seguridad, y mejorado a�n m�s nuestro proceso de divulgaci�n responsable, incluyendo convertirnos en una Autoridad de Numeraci�n CVE."

La noticia llega cuando Bishop Fox ha publicado todos los detalles t�cnicos de un fallo de seguridad ya parcheado en SonicWall SonicOS (CVE-2024-53704) que podr�a aprovecharse para eludir la autenticaci�n en firewall y permitir a los atacantes secuestrar sesiones SSL VPN activas para obtener acceso no autorizado.

A fecha de 7 de febrero de 2025, casi 4.500 servidores SonicWall SSL VPN orientados a Internet segu�an sin parches contra CVE-2024-53704.

En un movimiento similar, Akamai ha publicado su descubrimiento de dos vulnerabilidades en Fortinet FortiOS (CVE-2024-46666 y CVE-2024-46668) que un atacante no autenticado puede explotar para lograr la denegaci�n de servicio (DoS) y la ejecuci�n remota de c�digo. Los fallos fueron resueltos por Fortinet el 14 de enero de 2025.

Desde entonces, Fortinet tambi�n ha revisado su aviso sobre CVE-2024-55591 para destacar otro fallo identificado como CVE-2025-24472 (puntuaci�n CVSS: 8,1) que podr�a dar lugar a un bypass de autenticaci�n en dispositivos FortiOS y FortiProxy a trav�s de una solicitud de proxy CSF especialmente dise�ada.

La empresa atribuy� el descubrimiento y la notificaci�n del fallo a Sonny Macdonald, investigador de watchTowr Labs. Vale la pena se�alar que la vulnerabilidad ya ha sido parcheada junto con CVE-2024-55591, lo que significa que no se requiere ninguna acci�n del cliente si las correcciones para este �ltimo ya se han aplicado.

Fuente: thehackernews