Ciberseguridad 360 | Vulnerabilidad de Ivanti deja más de 670 infraestructuras de TI afectadas

Los actores de amenazas est�n aprovechando un fallo de seguridad recientemente revelado que afecta a las pasarelas Ivanti Connect Secure, Policy Secure y ZTA para desplegar una puerta trasera con el nombre en clave DSLog en dispositivos susceptibles.

As� lo afirma Orange Cyberdefense, que ha observado la explotaci�n de CVE-2024-21893 pocas horas despu�s de la publicaci�n del c�digo de prueba de concepto (PoC).

CVE-2024-21893, que fue revelado por Ivanti a finales del mes pasado junto con CVE-2024-21888, se refiere a una vulnerabilidad de falsificaci�n de petici�n del lado del servidor (SSRF) en el m�dulo SAML que, si se explota con �xito, podr�a permitir el acceso a recursos restringidos sin ning�n tipo de autenticaci�n.

La empresa con sede en Utah ha reconocido desde entonces que el fallo ha limitado los ataques selectivos, aunque no est� claro el alcance exacto de los ataques.

La semana pasada, la Shadowserver Foundation revel� un aumento de los intentos de explotaci�n de la vulnerabilidad procedentes de m�s de 170 direcciones IP �nicas, poco despu�s de que Rapid7 y AssetNote compartieran detalles t�cnicos adicionales.

El �ltimo an�lisis de Orange Cyberdefense muestra que ya el 3 de febrero se detectaron ataques dirigidos a un cliente an�nimo para inyectar una puerta trasera que permite el acceso remoto persistente.

"El backdoor se inserta en un archivo Perl existente llamado 'DSLog.pm'", dijo la compa��a, destacando un patr�n en curso en el que los componentes leg�timos existentes - en este caso, un m�dulo de registro - se modifican para a�adir el c�digo malicioso.

DSLog, el implante, viene equipado con sus propios trucos para dificultar el an�lisis y la detecci�n, incluyendo la incrustaci�n de un hash �nico por dispositivo, lo que hace imposible utilizar el hash para ponerse en contacto con la misma puerta trasera en otro dispositivo.

El mismo valor hash es suministrado por los atacantes al campo de cabecera User-Agent en una petici�n HTTP al dispositivo para permitir al malware extraer el comando a ejecutar de un par�metro de consulta llamado "cdi". A continuaci�n, la instrucci�n descodificada se ejecuta como usuario root.

"La shell web no devuelve el estado/c�digo cuando se intenta contactar con ella", afirma Orange Cyberdefense. "No hay forma conocida de detectarlo directamente".

Adem�s, observ� indicios de que los autores de la amenaza hab�an borrado registros ".access" en "m�ltiples" dispositivos en un intento de ocultar el rastro forense y pasar desapercibidos.

Pero al comprobar los artefactos que se crearon al activar la vulnerabilidad SSRF, la empresa dijo que fue capaz de detectar 670 activos comprometidos durante una exploraci�n inicial el 3 de febrero, un n�mero que se ha reducido a 524 a partir del 7 de febrero.

A la luz de la continua explotaci�n de los dispositivos Ivanti, se recomienda encarecidamente que "todos los clientes restablezcan de f�brica su dispositivo antes de aplicar el parche para evitar que el actor de la amenaza obtenga persistencia de actualizaci�n en su entorno."

Fuente: thehackernews.com