Ivanti, una empresa líder en soluciones de gestión de dispositivos y seguridad, ha revelado dos nuevas vulnerabilidades de día cero que afectan a sus productos VPN Connect Secure y Policy Secure. Estas vulnerabilidades permiten a los atacantes ejecutar comandos arbitrarios en los dispositivos con privilegios elevados, sin necesidad de autenticación. Ivanti ha confirmado que estas vulnerabilidades están siendo explotadas activamente por actores de amenazas en la naturaleza.
Las vulnerabilidades de día cero son fallos de seguridad que no han sido descubiertos ni corregidos por los desarrolladores del software afectado. Esto significa que los atacantes pueden aprovecharlos para comprometer los sistemas antes de que se publiquen los parches o las actualizaciones. Estas vulnerabilidades suelen ser muy valiosas para los atacantes, ya que les dan una ventaja sobre las defensas de las víctimas.
Conoce más sobre: Protección contra Amenazas de Día Cero con Azure Sentinel
Ivanti ha emitido una advertencia acerca de dos nuevas vulnerabilidades críticas en sus productos Connect Secure y Policy Secure. Se ha informado que una de estas vulnerabilidades ha sido explotada selectivamente en la naturaleza.
Las vulnerabilidades identificadas son las siguientes:
1. CVE-2024-21888 (CVSS: 8.8): Esta vulnerabilidad, presente en las versiones 9.x y 22.x de Ivanti Connect Secure y Policy Secure, permite a un usuario elevar sus privilegios al nivel de administrador mediante una escalada de privilegios.
2. CVE-2024-21893 (CVSS: 8.2): Esta vulnerabilidad, encontrada en las versiones 9.x y 22.x de Ivanti Connect Secure, Policy Secure, y Ivanti Neurons para ZTA, permite a un atacante acceder a recursos restringidos sin autenticación a través de una falsificación de solicitudes del lado del servidor.
Hasta el momento, la empresa no ha encontrado pruebas de que los clientes hayan sido afectados por CVE-2024-21888, pero ha reconocido que CVE-2024-21893 parece ser el objetivo de ataques selectivos.
Te podrá interesar: Identificando vulnerabilidades: El poder de las CVE
Además, Ivanti ha expresado su preocupación por un aumento en la explotación de estas vulnerabilidades una vez que se haga pública la información, y espera un cambio en el comportamiento de los actores de amenazas.
La empresa ha publicado correcciones para las versiones 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 y 22.5R1.1 de Connect Secure, así como para la versión 22.6R1 de ZTA. También se recomienda a los clientes que, como medida de precaución, restablezcan sus dispositivos a la configuración de fábrica antes de aplicar los parches, para evitar que los actores de amenazas logren una persistencia de actualización en sus entornos. Este proceso podría tomar entre 3 y 4 horas.
Como solución temporal para abordar CVE-2024-21888 y CVE-2024-21893, se aconseja a los usuarios importar el archivo "mitigation.release.20240126.5.xml".
Esta información surge en el contexto de otras dos vulnerabilidades previamente identificadas en el mismo producto (CVE-2023-46805 y CVE-2024-21887), que han sido explotadas por varios actores de amenazas para actividades maliciosas como la creación de puertas traseras, la minería de criptomonedas y la distribución de un cargador basado en Rust denominado KrustyLoader.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido un nuevo aviso, alertando que los adversarios están aprovechando estas deficiencias para obtener credenciales y lanzar ataques a las redes empresariales. Se destaca que algunos actores de amenazas sofisticados han encontrado maneras de evadir las medidas de mitigación y detección actuales, lo que les permite moverse lateralmente y aumentar sus privilegios sin ser detectados, incluso subvirtiendo la herramienta de verificación de integridad externa (TIC) para minimizar los rastros de su intrusión.
Podría interesarte leer: ¿Tu software está al día?: Importancia de los Parches
Las vulnerabilidades de día cero, como las recientemente reveladas por Ivanti, representan un riesgo significativo para la seguridad empresarial. Comprender estas amenazas y cómo pueden afectar a tu negocio es el primer paso para protegerse. Implementar prácticas de seguridad sólidas y mantenerse informado son esenciales para defenderse contra estas y otras amenazas cibernéticas. La seguridad informática es un esfuerzo continuo y requiere atención y recursos constantes para proteger los activos digitales de tu empresa.