En el cambiante panorama de la seguridad cibernética, la reciente noticia sobre la explotación de una vulnerabilidad en productos de Ivanti por actores estatales ha generado un alarmante punto de discusión. En este artículo exploraremos los detalles de este incidente.
Actores sospechosos implementaron hasta cinco tipos diferentes de malware como parte de actividades de explotación secundaria, utilizando dos vulnerabilidades de día cero en dispositivos VPN de Ivanti Connect Secure (ICS) desde principios de diciembre de 2023. "Estas familias de malware permiten a los atacantes eludir la autenticación y proporcionar acceso clandestino a estos dispositivos", según un análisis reciente. Una conocida empresa de inteligencia sobre amenazas, propiedad de Google, está monitoreando al grupo responsable bajo el nombre de UNC5221.
Los ataques se basan en una combinación de exploits que incluyen una vulnerabilidad de omisión de autenticación (CVE-2023-46805) y una de inyección de código (CVE-2024-21887), lo que permite tomar el control de las instancias afectadas.
Volexity, que atribuyó la actividad a un supuesto actor de espionaje chino conocido como UTA0178, informó que se usaron ambas fallas para obtener acceso inicial, instalar webshells, puertas traseras en archivos legítimos, capturar credenciales y datos de configuración, y moverse lateralmente dentro del entorno de la víctima.
Te podrá interesar leer: Fase 3 del Mitre ATT&CK: Movimiento Lateral
Según Ivanti, las intrusiones afectaron a menos de 10 clientes, lo que sugiere una campaña muy dirigida. Se espera que los parches para ambas vulnerabilidades, informalmente llamados ConnectAround, estén disponibles en la semana del 22 de enero.
El análisis de los ataques ha revelado la presencia de cinco familias distintas de malware personalizado, además de la inyección de código malicioso en archivos legítimos dentro de ICS y el uso de otras herramientas legítimas como BusyBox y PySoxy para facilitar la actividad posterior.
"Debido a que ciertas áreas del dispositivo son de solo lectura, los atacantes usaron un script Perl (sessionserver.pl) para volver a montar el sistema de archivos como lectura/escritura y habilitar la implementación de THINSPOOL, un dropper de scripts de shell que escribe el shell web LIGHTWIRE en un archivo legítimo de Connect Secure y otras herramientas de seguimiento", informó la empresa.
LIGHTWIRE es uno de los dos shells web utilizados, siendo el otro WIREFIRE. Ambos están diseñados para asegurar un acceso remoto persistente a los dispositivos comprometidos. LIGHTWIRE está escrito en Perl CGI, mientras que WIREFIRE está implementado en Python. Además, se usaron en los ataques un ladrón de credenciales basado en JavaScript llamado WARPWIRE y una puerta trasera pasiva conocida como ZIPLINE, capaz de descargar/cargar archivos, establecer un shell inverso, crear un servidor proxy y configurar un servidor de túneles para distribuir el tráfico entre múltiples puntos finales.
"Esto indica que los ataques no fueron oportunistas, sino que UNC5221 tenía la intención de mantener su presencia en un subconjunto selecto de objetivos de alta prioridad, incluso después de la inevitable implementación de un parche", agregó la empresa.
UNC5221 no se ha asociado con ningún grupo conocido anteriormente ni con un país específico, aunque el ataque a la infraestructura perimetral utilizando vulnerabilidades de día cero como arma y el uso de una infraestructura comprometida de comando y control (C2) para evadir la detección son características típicas de una amenaza persistente avanzada (APT).
"La actividad de UNC5221 demuestra que explotar y residir en el borde de las redes sigue siendo un objetivo viable y atractivo para los actores de espionaje", concluyó la empresa.
Te podrá interesar leer: Análisis de Malware con Wazuh
Nota: Ivanti ha modificado su comunicado para reflejar que "está al tanto de que menos de 20 clientes han sido impactados por las vulnerabilidades", en comparación con la cifra de "menos de 10" reportada originalmente el 10 de enero de 2024. Esto implica que es posible que el número aumente conforme más organizaciones utilicen la herramienta de comprobación de integridad para examinar sus dispositivos en busca de señales de compromiso.
En conclusión, el panorama de la ciberseguridad está en constante evolución, y los recientes incidentes involucrando vulnerabilidades en dispositivos VPN de Ivanti Connect Secure son un claro recordatorio de esta realidad. Con actores de amenazas sofisticados explotando vulnerabilidades de día cero y desplegando una gama de tácticas avanzadas para mantener el acceso a redes comprometidas, las organizaciones deben estar más vigilantes que nunca.
La actualización de Ivanti sobre el aumento de clientes afectados subraya la importancia de una respuesta rápida y eficaz a las alertas de seguridad y la necesidad de herramientas de verificación de integridad para identificar posibles compromisos. Este escenario resalta la urgencia de una colaboración continua entre empresas de seguridad, fabricantes de software y usuarios finales para fortalecer la infraestructura de ciberseguridad y proteger datos sensibles en un entorno digital cada vez más complejo.