Recientemente, se ha descubierto que hackers vinculados a China han explotado dos vulnerabilidades de día cero en los dispositivos Ivanti Connect Secure (ICS) y Policy Secure. Estos ataques han afectado a menos de 10 clientes, según informes de Volexity y otros medios de seguridad cibernética.
Las Vulnerabilidades Explotadas – Ivanti Connect Secure
Las dos vulnerabilidades críticas identificadas son:
- CVE-2023-46805 (Puntuación CVSS: 8.2): Una vulnerabilidad de omisión de autenticación en el componente web de Ivanti Connect Secure y Policy Secure, que permite a un atacante remoto acceder a recursos restringidos eludiendo los controles de seguridad.
- CVE-2024-21887 (Puntuación CVSS: 9.1): Una vulnerabilidad de inyección de comandos en los componentes web de Ivanti Connect Secure y Policy Secure, que permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo.
Estas vulnerabilidades pueden combinarse para tomar control de instancias susceptibles a través de Internet.
Impacto y Respuesta
Los atacantes utilizaron estas vulnerabilidades para robar datos de configuración, modificar archivos existentes, descargar archivos remotos y crear túneles inversos desde el dispositivo VPN ICS.
Además, se modificó un archivo CGI legítimo en el dispositivo VPN ICS para permitir la ejecución de comandos y se alteró un archivo JavaScript en la página de inicio de sesión de la VPN SSL web para registrar pulsaciones de teclas y exfiltrar credenciales.
Ivanti ha anunciado que lanzará parches de forma escalonada a partir del 22 de enero de 2024. Mientras tanto, se recomienda a los usuarios aplicar una solución provisional para protegerse contra posibles amenazas.
Recomendaciones de Seguridad
- Aplicar inmediatamente las soluciones provisionales proporcionadas por Ivanti.
- Monitorear la actividad en los dispositivos afectados para detectar cualquier comportamiento sospechoso.
- Estar atentos a las actualizaciones y aplicar los parches tan pronto como estén disponibles.
Conclusión
Este incidente subraya la importancia de una vigilancia constante y una respuesta rápida a las vulnerabilidades de seguridad. Las organizaciones deben estar preparadas para actuar rápidamente ante tales amenazas para proteger sus datos y sistemas críticos.