Ivanti ha revelado dos ataques de día cero de Connect Secure (ICS) y Policy Secure explotados en la naturaleza que pueden permitir a atacantes remotos ejecutar comandos arbitrarios en puertas de enlace específicas.
La primera falla de seguridad (CVE-2023-46805) es una omisión de autenticación en el componente web de las puertas de enlace, lo que permite a los atacantes acceder a recursos restringidos eludiendo las comprobaciones de control, mientras que la segunda (seguida como CVE-2024-21887) es una vulnerabilidad de inyección de comandos. que permite a los administradores autenticados ejecutar comandos arbitrarios en dispositivos vulnerables mediante el envío de solicitudes especialmente diseñadas.
Al encadenar los dos días cero, según informaron Mandiant y Volexity, los atacantes pueden ejecutar comandos arbitrarios en todas las versiones compatibles de los productos afectados.
«Si CVE-2024-21887 se usa junto con CVE-2023-46805, la explotación no requiere autenticación y permite a un actor de amenazas crear solicitudes maliciosas y ejecutar comandos arbitrarios en el sistema», dijo Ivanti.
«Estamos brindando mitigación ahora mientras el parche está en desarrollo para priorizar el mejor interés de nuestros clientes. Es fundamental que tome medidas de inmediato para garantizar que esté completamente protegido».
La compañía dice que los parches estarán disponibles en un cronograma escalonado, con «la primera versión prevista para estar disponible para los clientes la semana del 22 de enero y la versión final prevista para la semana del 19 de febrero».
Hasta que los parches estén disponibles, los días cero se pueden mitigar importando el archivo mitigation.release.20240107.1.xml disponible para los clientes a través del portal de descargas de Ivanti.
Nagios es un poderoso sistema de monitoreo de infraestructuras TI que permite a las
organizaciones identificar y resolver problemas antes de que afecten los procesos comerciales críticos.Conocer..
Días cero explotados en ataques
Ivanti dice que los dos días cero ya han sido explotados en ataques dirigidos a un pequeño número de clientes.
La empresa de inteligencia de amenazas Volexity, que detectó la explotación de los días cero en diciembre, cree que el atacante es un actor de amenazas respaldado por el estado chino.
«Somos conscientes de que menos de 10 clientes se han visto afectados por las vulnerabilidades. No podemos discutir los detalles específicos de nuestros clientes», reveló la empresa.
«Hemos visto evidencia de actores de amenazas que intentan manipular el verificador de integridad interno (TIC) de Ivanti. Por precaución, recomendamos que todos los clientes ejecuten las TIC externas».
«Según nuestro análisis, Ivanti no ha encontrado ningún indicio de que esta vulnerabilidad se haya introducido maliciosamente en nuestro proceso de desarrollo de código. Ivanti no tiene ningún indicio de que haya sido comprometida».
Según lo informado por Shodan, según una cadena de búsqueda compartida por el experto en seguridad Kevin Beaumont, más de 15.000 puertas de enlace Connect Secure (ICS) y Policy Secure están actualmente expuestas en línea.
Beaumont también advirtió hoy que los dos días cero se utilizan en ataques y permiten eludir MFA y ejecutar código.
La semana pasada, Ivanti dijo que atacantes no autenticados podrían abusar de una vulnerabilidad crítica de ejecución remota de código (RCE) (CVE-2023-39336) en su software Endpoint Management (EPM) para secuestrar dispositivos inscritos o el servidor central.
En julio, los piratas informáticos estatales exploraron otros dos días cero (CVE-2023-35078 y CVE-2023-35081) en Endpoint Manager Mobile (EPMM) de Ivanti para violar las redes de varias organizaciones gubernamentales noruegas.
Un mes después, los piratas informáticos explotaron una tercera falla de día cero (CVE-2023-38035) en el software Sentry de Ivanti para evitar la autenticación API en dispositivos vulnerables.
Los productos de Ivanti son utilizados por más de 40.000 empresas en todo el mundo para gestionar sus activos y sistemas de TI.
Fuente: bleepingcomputer
