Los piratas informáticos han comenzado a explotar en masa una tercera vulnerabilidad que afecta al ampliamente utilizado dispositivo VPN empresarial de Ivanti, según muestran nuevos datos públicos.
La semana pasada, Ivanti dijo que había descubierto dos nuevas fallas de seguridad, rastreadas como CVE-2024-21888 y CVE-2024-21893, que afectan a Connect Secure, su solución VPN de acceso remoto utilizada por miles de corporaciones y grandes organizaciones en todo el mundo. Según su sitio web, Ivanti tiene más de 40.000 clientes, incluidas universidades, organizaciones sanitarias y bancos, cuya tecnología permite a sus empleados iniciar sesión desde fuera de la oficina.
La divulgación se produjo poco después de que Ivanti confirmara dos errores anteriores en Connect Secure, rastreados como CVE-2023-46805 y CVE-2024-21887, que los investigadores de seguridad dijeron que los piratas informáticos respaldados por China habían estado explotando desde diciembre para irrumpir en las redes de los clientes y robar información. .
Ahora los datos muestran que una de las fallas recientemente descubiertas (CVE-2024-21893, una falla de falsificación de solicitudes del lado del servidor) está siendo explotada masivamente.
Aunque desde entonces Ivanti ha parcheado las vulnerabilidades, los investigadores de seguridad esperan que se produzca un mayor impacto en las organizaciones a medida que más grupos de piratas informáticos exploten la falla. Steven Adair, fundador de la empresa de ciberseguridad Volexity, una empresa de seguridad que ha estado rastreando la explotación de las vulnerabilidades de Ivanti, advirtió que ahora que el código de prueba de concepto de explotación es público, «cualquier dispositivo sin parches accesible a través de Internet probablemente se haya visto comprometido varias veces». encima.»
Piotr Kijewski, director ejecutivo de Shadowserver Foundation, una organización sin fines de lucro que escanea y monitorea Internet en busca de explotación, dijo a TechCrunch el jueves que la organización ha observado más de 630 IP únicas que intentan explotar la falla del lado del servidor, que permite a los atacantes obtener acceso. a datos en dispositivos vulnerables.
Eso es un fuerte aumento en comparación con la semana pasada cuando Shadowserver dijo había observado 170 IP únicas intentando explotar la vulnerabilidad.
Un análisis de la nueva falla del lado del servidor muestra que el error se puede explotar para evitar la mitigación original de Ivanti para la cadena de explotación inicial que involucra las dos primeras vulnerabilidades, haciendo que esas mitigaciones previas al parche sean discutibles.
Kijewski añadió que Shadowserver está observando actualmente alrededor de 20.800 dispositivos Ivanti Connect Secure expuestos a Internet, frente a los 22.500 de la semana pasada, aunque señaló que no se sabe cuántos de estos dispositivos Ivanti son vulnerables a la explotación.
No está claro quién está detrás de la explotación masiva, pero los investigadores de seguridad atribuyeron la explotación de los dos primeros errores de Connect Secure a un grupo de hackers respaldado por el gobierno de China, probablemente motivado por el espionaje.
Ivanti dijo anteriormente que estaba al tanto de la explotación «dirigida» del error del lado del servidor dirigida a un «número limitado de clientes». A pesar de las repetidas solicitudes de TechCrunch esta semana, Ivanti no quiso comentar sobre los informes de que la falla está siendo explotada masivamente, pero no cuestionó los hallazgos de Shadowserver.
Ivanti comenzó a lanzar parches para los clientes para todas las vulnerabilidades junto con un segundo conjunto de mitigaciones a principios de este mes. Sin embargo, Ivanti señala en su aviso de seguridad, actualizado por última vez el 2 de febrero, que «primero lanza parches para el mayor número de instalaciones y luego continúa en orden decreciente».
No se sabe cuándo Ivanti pondrá los parches a disposición de todos sus clientes potencialmente vulnerables.
Los informes de otra falla de Ivanti explotada masivamente llegan días después de que la agencia de ciberseguridad estadounidense CISA ordenara a las agencias federales que desconectaran urgentemente todos los dispositivos VPN de Ivanti. La advertencia de la agencia hizo que CISA les diera a las agencias solo dos días para desconectar los electrodomésticos, citando la «seria amenaza» que plantean las vulnerabilidades bajo ataque activo.