Los piratas informáticos malintencionados han comenzado a explotar en masa dos vulnerabilidades críticas de día cero en el dispositivo VPN corporativo ampliamente utilizado de Ivanti.
Esto es según la empresa de ciberseguridad Volexity, que informó por primera vez la semana pasada que los piratas informáticos respaldados por el estado de China están explotando las dos fallas no parcheadas en Ivanti Connect Secure, rastreadas como CVE-2023-46805 y CVE-2024-21887, para ingresar a las redes de los clientes y robar. información. En ese momento, Ivanti dijo que tenía conocimiento de «menos de 10 clientes» afectados por las fallas de «día cero», descritas como tales dado que Ivanti no tuvo tiempo de corregir las fallas antes de que fueran explotadas.
En una publicación de blog actualizada publicada el lunes, Volexity dice que ahora tiene evidencia de explotación masiva.
Según Volexity, hasta el momento más de 1.700 dispositivos Ivanti Connect Secure en todo el mundo han sido explotados, afectando a organizaciones de las industrias aeroespacial, bancaria, de defensa, gubernamental y de telecomunicaciones.
«Las víctimas están distribuidas globalmente y varían mucho en tamaño, desde pequeñas empresas hasta algunas de las organizaciones más grandes del mundo, incluidas múltiples empresas Fortune 500 en múltiples sectores verticales», dijo Volexity. Los investigadores de la firma de seguridad agregaron que los dispositivos VPN de Ivanti fueron «atacados indiscriminadamente», con víctimas corporativas en todo el mundo.
Pero Volexity señala que es probable que el número de organizaciones comprometidas sea mucho mayor. La organización sin fines de lucro Shadowserver Foundation, rastreadora de amenazas a la seguridad, tiene datos que muestran más de 17.000 dispositivos Ivanti VPN visibles en Internet en todo el mundo, incluidos más de 5.000 dispositivos en los Estados Unidos.
Ivanti confirmó en su aviso actualizado el martes que sus propios hallazgos son «consistentes» con las nuevas observaciones de Volexity y que los ataques masivos parecen haber comenzado el 11 de enero, un día después de que Ivanti revelara las vulnerabilidades. En una declaración proporcionada a través de la agencia de relaciones públicas MikeWorldWide, Ivanti le dijo a TechCrunch que ha «visto un fuerte aumento en la actividad de los actores de amenazas y los análisis de los investigadores de seguridad».
Cuando se contactó el martes, la portavoz de Volexity, Kristel Faris, dijo a TechCrunch que la empresa de seguridad está en contacto con Ivanti, que está «respondiendo a un aumento en las solicitudes de soporte lo más rápido posible».
A pesar de la explotación masiva, Ivanti aún no ha publicado parches. Ivanti dijo que planea publicar correcciones de forma «escalonada» a partir de la semana del 22 de enero. Mientras tanto, se recomienda a los administradores que apliquen las medidas de mitigación proporcionadas por Ivanti en todos los dispositivos VPN afectados en su red. Ivanti recomienda a los administradores restablecer contraseñas y claves API, y revocar y volver a emitir cualquier certificado almacenado en los dispositivos afectados.
No hay ransomware… todavía
Volexity inicialmente atribuyó la explotación de los dos días cero de Ivanti a un grupo de hackers respaldado por China al que rastrea como UTA0178. Volexity dijo que tenía pruebas de explotación ya el 3 de diciembre.
Mandiant, que también está rastreando la explotación de las vulnerabilidades de Ivanti, dijo que no ha vinculado la explotación con un grupo de hackers previamente conocido, pero dijo que sus hallazgos, combinados con los de Volexity, llevan a Mandiant a atribuir los hacks a «una campaña APT motivada por el espionaje, ”sugiriendo una participación respaldada por el gobierno.
Volexity dijo esta semana que ha visto grupos de piratas informáticos adicionales, específicamente un grupo al que llama UTA0188, explotar las fallas para comprometer dispositivos vulnerables, pero se negó a compartir detalles adicionales sobre el grupo, o sus motivos, cuando TechCrunch le preguntó.
Volexity le dijo a TechCrunch que no ha visto evidencia de que el ransomware esté involucrado en los ataques masivos en este momento. «Sin embargo, anticipamos plenamente que eso sucederá si el código de prueba de concepto se hace público», añadió Faris.
Los investigadores de seguridad ya han señalado la existencia de un código de prueba de concepto capaz de explotar los días cero de Ivanti.