Ivanti, la empresa de acceso remoto cuyos productos de acceso remoto se han visto afectados por graves ataques en los últimos meses, ha prometido una «nueva era», una que «transforme fundamentalmente el modelo operativo de seguridad de Ivanti» respaldada por «una inversión significativa» y pleno soporte del tablero.

La carta abierta del CEO Jeff Abbott promete renovar «la ingeniería central, la seguridad y la gestión de vulnerabilidades», hacer que todos los productos sean «seguros por diseño», formalizar las asociaciones con agencias de ciberdefensa y «compartir información y aprendizaje con nuestros clientes». Entre los detalles está la promesa de la compañía de mejorar las capacidades de búsqueda en el portal de documentación y recursos de seguridad de Ivanti, «impulsado por IA», y un «sistema de respuesta de voz interactiva» para enrutar llamadas y alertar a los clientes sobre problemas de seguridad, también «impulsado por IA».

Ivanti y Abbott parecen haber estado trabajando en esta presentación por un tiempo, por lo que es poco probable que hubieran sabido que llegaría pocos días después de que se revelaran cuatro nuevas vulnerabilidades para sus productos de puerta de enlace Connect Secure y Policy Secure, dos de ellas calificadas como de alta gravedad. . Esas vulnerabilidades se produjeron dos semanas después de otras dos vulnerabilidades, clasificadas como críticas, con ejecución remota de código. Y esto siguió a «una ola de explotación ininterrumpida de tres semanas» a principios de febrero, que dejó a los directores de seguridad luchando por parchar y restaurar servicios o, como hicieron las agencias civiles federales, reconstruir sus servidores desde cero.

Debido a que Ivanti fabrica productos VPN que se han utilizado ampliamente en grandes organizaciones, incluidas agencias gubernamentales, es un objetivo rico para los actores de amenazas y un objetivo que parece particularmente fácil en los últimos años. Connect Secure de Ivanti, un dispositivo VPN a menudo abreviado como ICS, funciona como un guardián que permite que los dispositivos autorizados se conecten.

Debido a su amplio despliegue y estado siempre activo, un ICS ha sido un objetivo rico, particularmente para los actores a nivel de estado-nación y los intrusos con motivaciones financieras. ICS (anteriormente conocida como Pulse Connect) ha tenido vulnerabilidades de día cero explotadas previamente en 2019 y 2021. Una vulnerabilidad de PulseSecure llevó a la empresa de cambio de dinero Travelex a trabajar completamente en papel a principios de 2020 después de que la empresa de ransomware REvil se aprovechara de la incapacidad de la empresa para parchear una vulnerabilidad de meses de antigüedad.

Si bien algunos profesionales de la seguridad han dado crédito a la empresa, en ocasiones, por trabajar duro para encontrar y revelar nuevas vulnerabilidades, el gran volumen y cadencia de vulnerabilidades que requieren contramedidas serias seguramente se ha quedado con algunos. «No veo cómo Ivanti sobrevive como marca de firewall empresarial», dijo el investigador de seguridad Jake Williams al blog Dark Reading a mediados de febrero.

De ahí la carta abierta, la «nueva era», el «gran cambio» y todas las demás promesas que ha hecho Ivanti. «Ya hemos comenzado a aplicar lo aprendido en incidentes recientes para hacer inmediato (énfasis de Abbott) mejoras a nuestras propias prácticas de ingeniería y seguridad. Y hay más por venir», afirma la carta. Aprendizajes, claro está.

La Agencia de Seguridad Nacional de EE. UU. ha confirmado que los piratas informáticos que explotan fallas en el dispositivo VPN empresarial ampliamente utilizado de Ivanti han apuntado a organizaciones de todo el sector de defensa de EE. UU.

El portavoz de la NSA, Edward Bennett, confirmó en una declaración enviada por correo electrónico a TechCrunch el viernes que la agencia de inteligencia estadounidense, junto con sus homólogos interinstitucionales, está «siguiendo y siendo consciente del amplio impacto de la reciente explotación de los productos Ivanti, incluido el [sic] Sector de defensa estadounidense”.

«El [NSA’s] El Centro de Colaboración en Ciberseguridad continúa trabajando con nuestros socios para detectar y mitigar esta actividad”, añadió el portavoz.

La confirmación de que la NSA está rastreando estos ciberataques se produce días después de que Mandiant informara que presuntos piratas informáticos de espionaje chinos han realizado “intentos masivos” para explotar múltiples vulnerabilidades que afectan a Ivanti Connect Secure, el popular software VPN de acceso remoto utilizado por miles de corporaciones y grandes organizaciones en todo el mundo.

Mandiant dijo a principios de esta semana que los piratas informáticos respaldados por China, rastreados como un grupo de amenazas al que llama UNC5325, se habían dirigido a organizaciones de una variedad de industrias. Esto incluye el sector base industrial de defensa de Estados Unidos, una red mundial de miles de organizaciones del sector privado que proporcionan equipos y servicios al ejército estadounidense, dijo Mandiant, citando hallazgos anteriores de la firma de seguridad Volexity.

En su análisis, Mandiant dijo que UNC5325 demuestra un “conocimiento significativo” del dispositivo Ivanti Connect Secure y ha empleado técnicas de supervivencia (el uso de herramientas y características legítimas que ya se encuentran en el sistema objetivo) para evadir mejor la detección, Mandiant dicho. Los piratas informáticos respaldados por China también han implementado un nuevo malware «en un intento de permanecer integrado en los dispositivos Ivanti, incluso después de restablecimientos de fábrica, actualizaciones del sistema y parches».

Esto se hizo eco en un aviso publicado por la agencia de ciberseguridad estadounidense CISA el jueves, que advirtió que los piratas informáticos que explotan los dispositivos VPN vulnerables de Ivanti pueden mantener la persistencia a nivel de raíz incluso después de realizar restablecimientos de fábrica. La agencia federal de ciberseguridad dijo que sus propias pruebas independientes mostraron que los atacantes exitosos son capaces de engañar a la herramienta Integrity Checker de Ivanti, lo que puede resultar en una «falla al detectar el compromiso».

En respuesta a los hallazgos de CISA, el director de seguridad de la información de campo de Ivanti, Mike Riemer, minimizó los hallazgos de CISA y le dijo a TechCrunch que Ivanti no cree que las pruebas de CISA funcionen en un entorno de cliente real. Riemer agregó que Ivanti «no tiene conocimiento de ningún caso de persistencia exitosa de actores de amenazas luego de la implementación de las actualizaciones de seguridad y restablecimientos de fábrica recomendados por Ivanti».

Aún se desconoce exactamente cuántos clientes de Ivanti se ven afectados por la explotación generalizada de las vulnerabilidades de Connect Secure, que comenzó en enero.

Akamai dijo en un análisis publicado la semana pasada que los piratas informáticos lanzan aproximadamente 250.000 intentos de explotación cada día y se han dirigido a más de 1.000 clientes.

Los piratas informáticos han comenzado a explotar en masa una tercera vulnerabilidad que afecta al ampliamente utilizado dispositivo VPN empresarial de Ivanti, según muestran nuevos datos públicos.

La semana pasada, Ivanti dijo que había descubierto dos nuevas fallas de seguridad, rastreadas como CVE-2024-21888 y CVE-2024-21893, que afectan a Connect Secure, su solución VPN de acceso remoto utilizada por miles de corporaciones y grandes organizaciones en todo el mundo. Según su sitio web, Ivanti tiene más de 40.000 clientes, incluidas universidades, organizaciones sanitarias y bancos, cuya tecnología permite a sus empleados iniciar sesión desde fuera de la oficina.

La divulgación se produjo poco después de que Ivanti confirmara dos errores anteriores en Connect Secure, rastreados como CVE-2023-46805 y CVE-2024-21887, que los investigadores de seguridad dijeron que los piratas informáticos respaldados por China habían estado explotando desde diciembre para irrumpir en las redes de los clientes y robar información. .

Ahora los datos muestran que una de las fallas recientemente descubiertas (CVE-2024-21893, una falla de falsificación de solicitudes del lado del servidor) está siendo explotada masivamente.

Aunque desde entonces Ivanti ha parcheado las vulnerabilidades, los investigadores de seguridad esperan que se produzca un mayor impacto en las organizaciones a medida que más grupos de piratas informáticos exploten la falla. Steven Adair, fundador de la empresa de ciberseguridad Volexity, una empresa de seguridad que ha estado rastreando la explotación de las vulnerabilidades de Ivanti, advirtió que ahora que el código de prueba de concepto de explotación es público, «cualquier dispositivo sin parches accesible a través de Internet probablemente se haya visto comprometido varias veces». encima.»

Piotr Kijewski, director ejecutivo de Shadowserver Foundation, una organización sin fines de lucro que escanea y monitorea Internet en busca de explotación, dijo a TechCrunch el jueves que la organización ha observado más de 630 IP únicas que intentan explotar la falla del lado del servidor, que permite a los atacantes obtener acceso. a datos en dispositivos vulnerables.

Eso es un fuerte aumento en comparación con la semana pasada cuando Shadowserver dijo había observado 170 IP únicas intentando explotar la vulnerabilidad.

Un análisis de la nueva falla del lado del servidor muestra que el error se puede explotar para evitar la mitigación original de Ivanti para la cadena de explotación inicial que involucra las dos primeras vulnerabilidades, haciendo que esas mitigaciones previas al parche sean discutibles.

Kijewski añadió que Shadowserver está observando actualmente alrededor de 20.800 dispositivos Ivanti Connect Secure expuestos a Internet, frente a los 22.500 de la semana pasada, aunque señaló que no se sabe cuántos de estos dispositivos Ivanti son vulnerables a la explotación.

No está claro quién está detrás de la explotación masiva, pero los investigadores de seguridad atribuyeron la explotación de los dos primeros errores de Connect Secure a un grupo de hackers respaldado por el gobierno de China, probablemente motivado por el espionaje.

Ivanti dijo anteriormente que estaba al tanto de la explotación «dirigida» del error del lado del servidor dirigida a un «número limitado de clientes». A pesar de las repetidas solicitudes de TechCrunch esta semana, Ivanti no quiso comentar sobre los informes de que la falla está siendo explotada masivamente, pero no cuestionó los hallazgos de Shadowserver.

Ivanti comenzó a lanzar parches para los clientes para todas las vulnerabilidades junto con un segundo conjunto de mitigaciones a principios de este mes. Sin embargo, Ivanti señala en su aviso de seguridad, actualizado por última vez el 2 de febrero, que «primero lanza parches para el mayor número de instalaciones y luego continúa en orden decreciente».

No se sabe cuándo Ivanti pondrá los parches a disposición de todos sus clientes potencialmente vulnerables.

Los informes de otra falla de Ivanti explotada masivamente llegan días después de que la agencia de ciberseguridad estadounidense CISA ordenara a las agencias federales que desconectaran urgentemente todos los dispositivos VPN de Ivanti. La advertencia de la agencia hizo que CISA les diera a las agencias solo dos días para desconectar los electrodomésticos, citando la «seria amenaza» que plantean las vulnerabilidades bajo ataque activo.

La explotación masiva comenzó durante el fin de semana de otra vulnerabilidad crítica en el software VPN ampliamente utilizado vendido por Ivanti, a medida que los piratas informáticos que ya atacaban dos vulnerabilidades anteriores se diversificaron, dijeron investigadores el lunes.

La nueva vulnerabilidad, identificada como CVE-2024-21893, es lo que se conoce como falsificación de solicitudes del lado del servidor. Ivanti lo reveló el 22 de enero, junto con una vulnerabilidad separada que hasta ahora no ha mostrado signos de ser explotada. El miércoles pasado, nueve días después, Ivanti dijo que CVE-2024-21893 estaba bajo explotación activa, agravando unas semanas ya caóticas. Todas las vulnerabilidades afectan a los productos Connect Secure y Policy Secure VPN de Ivanti.

Una reputación empañada y profesionales de la seguridad maltratados

La nueva vulnerabilidad salió a la luz cuando otras dos vulnerabilidades ya estaban bajo explotación masiva, principalmente por un grupo de piratas informáticos que, según los investigadores, está respaldado por el gobierno chino. Ivanti proporcionó orientación para la mitigación de las dos vulnerabilidades el 11 de enero y lanzó un parche adecuado la semana pasada. Mientras tanto, la Agencia de Seguridad de Infraestructura y Ciberseguridad ordenó a todas las agencias federales bajo su autoridad desconectar los productos Ivanti VPN de Internet hasta que se reconstruyan desde cero y ejecuten la última versión del software.

Para el domingo, los ataques dirigidos a CVE-2024-21893 se habían multiplicado, desde lo que Ivanti dijo que era un «pequeño número de clientes» hasta una base masiva de usuarios, según mostró una investigación de la organización de seguridad Shadowserver. La línea pronunciada en el extremo derecho del siguiente gráfico sigue el meteórico aumento de la vulnerabilidad a partir del viernes. En el momento en que se publicó esta publicación de Ars, el volumen de explotación de la vulnerabilidad superó el de CVE-2023-46805 y CVE-2024-21887, las vulnerabilidades anteriores de Ivanti bajo ataque activo.

Los sistemas que habían sido vacunados contra las dos vulnerabilidades más antiguas siguiendo el proceso de mitigación de Ivanti permanecieron completamente abiertos a la vulnerabilidad más nueva, un estado que probablemente los hizo atractivos para los piratas informáticos. Hay algo más que hace que CVE-2024-21893 sea atractivo para los actores de amenazas: debido a que reside en la implementación de Ivanti del lenguaje de marcado de afirmación de seguridad de código abierto (que maneja la autenticación y autorización entre partes), las personas que explotan el error pueden eludir las medidas de autenticación normales y obtener acceder directamente a los controles administrativos del servidor subyacente.

La explotación probablemente recibió un impulso gracias al código de prueba de concepto publicado por la firma de seguridad Rapid7 el viernes, pero el exploit no fue el único contribuyente. Shadowserver dijo que comenzó a ver exploits funcionales unas horas antes del lanzamiento de Rapid7. Todos los diferentes exploits funcionan más o menos de la misma manera. La autenticación en las VPN de Ivanti se produce a través de la función doAuthCheck en un binario de servidor web HTTP ubicado en /root/home/bin/web. El punto final /dana-ws/saml20.ws no requiere autenticación. Cuando se publicó esta publicación de Ars, Shadowserver contó un poco más de 22,000 instancias de Connect Secure y Policy Secure.

Las VPN son un objetivo ideal para los piratas informáticos que buscan acceso a lo más profundo de una red. Los dispositivos, que permiten a los empleados iniciar sesión en portales de trabajo mediante una conexión cifrada, se encuentran en el borde mismo de la red, donde responden a las solicitudes de cualquier dispositivo que conozca la configuración correcta del puerto. Una vez que los atacantes establecen una cabeza de puente en una VPN, a menudo pueden recurrir a partes más sensibles de una red.

La ola de tres semanas de explotación ininterrumpida ha empañado la reputación de seguridad de Ivanti y ha golpeado a los profesionales de la seguridad mientras luchan (a menudo en vano) para detener el flujo de compromisos. Para agravar el problema, se produjo un tiempo de parche lento que no cumplió con la fecha límite del 24 de enero de Ivanti por una semana. Para empeorar aún más las cosas: los piratas informáticos descubrieron cómo eludir los consejos de mitigación que Ivanti proporcionó para el primer par de vulnerabilidades.

Dados los comienzos en falso y lo que hay en juego, el mandato del viernes de CISA de reconstruir todos los servidores desde cero una vez que hayan instalado el último parche es prudente. El requisito no se aplica a las agencias no gubernamentales, pero dado el caos y la dificultad para asegurar las VPN de Ivanti en las últimas semanas, es una medida de sentido común que todos los usuarios ya deberían haber tomado.

Las agencias civiles federales tienen hasta la medianoche del sábado para cortar todas las conexiones de red al software VPN de Ivanti, que actualmente está siendo explotado masivamente por múltiples grupos de amenazas. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ordenó la medida el miércoles después de revelar tres vulnerabilidades críticas en las últimas semanas.

Hace tres semanas, Ivanti reveló dos vulnerabilidades críticas que, según dijo, los actores de amenazas ya estaban explotando activamente. Los ataques, dijo la compañía, se dirigieron a “un número limitado de clientes” que utilizaban los productos Connect Secure y Policy Secure VPN de la compañía. La empresa de seguridad Volexity dijo el mismo día que las vulnerabilidades habían estado siendo explotadas desde principios de diciembre. Ivanti no tenía un parche disponible y, en cambio, recomendó a los clientes que siguieran varios pasos para protegerse contra los ataques. Entre los pasos estaba ejecutar un verificador de integridad que la compañía lanzó para detectar cualquier compromiso. Casi dos semanas después, los investigadores dijeron que los días cero estaban siendo explotados masivamente en ataques que estaban atacando redes de clientes en todo el mundo. Un día después, Ivanti no cumplió su promesa anterior de comenzar a implementar un parche adecuado antes del 24 de enero. La compañía no comenzó el proceso hasta el miércoles, dos semanas después de la fecha límite que se había fijado.

Y entonces, había tres

Ivanti reveló dos nuevas vulnerabilidades críticas en Connect Secure el miércoles, rastreadas como CVE-2024-21888 y CVE-2024-21893. La compañía dijo que CVE-2024-21893, una clase de vulnerabilidad conocida como falsificación de solicitudes del lado del servidor, “parece ser el objetivo”, lo que eleva a tres el número de vulnerabilidades explotadas activamente. Los funcionarios del gobierno alemán dijeron que ya habían visto hazañas exitosas del más nuevo. Los funcionarios también advirtieron que las explotaciones de las nuevas vulnerabilidades neutralizaron las mitigaciones que Ivanti recomendó a los clientes implementar.

Horas más tarde, la Agencia de Seguridad de Infraestructura y Ciberseguridad, normalmente abreviada como CISA, ordenó a todas las agencias federales bajo su autoridad «desconectar todas las instancias de los productos de solución Ivanti Connect Secure e Ivanti Policy Secure de las redes de la agencia» a más tardar a las 11:59 p. m. del viernes. . Los funcionarios de la agencia establecieron la misma fecha límite para que las agencias completen los pasos recomendados por Ivanti, que están diseñados para detectar si sus VPN de Ivanti ya se han visto comprometidas en los ataques en curso.

Los pasos incluyen:

• Identificar cualquier sistema adicional conectado o conectado recientemente al dispositivo Ivanti afectado
• Monitorizar los servicios de autenticación o gestión de identidad que podrían quedar expuestos.
• Aislar los sistemas de cualquier recurso empresarial en la mayor medida posible.
• Continuar auditando las cuentas de acceso de nivel privilegiado.

La directiva continúa diciendo que antes de que las agencias puedan volver a poner en línea sus productos Ivanti, deben seguir una larga serie de pasos que incluyen restablecer su sistema de fábrica, reconstruirlo siguiendo las instrucciones previamente emitidas por Ivanti e instalar los parches de Ivanti.

«Las agencias que ejecutan los productos afectados deben asumir que las cuentas de dominio asociadas con los productos afectados han sido comprometidas», decía la directiva del miércoles. Los funcionarios continuaron exigiendo que, para el 1 de marzo, las agencias deben haber restablecido las contraseñas «dos veces» para las cuentas locales, revocar los tickets de autenticación habilitados para Kerberos y luego revocar los tokens para las cuentas en la nube en implementaciones híbridas.

Steven Adair, presidente de Volexity, la empresa de seguridad que descubrió las dos vulnerabilidades iniciales, dijo que sus análisis más recientes indican que al menos 2.200 clientes de los productos afectados se han visto comprometidos hasta la fecha. Aplaudió la directiva del miércoles de CISA.

«Esta es efectivamente la mejor manera de aliviar cualquier preocupación de que un dispositivo aún pueda estar comprometido», dijo Adair en un correo electrónico. “Vimos que los atacantes buscaban activamente formas de eludir la detección de las herramientas de verificación de integridad. Con las vulnerabilidades anteriores y nuevas, este curso de acción en torno a un sistema completamente nuevo y parcheado podría ser la mejor manera de que las organizaciones no tengan que preguntarse si su dispositivo está activamente comprometido”.

La directiva es vinculante sólo para las agencias bajo la autoridad de CISA. Sin embargo, cualquier usuario de productos vulnerables debe seguir los mismos pasos inmediatamente si aún no lo ha hecho.

Los piratas informáticos sospechosos de trabajar para el gobierno chino están explotando masivamente un par de vulnerabilidades críticas que les dan un control total de los dispositivos de redes privadas virtuales vendidos por Ivanti, dijeron los investigadores.

Hasta el martes por la mañana, la empresa de seguridad Censys detectó 492 VPN de Ivanti que seguían infectadas entre 26.000 dispositivos expuestos a Internet. Más de una cuarta parte de las VPN comprometidas (121) residían en Estados Unidos. Los tres países con las siguientes mayores concentraciones fueron Alemania con 26, Corea del Sur con 24 y China con 21.

El servicio de nube para clientes de Microsoft albergaba la mayor cantidad de dispositivos infectados con 13, seguido por los entornos de nube de Amazon con 12 y Comcast con 10.

«Realizamos un escaneo secundario en todos los servidores Ivanti Connect Secure en nuestro conjunto de datos y encontramos 412 hosts únicos con esta puerta trasera», escribieron los investigadores de Censys. «Además, encontramos 22 ‘variantes’ distintas (o métodos de devolución de llamada únicos), que podrían indicar múltiples atacantes o un solo atacante evolucionando sus tácticas”.

En un correo electrónico, los miembros del equipo de investigación de Censys dijeron que la evidencia sugiere que las personas que infectan los dispositivos están motivadas por objetivos de espionaje. Esa teoría se alinea con informes publicados recientemente por las firmas de seguridad Volexity y Mandiant. Los investigadores de Volexity dijeron que sospechan que el actor de amenazas, rastreado como UTA0178, es un «actor de amenazas a nivel de estado-nación chino». Mandiant, que rastrea al grupo de ataque como UNC5221, dijo que los piratas informáticos están llevando a cabo una «campaña APT motivada por el espionaje».

Todas las agencias gubernamentales civiles han recibido el mandato de tomar medidas correctivas para prevenir la explotación. Las agencias del Poder Ejecutivo Civil Federal tenían hasta las 23:59 horas del lunes para seguir el mandato, que fue emitido el viernes por la Agencia de Seguridad de Infraestructura y Ciberseguridad. Ivanti aún tiene que lanzar parches para corregir las vulnerabilidades. En su ausencia, Ivanti, CISA y las empresas de seguridad instan a los usuarios afectados a seguir las pautas de mitigación y recuperación proporcionadas por Ivanti, que incluyen medidas preventivas para bloquear la explotación y pasos para que los clientes reconstruyan y actualicen sus sistemas si detectan explotación.

«Esta directiva no es una sorpresa, considerando la explotación masiva en todo el mundo observada desde que Ivanti reveló inicialmente las vulnerabilidades el 10 de enero», escribieron los investigadores de Censys. «Estas vulnerabilidades son particularmente graves dada la gravedad, la exposición generalizada de estos sistemas y la complejidad de la mitigación, especialmente dada la ausencia de un parche oficial del proveedor en el momento de escribir este artículo».

Cuando Avanti reveló las vulnerabilidades el 10 de enero, la compañía dijo que lanzaría parches de forma escalonada a partir de esta semana. La compañía no ha emitido una declaración pública desde que confirmó que el parche aún estaba programado.

Las VPN son un dispositivo ideal para que los piratas informáticos las infecten porque los dispositivos siempre activos se encuentran en el borde mismo de la red, donde aceptan conexiones entrantes. Debido a que las VPN deben comunicarse con amplias partes de la red interna, los piratas informáticos que comprometen los dispositivos pueden expandir su presencia a otras áreas. Cuando se explotan al unísono, las vulnerabilidades, rastreadas como CVE-2023-46805 y CVE-2024-21887, permiten a los atacantes ejecutar código de forma remota en los servidores. Todas las versiones compatibles de Ivanti Connect Secure (a menudo abreviado como ICS y anteriormente conocido como Pulse Secure) se ven afectadas.

Los ataques en curso utilizan exploits para instalar una gran cantidad de malware que actúa como puerta trasera. Luego, los piratas informáticos utilizan el malware para recopilar tantas credenciales como sea posible pertenecientes a varios empleados y dispositivos en la red infectada y explorar la red. A pesar del uso de este malware, los atacantes emplean en gran medida un enfoque conocido como «vivir de la tierra», que utiliza software y herramientas legítimos para que sean más difíciles de detectar.

Las publicaciones vinculadas anteriormente de Volexity y Mandiant brindan descripciones detalladas de cómo se comporta el malware y los métodos para detectar infecciones.

Dada la gravedad de las vulnerabilidades y las consecuencias que se derivan de su explotación, todos los usuarios de los productos afectados deben priorizar la mitigación de estas vulnerabilidades, incluso si eso significa suspender temporalmente el uso de VPN.

Una importante divulgación coordinada esta semana llamó la atención sobre la importancia de priorizar la seguridad en el diseño de unidades de procesamiento de gráficos (GPU). Los investigadores publicaron detalles sobre la vulnerabilidad «LeftoverLocals» en múltiples marcas y modelos de GPU convencionales (incluidos chips Apple, Qualcomm y AMD) que podrían explotarse para robar datos confidenciales, como respuestas de sistemas de inteligencia artificial. Mientras tanto, nuevos hallazgos de la empresa de rastreo de criptomonedas Chainalysis muestran cómo las monedas estables vinculadas al valor del dólar estadounidense desempeñaron un papel decisivo en las estafas basadas en criptomonedas y la evasión de sanciones el año pasado.

La Comisión Federal de Comercio de EE. UU. llegó a un acuerdo a principios de este mes con el corredor de datos X-Mode (ahora Outlogic) sobre su venta de datos de ubicación recopilados de aplicaciones telefónicas al gobierno de EE. UU. y otros clientes. Si bien la acción fue aclamada por algunos como una victoria histórica en materia de privacidad, también ilustra las limitaciones de la FTC y el poder de aplicación de la privacidad de datos del gobierno de EE. UU. y las formas en que muchas empresas pueden evitar el escrutinio y las consecuencias por no proteger los datos de los consumidores.

El proveedor de Internet estadounidense Comcast Xfinity puede recopilar datos sobre la vida personal de los clientes para anuncios personalizados, incluida información sobre sus creencias políticas, raza y orientación sexual. Si es cliente, tenemos consejos para darse de baja, en la medida de lo posible. Y si necesita una buena lectura larga para el fin de semana, tenemos la historia de cómo un estudiante graduado en criptografía de 27 años desacreditó sistemáticamente el mito de que las transacciones de bitcoins son anónimas. La pieza es un extracto del thriller de no ficción del escritor de WIRED Andy Greenberg. Rastreadores en la oscuridad: la caza global de los señores del crimen de las criptomonedasdisponible esta semana en edición de bolsillo.

Y hay más. Cada semana, reunimos las noticias sobre seguridad y privacidad que nosotros mismos no analizamos ni cubrimos en profundidad. Haga clic en los titulares para leer las historias completas y manténgase a salvo.

El viernes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. emitió una directiva de emergencia que exige a las agencias federales parchear dos vulnerabilidades que están siendo explotadas activamente en los populares dispositivos VPN Ivanti Connect Secure y Policy Secure. El subdirector ejecutivo de CISA, Eric Goldstein, dijo a los periodistas que CISA ha notificado a todas las agencias federales que están ejecutando una versión de los productos, lo que suma «alrededor» de 15 agencias que han aplicado mitigaciones. «No estamos evaluando un riesgo significativo para la empresa federal, pero sabemos que el riesgo no es cero», dijo Goldstein. Añadió que se están llevando a cabo investigaciones sobre si alguna agencia federal se ha visto comprometida en la ola de explotación masiva de los atacantes.

Los análisis indican que múltiples actores han estado buscando y explotando dispositivos vulnerables de Ivanti para obtener acceso a las redes de organizaciones en todo el mundo. La actividad comenzó en diciembre de 2023, pero se ha intensificado en los últimos días a medida que surgieron noticias sobre las vulnerabilidades y una prueba de concepto. Los investigadores de la empresa de seguridad Volexity dicen que al menos 1.700 dispositivos Connect Secure se han visto comprometidos en total. Tanto Volexity como Mandiant ven evidencia de que al menos parte de la actividad de explotación está motivada por el espionaje. Goldstein de CISA dijo el viernes que el gobierno de Estados Unidos aún no ha atribuido ninguna actividad de explotación a actores particulares, pero que «la explotación de estos productos sería consistente con lo que hemos visto en la República Popular China». [People’s Republic of China] actores como Volt Typhoon en el pasado”.

Ivanti Connect Secure es un cambio de marca de la serie de productos Ivanti conocida como Pulse Secure. Las vulnerabilidades en esa plataforma VPN fueron notoriamente explotadas en una serie de violaciones digitales de alto perfil en 2021 llevadas a cabo por piratas informáticos respaldados por el estado chino.

Microsoft dijo el viernes que detectó una intrusión en el sistema el 12 de enero que atribuye al actor respaldado por el estado ruso conocido como Midnight Blizzard o APT 29 Cozy Bear. La compañía dice que ha remediado completamente la infracción, que comenzó en noviembre de 2023 y utilizó ataques de “rociado de contraseñas” para comprometer cuentas de prueba históricas del sistema que, en algunos casos, permitieron al atacante infiltrarse en “un porcentaje muy pequeño de las cuentas de correo electrónico corporativas de Microsoft”. , incluidos miembros de nuestro equipo de liderazgo senior y empleados en nuestras funciones legales, de ciberseguridad y de otro tipo”. Con este acceso, los piratas informáticos de Cozy Bear pudieron filtrar «algunos correos electrónicos y documentos adjuntos». Microsoft señala que los atacantes parecían estar buscando información sobre las investigaciones de Microsoft sobre el propio grupo. «El ataque no fue el resultado de una vulnerabilidad en los productos o servicios de Microsoft», escribió la empresa. “Hasta la fecha, no hay evidencia de que el actor de la amenaza tuviera acceso a los entornos de los clientes, los sistemas de producción, el código fuente o los sistemas de inteligencia artificial. Notificaremos a los clientes si se requiere alguna acción”.

Las estafas con tarjetas de regalo en las que los atacantes engañan a las víctimas para que les compren tarjetas de regalo son un problema de larga data, pero un nuevo informe de ProPublica muestra cómo Walmart ha sido particularmente negligente al abordar el problema. Durante una década, el minorista ha eludido la presión tanto de los reguladores como de las autoridades para examinar más de cerca las ventas de tarjetas de regalo y las transferencias de dinero y ampliar la capacitación de los empleados que podría evitar que los clientes sean engañados y explotados por malos actores. ProPublica realizó docenas de entrevistas y revisó documentos internos, expedientes judiciales y registros públicos en su análisis.

“Estaban preocupados por el dinero. Eso es todo”, dijo a ProPublica Nick Alicea, ex líder del equipo de fraude del Servicio de Inspección Postal de EE. UU. Walmart defendió sus esfuerzos, afirmando que ha detenido más de 700 millones de dólares en transferencias de dinero sospechosas y ha reembolsado 4 millones de dólares a las víctimas de fraude con tarjetas de regalo. «Walmart ofrece estos servicios financieros mientras trabaja arduamente para mantener a nuestros clientes a salvo de terceros estafadores», dijo la compañía en un comunicado. «Tenemos un sólido programa antifraude y otros controles para ayudar a detener a los estafadores y otros delincuentes que pueden utilizar los servicios financieros que ofrecemos para dañar a nuestros clientes».

Mientras los grupos rebeldes de Myanmar se oponen violentamente al gobierno militar del país, el tráfico y el abuso de personas que alimentan las estafas de matanza de cerdos están exacerbando el conflicto. Las estafas se han disparado en los últimos años, llevadas a cabo no sólo por malos actores, sino también por una fuerza laboral de trabajadores forzados que a menudo han sido secuestrados y retenidos contra su voluntad. En un caso este otoño, un grupo de grupos rebeldes en Myanmar conocidos como la Alianza de las Tres Hermandades tomaron el control de 100 puestos militares en el estado de Shan, en el norte del país, y se apoderaron de varias ciudades a lo largo de la frontera con China, prometiendo «erradicar el fraude en las telecomunicaciones y las redes de estafas». y sus patrocinadores en todo el país, incluso en áreas a lo largo de la frontera entre China y Myanmar”.

La ONU estima que puede haber hasta 100.000 personas retenidas en centros de estafa en Camboya y 120.000 en Myanmar. «He trabajado en este espacio durante más de 20 años y, para ser sincera, nunca hemos visto nada parecido a lo que estamos viendo ahora en el Sudeste Asiático en términos de gran número de personas», Rebecca Miller, directora del programa regional de trata de personas en la Oficina de la ONU contra la Droga y el Delito, dijo a Vox.

En una nueva investigación, Informes de los consumidores y The Markup recopilaron tres años de datos archivados de Facebook de 709 usuarios de la red social para evaluar qué intermediarios de datos y otras organizaciones los están rastreando y monitoreando. Al analizar los datos, los periodistas descubrieron que un total de 186.892 empresas enviaron datos sobre 709 personas a Facebook. En promedio, cada uno de esos usuarios recibió información enviada a Facebook sobre ellos por 2.230 empresas. Sin embargo, el número varió. Algunos usuarios tenían menos que el promedio mientras que otros tenían más de 7.000 empresas que los rastreaban y proporcionaban información a la red social.

Los piratas informáticos malintencionados han comenzado a explotar en masa dos vulnerabilidades críticas de día cero en el dispositivo VPN corporativo ampliamente utilizado de Ivanti.

Esto es según la empresa de ciberseguridad Volexity, que informó por primera vez la semana pasada que los piratas informáticos respaldados por el estado de China están explotando las dos fallas no parcheadas en Ivanti Connect Secure, rastreadas como CVE-2023-46805 y CVE-2024-21887, para ingresar a las redes de los clientes y robar. información. En ese momento, Ivanti dijo que tenía conocimiento de «menos de 10 clientes» afectados por las fallas de «día cero», descritas como tales dado que Ivanti no tuvo tiempo de corregir las fallas antes de que fueran explotadas.

En una publicación de blog actualizada publicada el lunes, Volexity dice que ahora tiene evidencia de explotación masiva.

Según Volexity, hasta el momento más de 1.700 dispositivos Ivanti Connect Secure en todo el mundo han sido explotados, afectando a organizaciones de las industrias aeroespacial, bancaria, de defensa, gubernamental y de telecomunicaciones.

«Las víctimas están distribuidas globalmente y varían mucho en tamaño, desde pequeñas empresas hasta algunas de las organizaciones más grandes del mundo, incluidas múltiples empresas Fortune 500 en múltiples sectores verticales», dijo Volexity. Los investigadores de la firma de seguridad agregaron que los dispositivos VPN de Ivanti fueron «atacados indiscriminadamente», con víctimas corporativas en todo el mundo.

Pero Volexity señala que es probable que el número de organizaciones comprometidas sea mucho mayor. La organización sin fines de lucro Shadowserver Foundation, rastreadora de amenazas a la seguridad, tiene datos que muestran más de 17.000 dispositivos Ivanti VPN visibles en Internet en todo el mundo, incluidos más de 5.000 dispositivos en los Estados Unidos.

Ivanti confirmó en su aviso actualizado el martes que sus propios hallazgos son «consistentes» con las nuevas observaciones de Volexity y que los ataques masivos parecen haber comenzado el 11 de enero, un día después de que Ivanti revelara las vulnerabilidades. En una declaración proporcionada a través de la agencia de relaciones públicas MikeWorldWide, Ivanti le dijo a TechCrunch que ha «visto un fuerte aumento en la actividad de los actores de amenazas y los análisis de los investigadores de seguridad».

Cuando se contactó el martes, la portavoz de Volexity, Kristel Faris, dijo a TechCrunch que la empresa de seguridad está en contacto con Ivanti, que está «respondiendo a un aumento en las solicitudes de soporte lo más rápido posible».

A pesar de la explotación masiva, Ivanti aún no ha publicado parches. Ivanti dijo que planea publicar correcciones de forma «escalonada» a partir de la semana del 22 de enero. Mientras tanto, se recomienda a los administradores que apliquen las medidas de mitigación proporcionadas por Ivanti en todos los dispositivos VPN afectados en su red. Ivanti recomienda a los administradores restablecer contraseñas y claves API, y revocar y volver a emitir cualquier certificado almacenado en los dispositivos afectados.

No hay ransomware… todavía

Volexity inicialmente atribuyó la explotación de los dos días cero de Ivanti a un grupo de hackers respaldado por China al que rastrea como UTA0178. Volexity dijo que tenía pruebas de explotación ya el 3 de diciembre.

Mandiant, que también está rastreando la explotación de las vulnerabilidades de Ivanti, dijo que no ha vinculado la explotación con un grupo de hackers previamente conocido, pero dijo que sus hallazgos, combinados con los de Volexity, llevan a Mandiant a atribuir los hacks a «una campaña APT motivada por el espionaje, ”sugiriendo una participación respaldada por el gobierno.

Volexity dijo esta semana que ha visto grupos de piratas informáticos adicionales, específicamente un grupo al que llama UTA0188, explotar las fallas para comprometer dispositivos vulnerables, pero se negó a compartir detalles adicionales sobre el grupo, o sus motivos, cuando TechCrunch le preguntó.

Volexity le dijo a TechCrunch que no ha visto evidencia de que el ransomware esté involucrado en los ataques masivos en este momento. «Sin embargo, anticipamos plenamente que eso sucederá si el código de prueba de concepto se hace público», añadió Faris.

Los investigadores de seguridad ya han señalado la existencia de un código de prueba de concepto capaz de explotar los días cero de Ivanti.

Actores de amenazas desconocidos están apuntando activamente a dos vulnerabilidades críticas de día cero que les permiten eludir la autenticación de dos factores y ejecutar código malicioso dentro de redes que utilizan un dispositivo de red privada virtual ampliamente utilizado vendido por Ivanti, dijeron investigadores el miércoles.

Ivanti informó detalles básicos sobre los días cero en publicaciones publicadas el miércoles que instaban a los clientes a seguir las pautas de mitigación de inmediato. Registrados como CVE-2023-46805 y CVE-2024-21887, residen en Ivanti Connect Secure, un dispositivo VPN a menudo abreviado como ICS. Anteriormente conocida como Pulse Secure, la VPN ampliamente utilizada ha albergado días cero anteriores en los últimos años que fueron objeto de explotación generalizada, en algunos casos con efectos devastadores.

Explotadores: enciendan sus motores

«Cuando se combinan, estas dos vulnerabilidades hacen que sea trivial para los atacantes ejecutar comandos en el sistema», escribieron investigadores de la firma de seguridad Volexity en una publicación que resume los hallazgos de su investigación sobre un ataque que afectó a un cliente el mes pasado. «En este incidente en particular, el atacante aprovechó estos exploits para robar datos de configuración, modificar archivos existentes, descargar archivos remotos y realizar un túnel inverso desde el dispositivo VPN ICS». Los investigadores Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair y Thomas Lancaster continuaron escribiendo:

Volexity observó al atacante modificando componentes legítimos de ICS y realizando cambios en el sistema para evadir la herramienta ICS Integrity Checker. En particular, Volexity observó que el atacante abrió una puerta trasera a un archivo CGI legítimo (compcheck.cgi) en el dispositivo ICS VPN para permitir la ejecución de comandos. Además, el atacante también modificó un archivo JavaScript utilizado por el componente Web SSL VPN del dispositivo para registrar las teclas y extraer las credenciales de los usuarios que inician sesión. La información y las credenciales recopiladas por el atacante le permitieron acceder a un puñado de sistemas internamente y, en última instancia, obtener acceso ilimitado a los sistemas de la red.

Los investigadores atribuyeron los ataques a un actor de amenazas rastreado bajo el alias UTA0178, que sospechan que es un actor de amenazas a nivel de estado-nación chino.

Al igual que otras VPN, el ICS se encuentra en el borde de una red protegida y actúa como el guardián que se supone debe permitir que sólo los dispositivos autorizados se conecten de forma remota. Esa posición y su estado siempre activo hacen que el dispositivo sea ideal para atacar cuando se identifican vulnerabilidades de ejecución de código en ellos. Hasta ahora, los días cero parecen haber sido explotados en pequeñas cantidades y sólo en ataques muy dirigidos, dijo en un correo electrónico el director ejecutivo de Volexity, Steven Adair. Continuó escribiendo:

Sin embargo, hay muchas posibilidades de que eso cambie. Ahora habrá una carrera potencial para comprometer los dispositivos antes de que se apliquen las mitigaciones. También es posible que el actor de la amenaza pueda compartir el exploit o que atacantes adicionales descubran el exploit. Si conoce los detalles, el exploit es bastante trivial de realizar y no requiere autenticación alguna y se puede realizar a través de Internet. El propósito completo de estos dispositivos es proporcionar acceso VPN, por lo que, por naturaleza, se encuentran en Internet y son accesibles.

El panorama de amenazas de 2023 estuvo dominado por la explotación masiva activa de un puñado de vulnerabilidades de alto impacto rastreadas bajo los nombres Citrix Bleed o designaciones que incluyen CVE-2022-47966, CVE-2023-34362 y CVE-2023-49103, que residían en Citrix NetScaler Application Delivery Controller y NetScaler Gateway, el servicio de transferencia de archivos MOVEit y 24 productos vendidos por ManageEngine y ownCloud, propiedad de Zoho, respectivamente. A menos que las organizaciones afectadas actúen más rápidamente que el año pasado para parchear sus redes, las últimas vulnerabilidades en los dispositivos Ivanti pueden recibir el mismo tratamiento.

El investigador Kevin Beaumont, quien propuso «Connect Around» como apodo para rastrear los días cero, publicó los resultados de un escaneo que mostró que había aproximadamente 15.000 electrodomésticos Ivanti afectados en todo el mundo expuestos a Internet. Beaumont dijo que los piratas informáticos respaldados por un Estado-nación parecían estar detrás de los ataques al dispositivo vendido por Ivanti.

El fabricante de software Ivanti insta a los usuarios de su producto de seguridad para terminales a parchear una vulnerabilidad crítica que hace posible que atacantes no autenticados ejecuten código malicioso dentro de las redes afectadas.

La vulnerabilidad, en una clase conocida como inyección SQL, reside en todas las versiones compatibles de Ivanti Endpoint Manager. También conocido como Ivanti EPM, el software se ejecuta en una variedad de plataformas, incluidas Windows, macOS, Linux, Chrome OS y dispositivos de Internet de las cosas, como enrutadores. Las vulnerabilidades de inyección SQL surgen de un código defectuoso que interpreta la entrada del usuario como comandos de base de datos o, en términos más técnicos, de la concatenación de datos con código SQL sin citar los datos de acuerdo con la sintaxis SQL. CVE-2023-39336, como se rastrea la vulnerabilidad de Ivanti, tiene una calificación de gravedad de 9,6 sobre 10 posibles.

«Si es explotado, un atacante con acceso a la red interna puede aprovechar una inyección SQL no especificada para ejecutar consultas SQL arbitrarias y recuperar resultados sin necesidad de autenticación», escribieron los funcionarios de Ivanti el viernes en una publicación anunciando la disponibilidad del parche. “Esto puede permitir al atacante controlar las máquinas que ejecutan el agente EPM. Cuando el servidor central está configurado para usar SQL express, esto podría generar RCE en el servidor central”.

RCE es la abreviatura de ejecución remota de código o la capacidad de los atacantes externos de ejecutar el código de su elección. Actualmente, no hay evidencia conocida de que la vulnerabilidad esté bajo explotación activa.

Ivanti también ha publicado una divulgación que está restringida únicamente a usuarios registrados. Una copia obtenida por Ars decía que Ivanti se enteró de la vulnerabilidad en octubre. La divulgación privada en su totalidad es:

No está claro qué significa «atacante con acceso a la red interna». Según la explicación oficial del Sistema de puntuación de vulnerabilidad común, el código que Ivanti utilizó en la divulgación, AV:A, es la abreviatura de «Vector de ataque: Adyacente». El sistema de puntuación lo definió como:

El componente vulnerable está vinculado a la pila de red, pero el ataque se limita a nivel de protocolo a una topología lógicamente adyacente. Esto puede significar que un ataque debe lanzarse desde la misma red física o lógica compartida (por ejemplo, subred IP local)…

En un hilo sobre Mastodon, varios expertos en seguridad ofrecieron interpretaciones. Una persona que pidió no ser identificada explícitamente por su nombre, empresa o puesto ocupacional, escribió:

Todo lo demás sobre la vulnerabilidad. [besides the requirement of access to the network] es grave:

• La complejidad del ataque es baja.
• Privilegios no requeridos
• No es necesaria la interacción del usuario
• Se modifica el alcance del impacto posterior en otros sistemas.
• El impacto en la confidencialidad, la integridad y la disponibilidad es alto

Reid Wightman, investigador especializado en seguridad de sistemas de control industrial en Dragos, proporcionó este análisis:

Especulación, pero parece que Ivanti está aplicando incorrectamente CVSS y la puntuación posiblemente debería ser 10,0.

Dicen AV:A (que significa «se requiere acceso a la red adyacente»). Por lo general, esto significa que se cumple una de las siguientes condiciones: 1) el protocolo de red vulnerable no es enrutable (esto generalmente significa que no es un protocolo basado en IP el que es vulnerable), o 2) la vulnerabilidad es realmente una persona en el -ataque intermedio (aunque esto generalmente también tiene AC:H, ya que una persona en el medio requiere algún acceso existente a la red para poder lanzar el ataque) o 3) (lo que creo), el proveedor está equivocado -aplicar CVSS porque creen que su servicio vulnerable no debería estar expuesto, es decir, «los usuarios finales deberían tener un firewall instalado».

La suposición de que el atacante debe ser interno tendría un modificador CVSS de PR:L o PR:H (privilegios requeridos en el sistema), o UI:R (engañar a un usuario legítimo para que haga algo que no debería). La suposición de que el atacante tiene algún otro acceso existente a la red debería agregar AC:H (complejidad del ataque alta) a la puntuación. Ambos reducirían la puntuación numérica.

He tenido muchas discusiones con proveedores que argumentan (3), específicamente, «nadie debería exponer el servicio, por lo que en realidad no es AV:N». Pero CVSS no representa una «buena arquitectura de red». Solo le importa la configuración predeterminada y si el ataque se puede lanzar desde una red remota… no considera las reglas de firewall que la mayoría de las organizaciones deberían tener implementadas, en parte porque siempre se encuentran contraejemplos en los que el servicio está expuesto a Internet. . Casi siempre puedes encontrar contraejemplos en Shodan y similares. Muchos «Administradores de servicios Ivanti» expuestos en Shodan, por ejemplo, aunque no estoy seguro de si este es el servicio vulnerable real.

Un tercer participante, Ron Bowes de Skull Security, escribió: “Los proveedores, especialmente Ivanti, tienen la costumbre de restar importancia a las cuestiones de seguridad. Piensan que hacer que parezca que la vulnerabilidad es menos mala los hace lucir mejor, cuando en realidad solo hace que sus clientes estén menos seguros. Eso es un gran motivo de preocupación. No voy a juzgar a los proveedores por tener una vulnerabilidad, pero sí por manejarla mal”.

Los representantes de Ivanti no respondieron a las preguntas enviadas por correo electrónico.

Poner los dispositivos que ejecutan Ivanti EDM detrás de un firewall es una buena práctica y contribuirá en gran medida a mitigar la gravedad de CVE-2023-39336, pero probablemente no haría nada para evitar que un atacante que haya obtenido acceso limitado a la estación de trabajo de un empleado explote la vulnerabilidad crítica. No está claro si la vulnerabilidad será objeto de explotación activa, pero el mejor curso de acción es que todos los usuarios de Ivanti EDM instalen el parche lo antes posible.