{"id":1002294,"date":"2024-02-09T17:36:30","date_gmt":"2024-02-09T17:36:30","guid":{"rendered":"https:\/\/magazineoffice.com\/los-investigadores-dicen-que-los-atacantes-estan-explotando-masivamente-la-nueva-falla-de-ivanti-vpn\/"},"modified":"2024-02-09T17:36:32","modified_gmt":"2024-02-09T17:36:32","slug":"los-investigadores-dicen-que-los-atacantes-estan-explotando-masivamente-la-nueva-falla-de-ivanti-vpn","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/los-investigadores-dicen-que-los-atacantes-estan-explotando-masivamente-la-nueva-falla-de-ivanti-vpn\/","title":{"rendered":"Los investigadores dicen que los atacantes est\u00e1n explotando masivamente la nueva falla de Ivanti VPN"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n<\/p><\/div>\n
\n

Los piratas inform\u00e1ticos han comenzado a explotar en masa una tercera vulnerabilidad que afecta al ampliamente utilizado dispositivo VPN empresarial de Ivanti, seg\u00fan muestran nuevos datos p\u00fablicos.<\/p>\n

La semana pasada, Ivanti dijo que hab\u00eda descubierto dos nuevas fallas de seguridad, rastreadas como CVE-2024-21888 y CVE-2024-21893, que afectan a Connect Secure, su soluci\u00f3n VPN de acceso remoto utilizada por miles de corporaciones y grandes organizaciones en todo el mundo. Seg\u00fan su sitio web, Ivanti tiene m\u00e1s de 40.000 clientes, incluidas universidades, organizaciones sanitarias y bancos, cuya tecnolog\u00eda permite a sus empleados iniciar sesi\u00f3n desde fuera de la oficina.<\/p>\n

La divulgaci\u00f3n se produjo poco despu\u00e9s de que Ivanti confirmara dos errores anteriores en Connect Secure, rastreados como CVE-2023-46805 y CVE-2024-21887, que los investigadores de seguridad dijeron que los piratas inform\u00e1ticos respaldados por China hab\u00edan estado explotando desde diciembre para irrumpir en las redes de los clientes y robar informaci\u00f3n. .<\/p>\n

Ahora los datos muestran que una de las fallas recientemente descubiertas (CVE-2024-21893, una falla de falsificaci\u00f3n de solicitudes del lado del servidor) est\u00e1 siendo explotada masivamente.<\/p>\n

Aunque desde entonces Ivanti ha parcheado las vulnerabilidades, los investigadores de seguridad esperan que se produzca un mayor impacto en las organizaciones a medida que m\u00e1s grupos de piratas inform\u00e1ticos exploten la falla. Steven Adair, fundador de la empresa de ciberseguridad Volexity, una empresa de seguridad que ha estado rastreando la explotaci\u00f3n de las vulnerabilidades de Ivanti, advirti\u00f3 que ahora que el c\u00f3digo de prueba de concepto de explotaci\u00f3n es p\u00fablico, \u00abcualquier dispositivo sin parches accesible a trav\u00e9s de Internet probablemente se haya visto comprometido varias veces\u00bb. encima.\u00bb<\/p>\n

Piotr Kijewski, director ejecutivo de Shadowserver Foundation, una organizaci\u00f3n sin fines de lucro que escanea y monitorea Internet en busca de explotaci\u00f3n, dijo a TechCrunch el jueves que la organizaci\u00f3n ha observado m\u00e1s de 630 IP \u00fanicas que intentan explotar la falla del lado del servidor, que permite a los atacantes obtener acceso. a datos en dispositivos vulnerables.<\/p>\n

Eso es un fuerte aumento en comparaci\u00f3n con la semana pasada cuando Shadowserver dijo hab\u00eda observado 170 IP \u00fanicas<\/a> intentando explotar la vulnerabilidad.<\/p>\n

Un an\u00e1lisis de la nueva falla del lado del servidor muestra que el error se puede explotar para evitar la mitigaci\u00f3n original de Ivanti para la cadena de explotaci\u00f3n inicial que involucra las dos primeras vulnerabilidades, haciendo que esas mitigaciones previas al parche sean discutibles.<\/p>\n

Kijewski a\u00f1adi\u00f3 que Shadowserver est\u00e1 observando actualmente alrededor de 20.800 dispositivos Ivanti Connect Secure expuestos a Internet, frente a los 22.500 de la semana pasada, aunque se\u00f1al\u00f3 que no se sabe cu\u00e1ntos de estos dispositivos Ivanti son vulnerables a la explotaci\u00f3n.<\/p>\n

No est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la explotaci\u00f3n masiva, pero los investigadores de seguridad atribuyeron la explotaci\u00f3n de los dos primeros errores de Connect Secure a un grupo de hackers respaldado por el gobierno de China, probablemente motivado por el espionaje.<\/p>\n

Ivanti dijo anteriormente que estaba al tanto de la explotaci\u00f3n \u00abdirigida\u00bb del error del lado del servidor dirigida a un \u00abn\u00famero limitado de clientes\u00bb. A pesar de las repetidas solicitudes de TechCrunch esta semana, Ivanti no quiso comentar sobre los informes de que la falla est\u00e1 siendo explotada masivamente, pero no cuestion\u00f3 los hallazgos de Shadowserver.<\/p>\n

Ivanti comenz\u00f3 a lanzar parches para los clientes para todas las vulnerabilidades junto con un segundo conjunto de mitigaciones a principios de este mes. Sin embargo, Ivanti se\u00f1ala en su aviso de seguridad, actualizado por \u00faltima vez el 2 de febrero, que \u00abprimero lanza parches para el mayor n\u00famero de instalaciones y luego contin\u00faa en orden decreciente\u00bb.<\/p>\n

No se sabe cu\u00e1ndo Ivanti pondr\u00e1 los parches a disposici\u00f3n de todos sus clientes potencialmente vulnerables.<\/p>\n

Los informes de otra falla de Ivanti explotada masivamente llegan d\u00edas despu\u00e9s de que la agencia de ciberseguridad estadounidense CISA ordenara a las agencias federales que desconectaran urgentemente todos los dispositivos VPN de Ivanti. La advertencia de la agencia hizo que CISA les diera a las agencias solo dos d\u00edas para desconectar los electrodom\u00e9sticos, citando la \u00abseria amenaza\u00bb que plantean las vulnerabilidades bajo ataque activo.<\/p>\n<\/p><\/div>\n