Actores de amenazas desconocidos est\u00e1n apuntando activamente a dos vulnerabilidades cr\u00edticas de d\u00eda cero que les permiten eludir la autenticaci\u00f3n de dos factores y ejecutar c\u00f3digo malicioso dentro de redes que utilizan un dispositivo de red privada virtual ampliamente utilizado vendido por Ivanti, dijeron investigadores el mi\u00e9rcoles.<\/p>\n
Ivanti inform\u00f3 detalles b\u00e1sicos sobre los d\u00edas cero en publicaciones publicadas el mi\u00e9rcoles que instaban a los clientes a seguir las pautas de mitigaci\u00f3n de inmediato. Registrados como CVE-2023-46805 y CVE-2024-21887, residen en Ivanti Connect Secure, un dispositivo VPN a menudo abreviado como ICS. Anteriormente conocida como Pulse Secure, la VPN ampliamente utilizada ha albergado d\u00edas cero anteriores en los \u00faltimos a\u00f1os que fueron objeto de explotaci\u00f3n generalizada, en algunos casos con efectos devastadores.<\/p>\n
\u00abCuando se combinan, estas dos vulnerabilidades hacen que sea trivial para los atacantes ejecutar comandos en el sistema\u00bb, escribieron investigadores de la firma de seguridad Volexity en una publicaci\u00f3n que resume los hallazgos de su investigaci\u00f3n sobre un ataque que afect\u00f3 a un cliente el mes pasado. \u00abEn este incidente en particular, el atacante aprovech\u00f3 estos exploits para robar datos de configuraci\u00f3n, modificar archivos existentes, descargar archivos remotos y realizar un t\u00fanel inverso desde el dispositivo VPN ICS\u00bb. Los investigadores Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair y Thomas Lancaster continuaron escribiendo:<\/p>\n
\nVolexity observ\u00f3 al atacante modificando componentes leg\u00edtimos de ICS y realizando cambios en el sistema para evadir la herramienta ICS Integrity Checker. En particular, Volexity observ\u00f3 que el atacante abri\u00f3 una puerta trasera a un archivo CGI leg\u00edtimo (compcheck.cgi) en el dispositivo ICS VPN para permitir la ejecuci\u00f3n de comandos. Adem\u00e1s, el atacante tambi\u00e9n modific\u00f3 un archivo JavaScript utilizado por el componente Web SSL VPN del dispositivo para registrar las teclas y extraer las credenciales de los usuarios que inician sesi\u00f3n. La informaci\u00f3n y las credenciales recopiladas por el atacante le permitieron acceder a un pu\u00f1ado de sistemas internamente y, en \u00faltima instancia, obtener acceso ilimitado a los sistemas de la red.<\/p>\n<\/blockquote>\n
Los investigadores atribuyeron los ataques a un actor de amenazas rastreado bajo el alias UTA0178, que sospechan que es un actor de amenazas a nivel de estado-naci\u00f3n chino.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nAl igual que otras VPN, el ICS se encuentra en el borde de una red protegida y act\u00faa como el guardi\u00e1n que se supone debe permitir que s\u00f3lo los dispositivos autorizados se conecten de forma remota. Esa posici\u00f3n y su estado siempre activo hacen que el dispositivo sea ideal para atacar cuando se identifican vulnerabilidades de ejecuci\u00f3n de c\u00f3digo en ellos. Hasta ahora, los d\u00edas cero parecen haber sido explotados en peque\u00f1as cantidades y s\u00f3lo en ataques muy dirigidos, dijo en un correo electr\u00f3nico el director ejecutivo de Volexity, Steven Adair. Continu\u00f3 escribiendo:<\/p>\n
\nSin embargo, hay muchas posibilidades de que eso cambie. Ahora habr\u00e1 una carrera potencial para comprometer los dispositivos antes de que se apliquen las mitigaciones. Tambi\u00e9n es posible que el actor de la amenaza pueda compartir el exploit o que atacantes adicionales descubran el exploit. Si conoce los detalles, el exploit es bastante trivial de realizar y no requiere autenticaci\u00f3n alguna y se puede realizar a trav\u00e9s de Internet. El prop\u00f3sito completo de estos dispositivos es proporcionar acceso VPN, por lo que, por naturaleza, se encuentran en Internet y son accesibles.<\/p>\n<\/blockquote>\n
El panorama de amenazas de 2023 estuvo dominado por la explotaci\u00f3n masiva activa de un pu\u00f1ado de vulnerabilidades de alto impacto rastreadas bajo los nombres Citrix Bleed o designaciones que incluyen CVE-2022-47966, CVE-2023-34362 y CVE-2023-49103, que resid\u00edan en Citrix NetScaler Application Delivery Controller y NetScaler Gateway, el servicio de transferencia de archivos MOVEit y 24 productos vendidos por ManageEngine y ownCloud, propiedad de Zoho, respectivamente. A menos que las organizaciones afectadas act\u00faen m\u00e1s r\u00e1pidamente que el a\u00f1o pasado para parchear sus redes, las \u00faltimas vulnerabilidades en los dispositivos Ivanti pueden recibir el mismo tratamiento.<\/p>\n