\n<\/aside>\n<\/p>\n
La explotaci\u00f3n masiva comenz\u00f3 durante el fin de semana de otra vulnerabilidad cr\u00edtica en el software VPN ampliamente utilizado vendido por Ivanti, a medida que los piratas inform\u00e1ticos que ya atacaban dos vulnerabilidades anteriores se diversificaron, dijeron investigadores el lunes.<\/p>\n
La nueva vulnerabilidad, identificada como CVE-2024-21893, es lo que se conoce como falsificaci\u00f3n de solicitudes del lado del servidor. Ivanti lo revel\u00f3 el 22 de enero, junto con una vulnerabilidad separada que hasta ahora no ha mostrado signos de ser explotada. El mi\u00e9rcoles pasado, nueve d\u00edas despu\u00e9s, Ivanti dijo que CVE-2024-21893 estaba bajo explotaci\u00f3n activa, agravando unas semanas ya ca\u00f3ticas. Todas las vulnerabilidades afectan a los productos Connect Secure y Policy Secure VPN de Ivanti.<\/p>\n
Una reputaci\u00f3n empa\u00f1ada y profesionales de la seguridad maltratados<\/h2>\n La nueva vulnerabilidad sali\u00f3 a la luz cuando otras dos vulnerabilidades ya estaban bajo explotaci\u00f3n masiva, principalmente por un grupo de piratas inform\u00e1ticos que, seg\u00fan los investigadores, est\u00e1 respaldado por el gobierno chino. Ivanti proporcion\u00f3 orientaci\u00f3n para la mitigaci\u00f3n de las dos vulnerabilidades el 11 de enero y lanz\u00f3 un parche adecuado la semana pasada. Mientras tanto, la Agencia de Seguridad de Infraestructura y Ciberseguridad orden\u00f3 a todas las agencias federales bajo su autoridad desconectar los productos Ivanti VPN de Internet hasta que se reconstruyan desde cero y ejecuten la \u00faltima versi\u00f3n del software.<\/p>\n
Para el domingo, los ataques dirigidos a CVE-2024-21893 se hab\u00edan multiplicado, desde lo que Ivanti dijo que era un \u00abpeque\u00f1o n\u00famero de clientes\u00bb hasta una base masiva de usuarios, seg\u00fan mostr\u00f3 una investigaci\u00f3n de la organizaci\u00f3n de seguridad Shadowserver. La l\u00ednea pronunciada en el extremo derecho del siguiente gr\u00e1fico sigue el mete\u00f3rico aumento de la vulnerabilidad a partir del viernes. En el momento en que se public\u00f3 esta publicaci\u00f3n de Ars, el volumen de explotaci\u00f3n de la vulnerabilidad super\u00f3 el de CVE-2023-46805 y CVE-2024-21887, las vulnerabilidades anteriores de Ivanti bajo ataque activo.<\/p>\n\nservidor de sombras<\/p>\n<\/figcaption><\/figure>\n
Los sistemas que hab\u00edan sido vacunados contra las dos vulnerabilidades m\u00e1s antiguas siguiendo el proceso de mitigaci\u00f3n de Ivanti permanecieron completamente abiertos a la vulnerabilidad m\u00e1s nueva, un estado que probablemente los hizo atractivos para los piratas inform\u00e1ticos. Hay algo m\u00e1s que hace que CVE-2024-21893 sea atractivo para los actores de amenazas: debido a que reside en la implementaci\u00f3n de Ivanti del lenguaje de marcado de afirmaci\u00f3n de seguridad de c\u00f3digo abierto (que maneja la autenticaci\u00f3n y autorizaci\u00f3n entre partes), las personas que explotan el error pueden eludir las medidas de autenticaci\u00f3n normales y obtener acceder directamente a los controles administrativos del servidor subyacente.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nLa explotaci\u00f3n probablemente recibi\u00f3 un impulso gracias al c\u00f3digo de prueba de concepto publicado por la firma de seguridad Rapid7 el viernes, pero el exploit no fue el \u00fanico contribuyente. Shadowserver dijo que comenz\u00f3 a ver exploits funcionales unas horas antes del lanzamiento de Rapid7. Todos los diferentes exploits funcionan m\u00e1s o menos de la misma manera. La autenticaci\u00f3n en las VPN de Ivanti se produce a trav\u00e9s de la funci\u00f3n doAuthCheck en un binario de servidor web HTTP ubicado en \/root\/home\/bin\/web. El punto final \/dana-ws\/saml20.ws no requiere autenticaci\u00f3n. Cuando se public\u00f3 esta publicaci\u00f3n de Ars, Shadowserver cont\u00f3 un poco m\u00e1s de 22,000 instancias de Connect Secure y Policy Secure.<\/p>\n\nservidor de sombras<\/p>\n<\/figcaption><\/figure>\n
Las VPN son un objetivo ideal para los piratas inform\u00e1ticos que buscan acceso a lo m\u00e1s profundo de una red. Los dispositivos, que permiten a los empleados iniciar sesi\u00f3n en portales de trabajo mediante una conexi\u00f3n cifrada, se encuentran en el borde mismo de la red, donde responden a las solicitudes de cualquier dispositivo que conozca la configuraci\u00f3n correcta del puerto. Una vez que los atacantes establecen una cabeza de puente en una VPN, a menudo pueden recurrir a partes m\u00e1s sensibles de una red.<\/p>\n
La ola de tres semanas de explotaci\u00f3n ininterrumpida ha empa\u00f1ado la reputaci\u00f3n de seguridad de Ivanti y ha golpeado a los profesionales de la seguridad mientras luchan (a menudo en vano) para detener el flujo de compromisos. Para agravar el problema, se produjo un tiempo de parche lento que no cumpli\u00f3 con la fecha l\u00edmite del 24 de enero de Ivanti por una semana. Para empeorar a\u00fan m\u00e1s las cosas: los piratas inform\u00e1ticos descubrieron c\u00f3mo eludir los consejos de mitigaci\u00f3n que Ivanti proporcion\u00f3 para el primer par de vulnerabilidades.<\/p>\n
Dados los comienzos en falso y lo que hay en juego, el mandato del viernes de CISA de reconstruir todos los servidores desde cero una vez que hayan instalado el \u00faltimo parche es prudente. El requisito no se aplica a las agencias no gubernamentales, pero dado el caos y la dificultad para asegurar las VPN de Ivanti en las \u00faltimas semanas, es una medida de sentido com\u00fan que todos los usuarios ya deber\u00edan haber tomado.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"La explotaci\u00f3n masiva comenz\u00f3 durante el fin de semana de otra vulnerabilidad cr\u00edtica en el software VPN ampliamente utilizado vendido por Ivanti, a medida que los piratas inform\u00e1ticos que ya…<\/p>\n","protected":false},"author":1,"featured_media":993371,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[6,216,36401,8457,507,102145,8097,16337,23924],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/999181"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=999181"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/999181\/revisions"}],"predecessor-version":[{"id":999182,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/999181\/revisions\/999182"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/993371"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=999181"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=999181"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=999181"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}