Ivanti emitió una alerta sobre sus dispositivos Connect Secure VPN. Los actores de amenazas avanzadas están explotando Dos vulnerabilidades de día cero en ciberataques, posiblemente incluyendo grupos patrocinados por el estado. Esta es otra vulnerabilidad más en el software de Ivanti..
Explotación de día cero seguro de Ivanti Connect
Ivanti, una destacada empresa de software, emitido recientemente una alerta crítica sobre sus dispositivos Connect Secure VPN. Estos dispositivos son susceptibles a vulnerabilidades de día cero actualmente siendo explotado en ciberataques sofisticados. Los expertos atribuyen estos ataques a presuntos piratas informáticos respaldados por el estado chino.
Ivanti ha confirmado que las vulnerabilidades en cuestión permitir a los atacantes obtener acceso no autorizado y ejecutar código arbitrario en los dispositivos afectados. Considerar el uso generalizado de dispositivos Ivanti Connect Secure en diversos entornos empresariales y proporcionar acceso remoto seguro a redes corporativas., es motivo de gran preocupación.
Detalles de la vulnerabilidad de día 0 de ICS
Las vulnerabilidades explotadas son CVE-2023-46805 (cvss 8.2) y CVE-2024-21887 (cvss 9.1). Las vulnerabilidades se pueden formar en una cadena de exploits para hacerse cargo de instancias susceptibles a través de Internet.. Estos defectos pueden tener consecuencias graves., incluido ejecución remota de código (ICE) y acceso no autorizado a datos confidenciales. Eso, de hecho, explica el motivo de 8+ puntuación – las mejores cosas vienen en dos.
La primera vulnerabilidad se refiere a la omisión de autenticación en el componente web., que permite a atacantes remotos acceder a recursos restringidos sin controles de control adecuados. La segunda vulnerabilidad está relacionada con la inyección de comandos en los componentes web., que permite a los administradores autenticados ejecutar comandos arbitrarios en el dispositivo enviando solicitudes especialmente diseñadas.
Parches aún no disponibles
Aunque ha identificado menos de diez clientes que se han visto afectados, Ivanti ha asesorado a todos sus clientes para ejecutar la herramienta externa Integrity Checker (TIC) como medida de precaución. La compañía también ha añadido nuevas funcionalidades al sistema TIC externo, que se incorporarán al sistema TIC interno. Los clientes deben asegurarse Tienen ambas herramientas’ Últimas Versiones.
En cuanto a las correcciones de parches, Ivanti planea lanzar parches para estas vulnerabilidades durante la semana de enero 22. Sin embargo, Se implementarán en un cronograma escalonado según la versión del producto.. Mientras tanto, la empresa ha publicado una serie de medidas de mitigación que los clientes deben seguir inmediatamente para salvaguardar sus sistemas. Se recomienda encarecidamente que las organizaciones sigan estos pasos de mitigación., ya que la situación aún está evolucionando.
Cómo protegerse contra las vulnerabilidades de día 0?
Dado que una vulnerabilidad de día cero es una vulnerabilidad que los atacantes conocieron antes que los desarrolladores de software., no hay solución garantizada. Sin embargo, Algunas medidas reducen significativamente los riesgos., y los enumeraré a continuación:
- Utilice soluciones de protección de nivel corporativo como EDR/XDR. Este innovador enfoque de software antimalware se centra en la protección de terminales en lugar de dispositivos individuales. Las soluciones EDR y XDR recopilan una gran cantidad de datos sobre la actividad de los terminales, incluyendo operaciones de archivos, tráfico de red, y comportamiento del usuario. Emplea aprendizaje automático e inteligencia artificial para detectar y responder a amenazas.. Al analizar estos datos, pueden identificar patrones anómalos que indican un ataque de día cero.
- Aplicar confianza cero. La confianza cero es un modelo de ciberseguridad que otorga acceso con el mínimo privilegio y verifica continuamente a los usuarios y dispositivos. Como resultado, Esto reduce la superficie de ataque y hace que sea más difícil explotar las vulnerabilidades..
- Realizar pentesting periódicamente. Las pruebas de penetración son un ataque real simulado a la infraestructura de TI de una organización para identificar y evaluar vulnerabilidades que los atacantes podrían explotar.. Así que, Esta acción puede ayudar a las organizaciones a identificar vulnerabilidades de día cero que otras herramientas de seguridad pueden no detectar..