El gigante estadounidense de software Ivanti ha confirmado que los piratas informáticos están explotando dos vulnerabilidades críticas que afectan a su ampliamente utilizado dispositivo VPN corporativo, pero dijo que los parches no estarán disponibles hasta finales de mes.
Ivanti dijo que las dos vulnerabilidades: rastreado como CVE-2023-46805 y CVE-2024-21887 – se encontraron en su software Ivanti Connect Secure. Anteriormente conocida como Pulse Connect Secure, se trata de una solución VPN de acceso remoto que permite a los usuarios remotos y móviles acceder a recursos corporativos a través de Internet.
Ivanti dijo que tiene conocimiento de “menos de 10 clientes” afectados hasta el momento por las vulnerabilidades de “día cero”, descritas como tales dado que Ivanti no tuvo tiempo para corregir las fallas antes de que fueran explotadas maliciosamente.
Uno de ellos también era cliente de la empresa de ciberseguridad Volexity, que dijo actividad sospechosa detectada en la red del cliente en la segunda semana de diciembre. Volexity descubrió que los piratas informáticos habían encadenado las dos vulnerabilidades de Connect Secure para lograr la ejecución remota de código no autenticado, lo que les permitió “robar datos de configuración, modificar archivos existentes, descargar archivos remotos e invertir el túnel desde el dispositivo VPN ICS”.
Volexity dijo que tiene evidencia que sugiere que el dispositivo VPN del cliente pudo haber sido comprometido ya el 3 de diciembre, y ha vinculado el ataque a un grupo de hackers respaldado por China al que rastrea como UTA0178.
Si bien Ivanti, que no es ajena a los días cero, dice que sólo unos pocos de sus clientes corporativos se ven afectados, el investigador de seguridad Kevin Beaumont señaló en Mastodon que “probablemente habrá muchas más víctimas”. Beaumont, que denominó las dos vulnerabilidades “ConnectAround”, publicó los resultados de un análisis que muestra aproximadamente 15.000 dispositivos Ivanti afectados expuestos a Internet en todo el mundo.
en un entrada en el blog Compartido con TechCrunch el jueves, la investigadora de Rapid7, Caitlin Condon, señaló que la compañía de ciberseguridad había observado actividad de escaneo “dirigida a nuestros honeypots que emulan los dispositivos Ivanti Connect Secure”.
Ivanti dice que los parches para las dos vulnerabilidades se lanzarán de forma escalonada a partir de la semana del 22 de enero y hasta mediados de febrero. Cuando TechCrunch preguntó por qué los parches no estaban disponibles de inmediato, Ivanti se negó a hacer comentarios. Ivanti también se negó a decir si tiene conocimiento de alguna filtración de datos como resultado de estos ataques en estado salvaje, o si ha atribuido estos ataques a algún actor de amenaza específico.
Ivanti insta a que las organizaciones potencialmente afectadas prioricen el seguimiento de sus directrices de mitigación y La agencia estadounidense de ciberseguridad CISA también ha publicado un aviso instando a Ivanti Connect Secure a mitigar las dos vulnerabilidades de inmediato.
Sin embargo, como señaló Volexity, la aplicación de estas mitigaciones no resolverá compromisos pasados.
