Vulnerabilidad SSRF de Ivanti
Sin categoría

Vulnerabilidad SSRF de Ivanti: Un Aumento en la Actividad de Explotación

Un importante problema de seguridad ha surgido con el descubrimiento de una vulnerabilidad de solicitud de falsificación en el lado del servidor (SSRF), designada como CVE-2024-21893, que afecta a Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons para ZTA. Esta vulnerabilidad, que presenta un puntaje CVSS de 8.2, señala un riesgo de alta severidad, permitiendo a los atacantes no autenticados acceder a recursos restringidos. La falla SSRF es particularmente alarmante debido a su explotación en el mundo real por varios actores de amenazas, subrayando la urgencia de que las organizaciones afectadas implementen medidas de protección​​​​.

Explotación en el Mundo Real

La vulnerabilidad SSRF ha sido objeto de explotación masiva, con actores de amenazas aprovechando esta debilidad para eludir mecanismos de autenticación. Notablemente, el volumen de la explotación de esta vulnerabilidad específica es mucho mayor que el de otras fallas de Ivanti recientemente corregidas o mitigadas, indicando un claro cambio en el enfoque de los atacantes​​​​.

Ivanti alertó inicialmente sobre esta falla en los componentes SAML de sus soluciones el 31 de enero de 2024, dándole el estatus de zero-day por la explotación activa limitada, afectando a un pequeño número de clientes. La explotación de CVE-2024-21893 permitió a los atacantes eludir la autenticación y acceder a recursos restringidos en dispositivos vulnerables (versiones 9.x y 22.x). El servicio de monitoreo de amenazas Shadowserver ahora está viendo a múltiples atacantes aprovechando el error SSRF, con 170 direcciones IP distintas intentando explotar la falla​​.

Recomendaciones y Medidas de Seguridad

Ivanti ha publicado actualizaciones de seguridad para dos otras vulnerabilidades de zero-day que afectan a los mismos productos, CVE-2023-46805 y CVE-2024-21887, descubiertas por primera vez el 10 de enero de 2024, junto con mitigaciones temporales. Estas dos fallas fueron explotadas por el grupo de espionaje chino UTA0178/UNC5221 para instalar webshells y puertas traseras en dispositivos vulnerables. Las infecciones de esta campaña alcanzaron su punto máximo en alrededor de 1,700 a mediados de enero​​.

Debido a la situación con la explotación activa de múltiples vulnerabilidades críticas de zero-day, la falta de mitigaciones efectivas y la ausencia de actualizaciones de seguridad para algunas de las versiones de productos afectadas, la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha ordenado a las agencias federales desconectar todos los dispositivos VPN Ivanti Connect Secure y Policy Secure. Solo los dispositivos que hayan sido restablecidos de fábrica y actualizados a la última versión del firmware deberían volver a conectarse a la red​​​​.

Las organizaciones deben considerar seriamente el estado de seguridad de sus implementaciones de Ivanti y la confianza en su entorno en general. La situación subraya la necesidad crítica de mantenerse al día con las actualizaciones de seguridad y aplicar las medidas de protección recomendadas sin demora.

Descubre cómo Simodef puede ayudar a tener los sistemas ciberseguros.

Tags:

No responses yet

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *