Contenido

Vulnerabilidad de Ivanti VPN: Lo que debe saber

Contenido

Los piratas informáticos chinos patrocinados por el Estado han atacado las vulnerabilidades anunciadas recientemente en los productos VPN de Ivanti, las puertas de enlace Ivanti Connect Secure (antes Pulse Secure) e Ivanti Policy Secure. Estas vulnerabilidades se reportan como CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 y CVE-2024-21893.

Cuando se utilizan juntas, estas vulnerabilidades pueden permitir eludir la autenticación no autorizada y la ejecución remota de comandos. Ivanti ha publicado parches para estas vulnerabilidades para las versiones más utilizadas de sus productos, pero la empresa aún no ha publicado parches para todas las versiones vulnerables de sus productos. Esto conduce a un mayor riesgo de escalada de privilegios y falsificación de peticiones del lado del servidor para aquellos que aún no son capaces de aplicar un parche.

 

Medidas y recomendaciones de seguridad Ivanti

Unit 42® aconseja la aplicación inmediata de parches para estas vulnerabilidades a medida que estén disponibles y una postura proactiva sobre los reinicios del sistema antes de aplicar los parches para garantizar la integridad del entorno. En respuesta a las vulnerabilidades recién descubiertas, nos hacemos eco de la recomendación de CISA de desconectar de la red las soluciones comprometidas y subrayamos la importancia de aplicar con diligencia los parches disponibles o de próxima aparición.

En el último segmento del podcast Vector de Amenazas, los expertos en ciberseguridad de Unit 42 Sam Rubin, vicepresidente y responsable global de operaciones, e Ingrid Parker, directora senior de la Unidad de Respuesta Intel, profundizan en las vulnerabilidades críticas encontradas en los productos de seguridad Connect Secure y Policy Security de Ivanti. Exploran el impacto potencial de las vulnerabilidades, la urgencia de su mitigación y las estrategias de defensa.

Podcast vectorial
white triangle

Suscríbase y escuche a través de su reproductor de podcast favorito

 

Unidad 42 Casos de respuesta a incidentes

Las campañas de explotación de las vulnerabilidades Ivanti CVE-2023-46805 y CVE-2024-21887 se produjeron en tres oleadas distintas.

La primera oleada duró al menos desde la segunda semana de diciembre de 2023 hasta el 10 de enero de 2024, cuando Volexity publicó su primera entrada en el blog sobre el asunto. Los ataques de esta campaña estaban dirigidos y presentaban múltiples conchas web personalizadas y movimiento lateral. La Unit 42 respondió a una actividad de amenaza que probablemente correspondía a esta oleada de campañas.

De forma similar a la actividad comentada en la entrada del blog de Volexity, observamos al actor de amenazas realizando las siguientes actividades:

  • Archivado de archivos incluyendo NTDS.dit utilizando 7-Zip antes de la exfiltración
  • Creación de un volcado de memoria del proceso LSASS mediante el Administrador de tareas de Windows (Taskmgr.exe)
  • Desplazamiento lateral a través del protocolo de escritorio remoto (RDP)
  • Borrado de registros

La segunda oleada comenzó tras la primera entrada del blog de Volexity el 10 de enero de 2024. Esta oleada estuvo marcada por un cambio de los ataques selectivos a la explotación masiva por parte de actores de amenazas adicionales.

La Unit 42 respondió a casos de actividad de amenazas que probablemente correspondían a esta oleada de campañas. La actividad de amenaza fue coherente en todos estos casos.

El actor de amenazas volcó datos de configuración que contenían esquemas, ajustes, nombres y credenciales de los distintos usuarios y cuentas de la red, pero no realizó ningún movimiento lateral como los incidentes ocurridos en la primera oleada.

Unit 42 cree que los actores de amenazas detrás de esta actividad podrían haber cambiado el enfoque hacia una explotación más amplia para maximizar el impacto antes de que las organizaciones pudieran empezar a parchear y aplicar las directrices de mitigación.

La tercera oleada comenzó ya el 16 de enero de 2024, cuando los exploits de prueba de concepto (PoC) se hicieron públicos. La liberación de estos exploits conduce a la explotación masiva por parte de una serie de actores con diversas motivaciones y grados de sofisticación, incluidas las entidades criminales que implementan ampliamente la Criptominería y diversos software de supervisión y administración remota (RMM).

La Unit 42 ha respondido a una actividad de amenazas que probablemente correspondía a esta oleada, procedente de un actor de amenazas que utilizaba un exploit PoC disponible públicamente. Actualmente estamos apoyando a nuestros clientes en la investigación de esos incidentes.

Estrategias integrales de defensa de Ivanati

El descubrimiento de estas vulnerabilidades subraya la necesidad de contar con medidas de seguridad vigilantes y capacidades de respuesta rápida. Esto ha puesto de relieve las vulnerabilidades críticas de seguridad dentro de las tecnologías de redes privadas virtuales (VPN) ampliamente utilizadas y explotadas por sofisticados actores de amenazas. Estas vulnerabilidades permiten el acceso y control no autorizados, lo que supone riesgos significativos para las redes de las organizaciones.

Las siguientes estrategias son fundamentales para mantener una postura de seguridad sólida frente a las ciberamenazas en evolución, garantizando la protección de la información sensible y las infraestructuras críticas:

  • Haga un inventario de sus activos: Catalogue todos los dispositivos, sistemas y software de la red.
  • Elija las herramientas adecuadas: Utilice las herramientas de exploración de vulnerabilidades que mejor se adapten a la complejidad y escala de su entorno informático.
  • Escanee en busca de vulnerabilidades: Ejecute regularmente escaneos para identificar debilidades de seguridad en sus sistemas.
  • Analice los resultados: Revise cuidadosamente los resultados del escaneado para priorizar las vulnerabilidades en función de su gravedad e impacto potencial.
  • Remediar y parchear: Aplique los parches o soluciones necesarias para mitigar las vulnerabilidades identificadas.
  • Repita y revise: Supervise y reevalúe su postura de seguridad para adaptarse a las nuevas amenazas.

No deje de consultar nuestro avanzado Informe Ivanti sobre amenazas emergentes:

Informe sobre amenazas emergentes de la Unit 42

Informe sobre amenazas emergentes de la Unit 42: Vulnerabilidades múltiples de Ivanti

Adoptar una estrategia global de ciberseguridad

Es esencial tomar medidas importantes para proteger su red de posibles ciberamenazas. Algunos métodos para salvaguardar su red incluyen ocultar las aplicaciones y las VPN de la visibilidad pública de Internet para protegerlas de los atacantes. También debe inspeccionar a fondo todo el tráfico entrante y saliente para neutralizar amenazas como el malware y los exploits de día cero.

Aplicar el principio del menor privilegio en toda su red es otro paso vital. Esto garantiza que los usuarios sólo puedan acceder a los recursos necesarios para sus funciones. También debe reforzar los controles de acceso utilizando una sólida autenticación multifactor para verificar eficazmente las identidades de los usuarios.

También se recomienda conectar a los usuarios directamente a las aplicaciones en lugar de a la red más amplia. Esto minimiza los daños potenciales derivados de incidentes de seguridad. Utilizar la supervisión continua también es esencial para identificar y mitigar las amenazas planteadas por personas internas comprometidas o actores externos.

Para proteger los datos sensibles, debe aplicarse una supervisión diligente y un cifrado tanto en tránsito como en reposo. El empleo de tecnologías de engaño y la búsqueda proactiva de amenazas puede ayudar a identificarlas y neutralizarlas antes de que puedan causar daños.

Fomentar una cultura de concienciación sobre la seguridad dentro de su organización también puede servir de defensa contra vectores comunes como el phishing. La evaluación periódica de sus medidas de seguridad mediante evaluaciones y simulaciones puede ayudar a identificar y abordar las vulnerabilidades.

Enfoque de confianza cero de Palo Alto Networks

En respuesta a estas amenazas, Palo Alto Networks hace hincapié en la importancia de una Arquitectura de Confianza Cero, que proporcione un acceso seguro y segmentado a las aplicaciones sin exponerlas a las amenazas directas de Internet. Nuestras soluciones, que incluyen políticas avanzadas de prevención de amenazas y segmentación, están diseñadas para minimizar la superficie de ataque, impedir el acceso no autorizado y detectar y responder a las amenazas en tiempo real.

 

10 preguntas y respuestas frecuentes sobre la vulnerabilidad Ivanti para profesionales de la seguridad empresarial

La vulnerabilidad Ivanti se refiere a cinco vulnerabilidades altas o críticas (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893 y CVE-2024-22024) divulgadas por Ivanti en sus productos Connect Secure y Policy Secure. Estas vulnerabilidades van desde la elusión de autenticación y las vulnerabilidades de inyección de comandos hasta la escalada de privilegios y las vulnerabilidades de falsificación de peticiones del lado del servidor.
Estas vulnerabilidades pueden permitir el acceso no autorizado a los productos Ivanti, dando lugar a la ejecución no autorizada de comandos, la escalada de privilegios y el acceso a recursos restringidos. Estas vulnerabilidades plantean riesgos importantes para las redes de las empresas y pueden provocar filtraciones de datos o interrupciones de los servicios de red.
Si se aprovechan, estas vulnerabilidades pueden dar a los atacantes acceso a recursos restringidos, permitirles escalar privilegios a un nivel de administrador e incluso ejecutar comandos arbitrarios en el aparato. Estas vulnerabilidades explotadas podrían dar lugar a violaciones de datos, interrupciones de los servicios de red y nuevas infiltraciones en la red.
Ivanti ha proporcionado una herramienta de comprobación de integridad externa que puede ejecutar para buscar signos de estas vulnerabilidades en sus productos Ivanti. Esta herramienta se ha actualizado con funciones adicionales para solucionar estas vulnerabilidades.
Si sus productos Ivanti están afectados, Ivanti recomienda aplicar los parches proporcionados tan pronto como estén disponibles. Para los productos en los que los parches aún no están disponibles, Ivanti sugiere realizar una solución provisional hasta que se publiquen los parches.
Si sospecha que estas vulnerabilidades han sido explotadas, debe desconectar de su red los productos Ivanti afectados, tal y como recomienda CISA. También debe iniciar un proceso de respuesta a incidentes, investigar en busca de signos de compromiso y considerar la contratación de asistencia profesional en ciberseguridad. Palo Alto Networks Unit 42 puede ayudarle, llámenos.
El escaneado regular de vulnerabilidades, la aplicación oportuna de parches y los planes resistentes de respuesta a incidentes son la clave para proteger su organización. También es esencial seguir las mejores prácticas de seguridad, como el acceso de privilegios mínimos, la autenticación multifactor y la segmentación de la red.
Los COI específicos pueden variar, incluyendo tráfico de red inusual, comportamiento inesperado del sistema y pruebas de acceso no autorizado o escalada de privilegios. Ivanti o su proveedor de soluciones de seguridadpueden proporcionarle COI más específicos.
A partir de la última actualización, más de 28.000 instancias de Ivanti Connect Secure y Policy Secure han sido expuestas en 145 países. Se han observado más de 600 casos comprometidos. Estas vulnerabilidades han sido explotadas activamente desde al menos principios de diciembre de 2023.
Sí, los clientes de Palo Alto Networks pueden implementar mitigaciones para estas vulnerabilidades utilizando varios productos y funciones como Cortex Xpanse, Next-Generation Firewall con Advanced Threat Prevention, Advanced WildFire, Advanced URL Filtering y DNS Security, y Cortex XDR y XSIAM.
Contenido relacionado
Gobernanza de la seguridad de la información
Proteger la información de forma coherente en toda la empresa significa contar con las personas adecuadas para alinear el programa de seguridad de la información con la estrategia ...
Utilice las políticas de datos para detectar la exposición de datos o malware
Detecte el malware y evite la exposición involuntaria o maliciosa de datos confidenciales con perfiles de datos y patrones de datos predefinidos.
5 Las organizaciones logran una visibilidad y un cumplimiento de 360
Aprenda cómo las organizaciones logran una visibilidad centralizada en todos los entornos de nube para remediar las vulnerabilidades y eliminar las amenazas.
Visibilidad y clasificación de datos
Muchas organizaciones no tienen suficiente visibilidad de los tipos de datos críticos, como la información personal identificable. Esto se vuelve problemático a la hora de enfrenta...

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas