La alianza de los Cinco Ojos ha emitido una nueva advertencia de seguridad en línea, señalando que los atacantes están aprovechando las vulnerabilidades conocidas de Ivanti Connect Secure y Ivanti Policy Secure para lanzar ataques. Además, la alianza de los Cinco Ojos ha planteado preocupaciones sobre la herramienta de verificación de integridad (ICT), afirmando que puede tener defectos en su diseño y, por lo tanto, no puede proporcionar un estado de seguridad preciso.
El informe conjunto de advertencia de ciberseguridad emitido por el CISA de Estados Unidos y sus socios internacionales menciona que “el ICT de Ivanti no es suficiente para detectar actividades de intrusión, y los atacantes pueden seguir controlando sistemas vulnerables incluso después de que se hayan restablecido a su configuración de fábrica”.
Desde enero de 2024, se han revelado cinco vulnerabilidades de seguridad en los productos de Ivanti, de las cuales cuatro están siendo activamente explotadas por múltiples atacantes para desplegar malware:
CVE-2023-46805 (puntuación CVSS: 8.2) – Vulnerabilidad de omisión de autenticación en el componente web
CVE-2024-21887 (puntuación CVSS: 9.1) – Vulnerabilidad de inyección de comandos en el componente web
CVE-2024-21888 (puntuación CVSS: 8.8) – Vulnerabilidad de elevación de privilegios en el componente web
CVE-2024-21893 (puntuación CVSS: 8.2) – Vulnerabilidad SSRF en el componente SAML
CVE-2024-22024 (puntuación CVSS: 8.3) – Vulnerabilidad XXE en el componente SAML
Un informe de análisis publicado por Mandiant describe una variante de malware llamada “BUSHWALK”, que se coloca en el directorio /data/runtime/cockpit/diskAnalysis, que está excluido de los escaneos del ICT.
Las agencias de investigación de Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos han declarado: “Para los defensores de la red, la mejor práctica es asumir que los atacantes pueden seguir manteniendo el control de los dispositivos incluso después de que se hayan restablecido a su configuración de fábrica”, y han instado a las organizaciones a considerar “el riesgo significativo de que los atacantes accedan y sigan utilizando Ivanti Connect Secure y Ivanti Policy Secure” antes de decidir si continuar operando estos dispositivos en su entorno empresarial.
Según los datos compartidos por la empresa de seguridad en línea Akamai, se detectan alrededor de 250,000 intentos de explotación cada día, dirigidos a más de 1,000 clientes, provenientes de 18 países diferentes y utilizando más de 3,300 direcciones IP de ataque.
Noam Atias y Sam Tinklenberg afirman que “la mayoría de estos intentos de ataque buscan entregar un payload que envía una solicitud a un dominio controlado por el atacante, como prueba de una ejecución remota exitosa”.
Ivanti ha respondido a la advertencia de los Cinco Ojos, afirmando que no se ha encontrado evidencia de que los atacantes sigan presentes después de implementar las actualizaciones de seguridad y restablecer a la configuración de fábrica. Además, han lanzado una nueva versión del ICT, que afirman proporciona una mayor visibilidad de todos los archivos presentes en los sistemas de sus clientes.