Hace un par de semanas Ivanti informó de la existencia de dos vulnerabilidades de Día Cero que afectan a todas las versiones de sus gateways Ivanti Connect Secure (ICS) e Ivanti Policy Secure. Identificadas como CVE-2023-46805 y CVE-2024-21887, la primera es una vulnerabilidad de omisión de autenticación de gravedad alta y la segunda una vulnerabilidad de inyección de comando de gravedad crítica. Cuando se encadenan, la explotación de estas vulnerabilidades permite a los atacantes ejecutar comandos en el sistema comprometido sin necesidad de autenticación.
La publicación de un código de prueba de concepto para ambas vulnerabilidades aumentaba el riesgo de que estas vulnerabilidades fueran utilizadas por ciberdelincuentes. Como así ha sido. O, mejor dicho, está siendo.
Explica la unidad de investigación de Palo Alto, Unit42, que el uso de estos dos productos de Ivanti está muy extendido. De hecho, a fecha 9 de enero de 2024, Unit42 ha detectado 30,089 instancias expuestas de Connect Secure en 141 países, y aseguran estar involucrados en varios casos de respuesta a incidentes que se sospecha que involucran estas vulnerabilidades.
Habiendo desarrollado una forma de escanear dispositivos en busca de signos de compromiso, Volexity, una compañía especializada en tecnología forense, ha observado que la explotación de estas vulnerabilidades “está ahora generalizada”. Volexity ha podido encontrar pruebas de compromiso en más de 1.700 dispositivos en todo el mundo. Asegura la compañía en un post que otros actores de amenazas además de UTA0178 parecen tener ahora acceso al exploit y están intentando activamente explotar los dispositivos.
La tercera
Se informa ahora de una tercera vulnerabilidad que está siendo explotada. Identificado como CVE-2023-35078, el fallo de omisión de autenticación afecta a Ivanti Endpoint Manager Mobile, versión 11.10 y anteriores, así como a MobileIron Core, versión 11.7 y anteriores.
Esta tercera vulnerabilidad, divulgada por primera vez en agosto de 2023, puede permitir que un usuario no autorizado “acceda potencialmente a la información de identificación personal de los usuarios y realice cambios limitados en el servidor”, dijo la compañía en una publicación de ese mes. Se ha considerado que la vulnerabilidad plantea el máximo riesgo posible, con una puntuación de gravedad de 10,0 sobre 10,0, dijo Ivanti.
