La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó el viernes un directiva de emergencia instando a las agencias del Poder Ejecutivo Civil Federal (FCEB) a implementar medidas de mitigación contra dos vulnerabilidades de día cero explotadas activamente en los productos Ivanti Connect Secure (ICS) e Ivanti Policy Secure (IPS).
Este desarrollo se produjo después de que las vulnerabilidades (una omisión de autenticación (CVE-2023-46805) y un error de inyección de código (CVE-2024-21887)) fueran ampliamente explotadas por varios actores maliciosos. Las vulnerabilidades permiten que un actor malintencionado cree consultas maliciosas y ejecute comandos arbitrarios en el sistema.
Sociedad Americana Reconocido En un aviso, fue testigo de un “fuerte aumento en la actividad de los actores de amenazas” a partir del 11 de enero de 2024, después de que las deficiencias se revelaran públicamente.
«La explotación exitosa de las vulnerabilidades en estos productos afectados permite que un actor malicioso se mueva lateralmente, realice una filtración de datos y establezca un acceso persistente al sistema, lo que resulta en un compromiso total de los sistemas de información de destino», dijo la agencia. dicho.
Ivanti, que se espera que lance una actualización para corregir las fallas la próxima semana, ha puesto a disposición una solución temporal a través de un archivo XML que se puede importar a los productos afectados para realizar los cambios de configuración necesarios.
CISA insta a las organizaciones que ejecutan ICS a aplicar mitigaciones y ejecutar una herramienta de verificación de integridad externa para identificar signos de compromiso y, si corresponde, desconectarlos de las redes y restablecer el dispositivo, luego importar el archivo XML.
Además, las entidades de la FCEB están exhortado para revocar y volver a emitir todos los certificados almacenados, restablecer la contraseña de habilitación del administrador, almacenar claves API y restablecer las contraseñas de cualquier usuario local definido en la puerta de enlace.
Las empresas de ciberseguridad Volexity y Mandiant han observado ataques que explotan fallas para implementar shells web y puertas traseras pasivas para el acceso persistente a dispositivos comprometidos. Se estima que hasta la fecha hasta 2.100 dispositivos en todo el mundo se han visto comprometidos.
La primera ola de ataques identificada en diciembre de 2023 se atribuyó a un grupo de estado-nación chino rastreado como UTA0178. Mandiant monitorea esta actividad bajo el nombre UNC5221, aunque no se ha vinculado a ningún grupo o país específico.
La firma de inteligencia de amenazas GreyNoise también lo dijo observado las vulnerabilidades se están explotando para eliminar puertas traseras persistentes y mineros de criptomonedas XMRig, lo que indica una explotación oportunista por parte de malos actores para obtener ganancias financieras.
