imágenes falsas
Las agencias civiles federales tienen hasta la medianoche del sábado para cortar todas las conexiones de red al software Ivanti VPN, que actualmente está siendo fuertemente explotado por varios grupos maliciosos. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ordenó la medida el miércoles después de revelar tres vulnerabilidades críticas en las últimas semanas.
Hace tres semanas, Ivanti reveló dos vulnerabilidades críticas que los actores maliciosos ya estaban explotando activamente. Los ataques, dijo la compañía, se dirigieron a «un número limitado de clientes» que utilizaban los productos VPN Connect Secure y Policy Secure de la compañía. La empresa de seguridad Volexity afirmó el mismo día que las vulnerabilidades habían sido subexplotadas desde principios de diciembre. Ivanti no tenía un parche y, en cambio, recomendó a los clientes que tomaran varias medidas para protegerse contra ataques. Entre los pasos estaba ejecutar un verificador de integridad publicado por la empresa para detectar cualquier compromiso. Casi dos semanas después, los investigadores dijeron que las fallas de día cero estaban siendo explotadas a gran escala en ataques para secuestrar redes de clientes en todo el mundo. Un día después, Ivanti no cumplió su compromiso anterior de comenzar a implementar un parche adecuado antes del 24 de enero. La empresa no inició el proceso hasta el miércoles, dos semanas después de la fecha límite que se había fijado.
Y entonces, había tres
Ivanti revelado El miércoles, dos nuevas vulnerabilidades críticas en Connect Secure, rastreadas como CVE-2024-21888 y CVE-2024-21893. La compañía dijo que CVE-2024-21893, una clase de vulnerabilidad conocida como falsificación de solicitudes del lado del servidor, “parece ser el objetivo”, lo que eleva a tres el número de vulnerabilidades explotadas activamente. funcionarios del gobierno alemán dicho ya habían visto las exitosas hazañas del más nuevo. Los funcionarios también advirtieron que la explotación de las nuevas vulnerabilidades neutralizaba las medidas de mitigación que Ivanti recomendaba implementar a sus clientes.
Unas horas más tarde, la Agencia de Seguridad de Infraestructura y Ciberseguridad (generalmente abreviada como CISA)orden Todas las agencias federales bajo su autoridad deben «desconectar todas las instancias de las soluciones Ivanti Connect Secure e Ivanti Policy Secure de las redes de las agencias» antes de las 11:59 p. m. del viernes. Los funcionarios de la agencia establecieron la misma fecha límite para que las agencias sigan los pasos recomendados por Ivanti, diseñados para detectar si sus Ivanti Las VPN ya se han visto comprometidas en ataques en curso.
Los pasos incluyen:
- Identificación de cualquier sistema adicional conectado o conectado recientemente al dispositivo Ivanti afectado
- Monitorear los servicios de autenticación o gestión de identidad que podrían quedar expuestos.
- Aislar los sistemas de todos los recursos de la empresa en la mayor medida posible.
- Auditoría continua de cuentas de acceso con nivel de privilegio.
Luego, la directiva especifica que antes de que las agencias puedan volver a poner en línea sus productos Ivanti, deben seguir una larga serie de pasos que incluyen el restablecimiento de fábrica de su sistema, su reconstrucción siguiendo las instrucciones publicadas previamente por Ivanti y la instalación de parches de Ivanti.
«Las agencias que ejecutan los productos afectados deben asumir que las cuentas de dominio asociadas con los productos afectados han sido comprometidas», decía la directiva del miércoles. Luego, los funcionarios exigieron que para el 1 de marzo, las agencias debían restablecer las contraseñas «dos veces» para las cuentas locales, revocar los tickets de autenticación habilitados para Kerberos y luego revocar los tokens para las cuentas en la nube en implementaciones híbridas.
Steven Adair, presidente de Volexity, la empresa de seguridad que descubrió las dos primeras vulnerabilidades, dijo que sus análisis más recientes indican que al menos 2.200 clientes de los productos afectados se han visto comprometidos hasta la fecha. Aplaudió la directiva del miércoles de CISA.
«Esta es, de hecho, la mejor manera de aliviar cualquier temor de que un dispositivo aún pueda verse comprometido», dijo Adair en un correo electrónico. “Descubrimos que los atacantes buscaban activamente formas de eludir la detección de las herramientas de verificación de integridad. Dadas las vulnerabilidades anteriores y nuevas, este curso de acción en torno a un sistema completamente nuevo y parcheado podría ser la mejor solución para que las organizaciones no tengan que preguntarse si su dispositivo está activamente comprometido.
La directiva sólo es vinculante para las agencias bajo la autoridad de CISA. Sin embargo, cualquier usuario de productos vulnerables debe seguir los mismos pasos inmediatamente si aún no lo ha hecho.
