La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el lunes agregado Cinco fallas de seguridad que afectan la ventaja de Veracore e Ivanti Endpoint Manager (EPM) a sus vulnerabilidades explotadas conocidas (Kev) Catálogo, basado en evidencia de explotación activa en la naturaleza.
La lista de vulnerabilidades es la siguiente –
- CVE-2024-57968 – Una vulnerabilidad de carga de archivos sin restricciones en Advantive Veracore que permite que un atacante remoto no autenticado cargue archivos a carpetas no deseadas a través de la carga.APSX
- CVE-2025-25181 – Una vulnerabilidad de inyección SQL en VERTIVE Veracore que permite a un atacante remoto ejecutar comandos SQL arbitrarios
- CVE-2024-13159 – Una vulnerabilidad de transversal de ruta absoluta en Ivanti EPM que permite a un atacante remoto no autenticado para filtrar información confidencial
- CVE-2024-13160 – Una vulnerabilidad de transversal de ruta absoluta en Ivanti EPM que permite a un atacante remoto no autenticado para filtrar información confidencial
- CVE-2024-13161 – Una vulnerabilidad de transversal de ruta absoluta en Ivanti EPM que permite a un atacante remoto no autenticado para filtrar información confidencial
La explotación de las vulnerabilidades de Veracore se ha atribuido a un actor de amenaza vietnamita llamado XE Group, que se ha observado que elimina conchas inversas y conchas web para mantener el acceso remoto persistente a los sistemas comprometidos.
Por otro lado, actualmente no hay informes públicos sobre cómo se están armando los tres fallas de Ivanti EPM en ataques del mundo real. Horizon3.ai lanzó una exploit de prueba de concepto (POC) el mes pasado. La compañía de ciberseguridad los describió como errores de “coerción de credencial” que podrían permitir que un atacante no autenticado comprometa los servidores.
A la luz de la explotación activa, es esencial que las agencias federales de rama ejecutiva civil (FCEB) apliquen los parches necesarios antes del 31 de marzo de 2025.
El desarrollo se produce cuando la firma de inteligencia de amenazas Greynose advirtió sobre la explotación masiva de CVE-2024-4577, una vulnerabilidad crítica que afecta a PHP-CGI, con picos en la actividad de ataque dirigida a Japón, Singapur, Indonesia, el Reino Unido, España e India.
“Más del 43% de los IP que se dirigen a CVE-2024-4577 en los últimos 30 días son de Alemania y China”, Greynoise dichoagregarlo “detectó un aumento coordinado en los intentos de explotación contra redes en múltiples países, lo que sugiere un escaneo automatizado adicional para objetivos vulnerables” en febrero.
About the Author
