Ivanti alerta sobre dos nuevos fallos de alta gravedad en sus productos Connect Secure y Policy Secure, uno de los cuales se dice que ha sido objeto de explotación selectiva en la naturaleza.
La lista de vulnerabilidades es la siguiente:
- CVE-2024-21888 (Puntuación CVSS: 8,8): una vulnerabilidad de escalada de privilegios en el componente web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) permite a un usuario elevar privilegios a los de un administrador
- CVE-2024-21893 (Puntuación CVSS: 8.2) – Una vulnerabilidad de falsificación de solicitudes del lado del servidor en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) e Ivanti Neurons for ZTA permite un atacante para acceder a ciertos recursos restringidos sin autenticación
La empresa de software con sede en Utah dicho No encontró evidencia de que los clientes se hayan visto afectados por CVE-2024-21888 hasta el momento, pero reconoció que «la explotación de CVE-2024-21893 parece ser el objetivo».
Además, señaló que «espera que el actor de la amenaza cambie su comportamiento y esperamos un fuerte aumento en la explotación una vez que esta información sea pública».
Además de la divulgación pública de las dos nuevas vulnerabilidades, Ivanti ha publicado correcciones para las versiones 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 y 22.5R1.1 de Connect Secure, y la versión 22.6R1 de ZTA. .3.
«Por precaución, recomendamos como mejor práctica que los clientes restablezcan su dispositivo de fábrica antes de aplicar el parche para evitar que el actor de amenazas obtenga persistencia de actualización en su entorno», dijo. «Los clientes deben esperar que este proceso demore entre 3 y 4 horas».
Como solución temporal para solucionar CVE-2024-21888 y CVE-2024-21893, se recomienda a los usuarios importar el archivo «mitigation.release.20240126.5.xml».
El último desarrollo se produce cuando otras dos fallas en el mismo producto (CVE-2023-46805 y CVE-2024-21887) han sido ampliamente explotadas por múltiples actores de amenazas para implementar puertas traseras, mineros de criptomonedas y un cargador basado en Rust llamado KrustyLoader.