Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Atacantes de estados-nación aprovechan las fallas de Ivanti CSA para la infiltración en la red
  • Tecnología

Atacantes de estados-nación aprovechan las fallas de Ivanti CSA para la infiltración en la red

teknomers 14 de Ekim de 2024 (Last updated: 14 de Ekim de 2024) 3 minutes read
Atacantes de estados-nación aprovechan las fallas de Ivanti CSA para


14 de octubre de 2024Ravie LakshmananSeguridad/vulnerabilidad de la red

Se ha observado que un presunto adversario de un estado-nación utiliza tres fallas de seguridad en Ivanti Cloud Service Appliance (CSA) en un día cero para realizar una serie de acciones maliciosas.

Esto es según los hallazgos de Fortinet FortiGuard Labs, que dijeron que se abusó de las vulnerabilidades para obtener acceso no autenticado al CSA, enumerar los usuarios configurados en el dispositivo e intentar acceder a las credenciales de esos usuarios.

“Se observó a los adversarios avanzados explotando y encadenando vulnerabilidades de día cero para establecer un acceso de cabeza de playa en la red de la víctima”, dijeron los investigadores de seguridad Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans y Robert Reyes. dicho.

Ciberseguridad

Los defectos en cuestión se enumeran a continuación:

  • CVE-2024-8190 (Puntuación CVSS: 7,2) – Un error de inyección de comandos en el recurso /gsb/DateTimeTab.php
  • CVE-2024-8963 (Puntuación CVSS: 9,4) – Una vulnerabilidad de recorrido de ruta en el recurso /client/index.php
  • CVE-2024-9380 (Puntuación CVSS: 7,2): una vulnerabilidad de inyección de comando autenticado que afecta al recurso reports.php

En la siguiente etapa, las credenciales robadas asociadas con gsbadmin y admin se utilizaron para realizar una explotación autenticada de la vulnerabilidad de inyección de comandos que afecta al recurso /gsb/reports.php con el fin de colocar un shell web (“help.php”).

“El 10 de septiembre de 2024, cuando Ivanti publicó el aviso para CVE-2024-8190, el actor de amenazas, todavía activo en la red del cliente, ‘parchó’ las vulnerabilidades de inyección de comandos en los recursos /gsb/DateTimeTab.php, y /gsb/reports.php, haciéndolos inexplotables.”

“En el pasado, se ha observado que los actores de amenazas parchean vulnerabilidades después de haberlas explotado y de haber logrado afianzarse en la red de la víctima, para evitar que cualquier otro intruso obtenga acceso a los activos vulnerables y potencialmente interfiera con sus operaciones de ataque. “

Defectos de Ivanti CSA
Explotación de vulnerabilidad SQLi

Los atacantes desconocidos también han sido identificados abusando de CVE-2024-29824, una falla crítica que afecta a Ivanti Endpoint Manager (EPM), después de comprometer el dispositivo CSA con acceso a Internet. Específicamente, esto implicó habilitar el procedimiento almacenado xp_cmdshell para lograr la ejecución remota de código.

Ciberseguridad

Vale la pena señalar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en la primera semana de octubre de 2024.

Algunas de las otras actividades incluyeron la creación de un nuevo usuario llamado mssqlsvc, la ejecución de comandos de reconocimiento y la extracción de los resultados de esos comandos a través de una técnica conocida como túnel DNS usando código PowerShell. También es de destacar la implementación de un rootkit en forma de objeto del kernel de Linux (sysinitd.ko) en el dispositivo CSA comprometido.

“El motivo probable detrás de esto fue que el actor de la amenaza mantuviera la persistencia a nivel de kernel en el dispositivo CSA, que puede sobrevivir incluso a un restablecimiento de fábrica”, dijeron los investigadores de Fortinet.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: En directo a partir de las 18:00 horas: Frankfurt recibe a Friburgo y quiere estar en la cima
Next: ¿10 millones de dólares? ¿30 millones de dólares? ¿100 millones de dólares? La redefinición de los superricos

Related Stories

Mientras el mercado de los smartphones se hunde, Apple logra
  • Tecnología

Mientras el mercado de los smartphones se hunde, Apple logra el mejor segundo trimestre de su historia.

teknomers 15 de Temmuz de 2026
Capo X: No uno, sino dos PCs gaming en una
  • Tecnología

Capo X: No uno, sino dos PCs gaming en una única carcasa Thermaltake.

teknomers 15 de Temmuz de 2026
Intel invierte 5 mil millones de euros en Irlanda para
  • Tecnología

Intel invierte 5 mil millones de euros en Irlanda para acelerar la IA y los centros de datos

teknomers 15 de Temmuz de 2026

You May Have Missed

  • General

«Aumentan las facturas y agotan nuestros recursos»: Nueva York dice basta al desarrollo de data centers

teknomers 15 de Temmuz de 2026
  • General

La policía del Reino Unido informa que la expolítica y personalidad de televisión Ann Widdecombe fue asesinada en un ‘ataque dirigido’.

teknomers 15 de Temmuz de 2026
  • Finanzas

Aumento de los combustibles: un informe parlamentario califica las medidas del gobierno de insuficientes

teknomers 15 de Temmuz de 2026
  • Deporte

« Hemos perdido contra nosotros mismos », jugadores « aniquilados » en el vestuario: los entresijos del naufragio de los Bleus frente a España

teknomers 15 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.