La alianza de inteligencia Five Eyes (FVEY) ha emitido una nueva advertencia de seguridad cibernética sobre actores de amenazas cibernéticas que explotan fallas de seguridad conocidas en las puertas de enlace Ivanti Connect Secure e Ivanti Policy Secure, señalando que la herramienta Integrity Checker (TIC) puede ser engañada para proporcionar una sensación falsa. de seguridad.
«Las TIC de Ivanti no son suficientes para detectar compromisos y un actor de amenazas cibernéticas puede lograr persistencia a nivel de raíz a pesar de realizar restablecimientos de fábrica», afirman las agencias. dicho.
Hasta la fecha, Ivanti ha revelado cinco vulnerabilidades de seguridad que afectan a sus productos desde el 10 de enero de 2024, de las cuales cuatro han sido explotadas activamente por múltiples actores de amenazas para implementar malware.
- CVE-2023-46805 (Puntuación CVSS: 8,2) – Vulnerabilidad de omisión de autenticación en el componente web
- CVE-2024-21887 (Puntuación CVSS: 9,1) – Vulnerabilidad de inyección de comandos en un componente web
- CVE-2024-21888 (Puntuación CVSS: 8,8) – Vulnerabilidad de escalada de privilegios en el componente web
- CVE-2024-21893 (Puntuación CVSS: 8.2) – Vulnerabilidad SSRF en el componente SAML
- CVE-2024-22024 (Puntuación CVSS: 8,3) – Vulnerabilidad XXE en el componente SAML
Mandiant, en un análisis publicado esta semana, describió cómo una versión cifrada de malware conocida como BUSHWALK se coloca en un directorio excluido por las TIC en /data/runtime/cockpit/diskAnalysis.
Eclypsium también destacó previamente las exclusiones de directorios este mes, indicando que la herramienta omite el escaneo de una docena de directorios, lo que permite a un atacante dejar puertas traseras en una de estas rutas y aun así pasar la verificación de integridad.
«El curso de acción más seguro para los defensores de la red es asumir que un actor de amenazas sofisticado puede implementar persistencia a nivel de rootkit en un dispositivo que ha sido reiniciado y permaneció inactivo durante un período de tiempo arbitrario», dijeron agencias de Australia, Canadá, Nueva Zelanda y el Reino Unido. , y Estados Unidos dijo.
También instaron a las organizaciones a «considerar el riesgo significativo del acceso del adversario y la persistencia en las puertas de enlace Ivanti Connect Secure e Ivanti Policy Secure al determinar si continuar operando estos dispositivos en un entorno empresarial».
Ivanti, en respuesta al aviso, dicho No tiene conocimiento de ningún caso de persistencia exitosa de actores de amenazas luego de la implementación de actualizaciones de seguridad y restablecimientos de fábrica. También está lanzando una nueva versión de ICT que, según dijo, «proporciona visibilidad adicional del dispositivo de un cliente y de todos los archivos que están presentes en el sistema».