Un par de fallas de día cero identificadas en Ivanti Connect Secure (ICS) y Policy Secure han sido encadenadas por actores estatales sospechosos vinculados a China para violar a menos de 10 clientes.
La empresa de ciberseguridad Volexity, que identificado la actividad en la red de uno de sus clientes en la segunda semana de diciembre de 2023, la atribuyó a un grupo de hackers al que rastrea con el nombre UTA0178. Hay evidencia que sugiere que el dispositivo VPN pudo haber sido comprometido ya el 3 de diciembre de 2023.
Las dos vulnerabilidades que se han explotado en la naturaleza para lograr la ejecución de comandos no autenticados en el dispositivo ICS son las siguientes:
- CVE-2023-46805 (Puntuación CVSS: 8,2): una vulnerabilidad de omisión de autenticación en el componente web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite a un atacante remoto acceder a recursos restringidos eludiendo las comprobaciones de control.
- CVE-2024-21887 (Puntuación CVSS: 9.1): una vulnerabilidad de inyección de comandos en componentes web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo.
Las vulnerabilidades se pueden formar en una cadena de exploits para hacerse cargo de instancias vulnerables a través de Internet.
«Si CVE-2024-21887 se utiliza junto con CVE-2023-46805, la explotación no requiere autenticación y permite a un actor de amenazas crear solicitudes maliciosas y ejecutar comandos arbitrarios en el sistema», Ivanti dicho en un aviso.
La compañía dijo que ha observado intentos por parte de los actores de amenazas de manipular el verificador de integridad interno de Ivanti (TIC), que ofrece una instantánea del estado actual del dispositivo.
Se espera que los parches se publiquen de forma escalonada a partir de la semana del 22 de enero de 2024. Mientras tanto, se recomendó a los usuarios que apliquen una solución alternativa para protegerse contra posibles amenazas.
En el incidente analizado por Volexity, se dice que las fallas gemelas se emplearon para «robar datos de configuración, modificar archivos existentes, descargar archivos remotos y realizar un túnel inverso desde el dispositivo VPN ICS».
El atacante modificó además un archivo CGI legítimo (compcheck.cgi) en el dispositivo ICS VPN para permitir la ejecución de comandos. Además, se modificó un archivo JavaScript cargado por la página de inicio de sesión de Web SSL VPN para registrar las pulsaciones de teclas y filtrar las credenciales asociadas con los usuarios que inician sesión en el dispositivo.
«La información y las credenciales recopiladas por el atacante les permitieron acceder a un puñado de sistemas internamente y, en última instancia, obtener acceso ilimitado a los sistemas de la red», dijeron los investigadores de Volexity Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair y Thomas Lancaster. dicho.
Los ataques también se caracterizan por esfuerzos de reconocimiento, movimiento lateral y el despliegue de un shell web personalizado denominado GLASSTOKEN a través del archivo CGI con puerta trasera para mantener un acceso remoto persistente a los servidores web externos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en un alerta propio, dijo que ha agregado las dos deficiencias a sus vulnerabilidades explotadas conocidas (KEV) catálogo, instando a las agencias federales a aplicar las correcciones antes del 31 de enero de 2024.
«Los sistemas con acceso a Internet, especialmente dispositivos críticos como Dispositivos VPN y firewallsse han convertido una vez más en el objetivo favorito de los atacantes», dijo Volexity.
«Estos sistemas a menudo se encuentran en partes críticas de la red, no pueden ejecutar software de seguridad tradicional y, por lo general, se ubican en el lugar perfecto para que opere un atacante. Las organizaciones deben asegurarse de contar con una estrategia para poder monitorear la actividad de estos dispositivos y responder rápidamente si ocurre algo inesperado».