Una falsificaci\u00f3n de solicitud del lado del servidor recientemente revelada (SSRF<\/a>) la vulnerabilidad que afecta a los productos Ivanti Connect Secure y Policy Secure ha sido objeto de explotaci\u00f3n masiva.<\/p>\n La Fundaci\u00f3n Shadowserver dicho<\/a> observ\u00f3 intentos de explotaci\u00f3n provenientes de m\u00e1s de 170 direcciones IP \u00fanicas que tienen como objetivo establecer un shell inverso, entre otros.<\/p>\n Los ataques explotan CVE-2024-21893 (puntuaci\u00f3n CVSS: 8,2), una falla SSRF en el componente SAML de Ivanti Connect Secure, Policy Secure y Neurons for ZTA que permite a un atacante acceder a recursos que de otro modo estar\u00edan restringidos sin autenticaci\u00f3n.<\/p>\n Ivanti hab\u00eda divulgado previamente que la vulnerabilidad hab\u00eda sido explotada en ataques dirigidos a un “n\u00famero limitado de clientes”, pero advirti\u00f3 que el status quo podr\u00eda cambiar despu\u00e9s de la divulgaci\u00f3n p\u00fablica.<\/p>\n Eso es exactamente lo que parece haber sucedido, especialmente despu\u00e9s de la liberar<\/a> de un exploit de prueba de concepto (PoC) realizado por la empresa de ciberseguridad Rapid7 la semana pasada.<\/p>\n La PoC implica dise\u00f1ar una cadena de exploits que combina CVE-2024-21893 con CVE-2024-21887, un defecto de inyecci\u00f3n de comandos previamente parcheado, para lograr la ejecuci\u00f3n remota de c\u00f3digo no autenticado.<\/p>\n Vale la pena se\u00f1alar aqu\u00ed que CVE-2024-21893 es un alias para CVE-2023-36661<\/a> (Puntuaci\u00f3n CVSS: 7,5), una vulnerabilidad SSRF presente en la biblioteca de c\u00f3digo abierto Shibboleth XMLTooling. Los mantenedores lo solucionaron en junio de 2023 con el lanzamiento de versi\u00f3n 3.2.4<\/a>. <\/p>\n El investigador de seguridad Will Dormann m\u00e1s<\/a> se\u00f1al\u00f3 otros componentes de c\u00f3digo abierto obsoletos utilizados por los dispositivos VPN de Ivanti, como curl 7.19.7, openssl 1.0.2n-fips, perl 5.6.1, psql 9.6.14, cabextract 0.5, ssh 5.3p1 y descomprimir 6.00, abriendo as\u00ed la puerta a m\u00e1s ataques.<\/p>\n El desarrollo se produce cuando los actores de amenazas encontraron una manera de eludir la mitigaci\u00f3n inicial de Ivanti, lo que llev\u00f3 a la compa\u00f1\u00eda con sede en Utah a publicar un segundo archivo de mitigaci\u00f3n. A partir del 1 de febrero de 2024, comenz\u00f3 a lanzar parches oficiales para abordar todas las vulnerabilidades.<\/p>\n La semana pasada, Mandiant, propiedad de Google, revel\u00f3 que varios actores de amenazas est\u00e1n aprovechando CVE-2023-46805 y CVE-2024-21887 para implementar una serie de shells web personalizados rastreados como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE.<\/p>\n Unidad 42 de Palo Alto Networks dicho<\/a> observ\u00f3 28,474 instancias expuestas de Ivanti Connect Secure y Policy Secure en 145 pa\u00edses entre el 26 y el 30 de enero de 2024, con 610 instancias comprometidas detectadas en 44 pa\u00edses al 23 de enero de 2024.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/La-reciente-falla-SSRF-en-los-productos-VPN-de-Ivanti.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n