Los actores de amenazas est\u00e1n aprovechando una falla de seguridad recientemente revelada que afecta las puertas de enlace Ivanti Connect Secure, Policy Secure y ZTA para implementar una puerta trasera con nombre en c\u00f3digo. Registro DS<\/strong> en dispositivos susceptibles.<\/p>\n Eso es seg\u00fan recomendaciones<\/a> de Orange Cyberdefense, que dijo que observ\u00f3 la explotaci\u00f3n de CVE-2024-21893 pocas horas despu\u00e9s de la publicaci\u00f3n p\u00fablica del c\u00f3digo de prueba del concepto (PoC).<\/p>\n CVE-2024-21893, que Ivanti revel\u00f3 a finales del mes pasado junto con CVE-2024-21888, se refiere a una vulnerabilidad de falsificaci\u00f3n de solicitudes del lado del servidor (SSRF) en el m\u00f3dulo SAML que, si se explota con \u00e9xito, podr\u00eda permitir el acceso a recursos que de otro modo estar\u00edan restringidos. sin ninguna autenticaci\u00f3n.<\/p>\n Desde entonces, la empresa con sede en Utah ha reconocido que la falla ha limitado los ataques dirigidos, aunque la escala exacta de los compromisos no est\u00e1 clara.<\/p>\n Luego, la semana pasada, la Fundaci\u00f3n Shadowserver revel\u00f3 un aumento en los intentos de explotaci\u00f3n dirigidos a la vulnerabilidad que se origina en m\u00e1s de 170 direcciones IP \u00fanicas, poco despu\u00e9s de que Rapid7 y AssetNote compartido<\/a> especificaciones t\u00e9cnicas adicionales.<\/p>\n El \u00faltimo an\u00e1lisis de Orange Cyberdefense muestra que se detectaron compromisos ya el 3 de febrero, con el ataque dirigido a un cliente an\u00f3nimo para inyectar una puerta trasera que otorga acceso remoto persistente.<\/p>\n “La puerta trasera se inserta en un archivo Perl existente llamado ‘DSLog.pm'”, dijo la compa\u00f1\u00eda, destacando un patr\u00f3n continuo en el que los componentes leg\u00edtimos existentes (en este caso, un m\u00f3dulo de registro) se modifican para agregar el c\u00f3digo malicioso.<\/p>\n DSLog, el implante, viene equipado con sus propios trucos para dificultar el an\u00e1lisis y la detecci\u00f3n, incluida la incorporaci\u00f3n de un hash \u00fanico por dispositivo, lo que hace imposible utilizar el hash para contactar con la misma puerta trasera en otro dispositivo.<\/p>\n Los atacantes proporcionan el mismo valor hash al Campo de encabezado de agente de usuario<\/a> en una solicitud HTTP al dispositivo para permitir que el malware extraiga el comando que se ejecutar\u00e1 desde un par\u00e1metro de consulta llamado “cdi”. Luego, la instrucci\u00f3n decodificada se ejecuta como usuario root.<\/p>\n “El shell web no devuelve el estado\/c\u00f3digo al intentar contactarlo”, dijo Orange Cyberdefense. “No se conoce ninguna forma de detectarlo directamente”.<\/p>\n Adem\u00e1s, observ\u00f3 evidencia de actores de amenazas que borraban registros “.access” en “m\u00faltiples” dispositivos en un intento por cubrir el rastro forense y pasar desapercibidos.<\/p>\n Pero al verificar los artefactos que se crearon al activar la vulnerabilidad SSRF, la compa\u00f1\u00eda dijo que pudo detectar 670 activos comprometidos durante un escaneo inicial el 3 de febrero, un n\u00famero que se redujo a 524 al 7 de febrero.<\/p>\n A la luz de la continua explotaci\u00f3n de los dispositivos Ivanti, es muy recomendable<\/a> que “todos los clientes restablezcan sus dispositivos de f\u00e1brica antes de aplicar el parche para evitar que el actor de amenazas obtenga persistencia de actualizaci\u00f3n en su entorno”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Vulnerabilidad-de-Ivanti-explotada-para-instalar-la-puerta-trasera-DSLog.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n