{"id":1399354,"date":"2024-10-14T14:23:33","date_gmt":"2024-10-14T14:23:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/atacantes-de-estados-nacion-aprovechan-las-fallas-de-ivanti-csa-para-la-infiltracion-en-la-red\/"},"modified":"2024-10-14T14:23:38","modified_gmt":"2024-10-14T14:23:38","slug":"atacantes-de-estados-nacion-aprovechan-las-fallas-de-ivanti-csa-para-la-infiltracion-en-la-red","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/atacantes-de-estados-nacion-aprovechan-las-fallas-de-ivanti-csa-para-la-infiltracion-en-la-red\/","title":{"rendered":"Atacantes de estados-naci\u00f3n aprovechan las fallas de Ivanti CSA para la infiltraci\u00f3n en la red"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 de octubre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad\/vulnerabilidad de la red<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Atacantes-de-estados-nacion-aprovechan-las-fallas-de-Ivanti-CSA-para.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha observado que un presunto adversario de un estado-naci\u00f3n utiliza tres fallas de seguridad en Ivanti Cloud Service Appliance (CSA) en un d\u00eda cero para realizar una serie de acciones maliciosas.<\/p>\n<p>Esto es seg\u00fan los hallazgos de Fortinet FortiGuard Labs, que dijeron que se abus\u00f3 de las vulnerabilidades para obtener acceso no autenticado al CSA, enumerar los usuarios configurados en el dispositivo e intentar acceder a las credenciales de esos usuarios.<\/p>\n<p>&#8220;Se observ\u00f3 a los adversarios avanzados explotando y encadenando vulnerabilidades de d\u00eda cero para establecer un acceso de cabeza de playa en la red de la v\u00edctima&#8221;, dijeron los investigadores de seguridad Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans y Robert Reyes. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/burning-zero-days-suspected-nation-state-adversary-targets-ivanti-csa\" target=\"_blank\">dicho<\/a>.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los defectos en cuesti\u00f3n se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li><strong>CVE-2024-8190<\/strong> (Puntuaci\u00f3n CVSS: 7,2) &#8211; Un error de inyecci\u00f3n de comandos en el recurso \/gsb\/DateTimeTab.php<\/li>\n<li><strong>CVE-2024-8963<\/strong> (Puntuaci\u00f3n CVSS: 9,4) &#8211; Una vulnerabilidad de recorrido de ruta en el recurso \/client\/index.php<\/li>\n<li><strong>CVE-2024-9380<\/strong> (Puntuaci\u00f3n CVSS: 7,2): una vulnerabilidad de inyecci\u00f3n de comando autenticado que afecta al recurso reports.php<\/li>\n<\/ul>\n<p>En la siguiente etapa, las credenciales robadas asociadas con gsbadmin y admin se utilizaron para realizar una explotaci\u00f3n autenticada de la vulnerabilidad de inyecci\u00f3n de comandos que afecta al recurso \/gsb\/reports.php con el fin de colocar un shell web (&#8220;help.php&#8221;).<\/p>\n<p>&#8220;El 10 de septiembre de 2024, cuando Ivanti public\u00f3 el aviso para CVE-2024-8190, el actor de amenazas, todav\u00eda activo en la red del cliente, &#8216;parch\u00f3&#8217; las vulnerabilidades de inyecci\u00f3n de comandos en los recursos \/gsb\/DateTimeTab.php, y \/gsb\/reports.php, haci\u00e9ndolos inexplotables.&#8221;<\/p>\n<p>&#8220;En el pasado, se ha observado que los actores de amenazas parchean vulnerabilidades despu\u00e9s de haberlas explotado y de haber logrado afianzarse en la red de la v\u00edctima, para evitar que cualquier otro intruso obtenga acceso a los activos vulnerables y potencialmente interfiera con sus operaciones de ataque. &#8220;<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Atacantes-de-estados-nacion-aprovechan-las-fallas-de-Ivanti-CSA-para.jpeg\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Atacantes-de-estados-nacion-aprovechan-las-fallas-de-Ivanti-CSA-para.jpeg\" alt=\"Defectos de Ivanti CSA\" border=\"0\" data-original-height=\"391\" data-original-width=\"1280\" title=\"Defectos de Ivanti CSA\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Explotaci\u00f3n de vulnerabilidad SQLi<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Los atacantes desconocidos tambi\u00e9n han sido identificados abusando de CVE-2024-29824, una falla cr\u00edtica que afecta a Ivanti Endpoint Manager (EPM), despu\u00e9s de comprometer el dispositivo CSA con acceso a Internet. Espec\u00edficamente, esto implic\u00f3 habilitar el procedimiento almacenado xp_cmdshell para lograr la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Vale la pena se\u00f1alar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agreg\u00f3 la vulnerabilidad a su cat\u00e1logo de Vulnerabilidades Explotadas Conocidas (KEV) en la primera semana de octubre de 2024.<\/p>\n<p>Algunas de las otras actividades incluyeron la creaci\u00f3n de un nuevo usuario llamado mssqlsvc, la ejecuci\u00f3n de comandos de reconocimiento y la extracci\u00f3n de los resultados de esos comandos a trav\u00e9s de una t\u00e9cnica conocida como t\u00fanel DNS usando c\u00f3digo PowerShell. Tambi\u00e9n es de destacar la implementaci\u00f3n de un rootkit en forma de objeto del kernel de Linux (sysinitd.ko) en el dispositivo CSA comprometido.<\/p>\n<p>&#8220;El motivo probable detr\u00e1s de esto fue que el actor de la amenaza mantuviera la persistencia a nivel de kernel en el dispositivo CSA, que puede sobrevivir incluso a un restablecimiento de f\u00e1brica&#8221;, dijeron los investigadores de Fortinet.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/nation-state-attackers-exploiting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 de octubre de 2024\ue804Ravie LakshmananSeguridad\/vulnerabilidad de la red Se ha observado que un presunto adversario de un<\/p>\n","protected":false},"author":1,"featured_media":1399355,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,38098,18041,4661,4664,257403,175114,3233,62917,175996,246,201033,4654,201031,4659,4653,4655,18,2770,246983,255454,246984,201032,246982,4660],"class_list":["post-1399354","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechan","tag-atacantes","tag-ataques-ciberneticos","tag-como-hackear","tag-csa","tag-estadosnacion","tag-fallas","tag-infiltracion","tag-ivanti","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-red","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1399354","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1399354"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1399354\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1399355"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1399354"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1399354"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1399354"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}