Ivanti finalmente lanzó parches para dos vulnerabilidades críticas de día cero, pero dijo que la actualización también cubre dos nuevos errores, uno de los cuales está siendo explotado activamente en ataques. Ivanti publicó detalles de CVE-2023-46805 y CVE-2024-21887 a mediados de enero, aunque se cree que el actor chino UTA0178 (también conocido como UNC5221) los había estado explotando ya a principios de diciembre de 2023. Los días cero afectan su conexión Producto y política de VPN segura. Oferta de control de acceso a la red (NAC) seguro que se puede encadenar para permitir que un actor no autenticado cree solicitudes maliciosas y ejecute comandos arbitrarios en el sistema. Su nuevo aviso publicado ayer, una semana más tarde de lo esperado, incluye correcciones para éstas y dos vulnerabilidades recientemente descubiertas. CVE-2024-21888 es una vulnerabilidad de escalada de privilegios en el componente web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x), que permite a un usuario elevar privilegios a ese de un administrador. Tiene una puntuación CVSS de 8,8. CVE-2024-21893 es una falla de falsificación de solicitudes del lado del servidor en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) e Ivanti Neurons para ZTA, que permite a un atacante acceder a ciertos recursos restringidos sin autenticación. Tiene una puntuación CVSS de 8,2. Ivanti afirmó que este último está siendo explotado activamente en la naturaleza, con un «número limitado de clientes» actualmente afectado. “Estamos informando sobre estas vulnerabilidades en este artículo de la base de conocimientos tal como se resuelve en el parche que se detalla a continuación. También hemos proporcionado nuevas mitigaciones para las versiones compatibles en las que no se ha lanzado el parche”, continuó el proveedor de seguridad. “En el momento de esta publicación, la explotación de CVE-2024-21893 parece ser el objetivo. Ivanti espera que el actor de amenazas cambie su comportamiento y esperamos un fuerte aumento en la explotación una vez que esta información sea pública, similar a lo que observamos el 11 de enero después de la divulgación del 10 de enero”. Lea más sobre las vulnerabilidades de Ivanti: Ivanti Zero-Days explotados por múltiples actores a nivel mundial Ivanti instó a los clientes a restablecer sus dispositivos de fábrica antes de aplicar el parche, para evitar que los actores de amenazas obtengan «persistencia de actualización» en su entorno. «Históricamente hemos visto a este actor de amenazas intentar ganar persistencia en el entorno de los clientes, por lo que recomendamos esta acción como una mejor práctica para todos los clientes», añadió. “Los parches restantes para las versiones compatibles se seguirán lanzando en un calendario escalonado. El momento del lanzamiento del parche está sujeto a cambios ya que priorizamos la seguridad y la calidad de cada lanzamiento”. Mandiant descubre nuevo malware En noticias relacionadas, los investigadores de seguridad descubrieron varias piezas nuevas de malware durante su investigación de la actividad posterior a la explotación vinculada a las vulnerabilidades de día cero originales de Ivanti. En una actualización de ayer, Mandiant afirmó haber identificado una «amplia actividad de explotación» tanto de UNC5221 como de otros grupos de amenazas desconocidos, con una «parte significativa» realizada a través de métodos automatizados. Enumeró un nuevo webshell denominado Bushwalk, que se está utilizando en ataques altamente dirigidos para evitar la mitigación inicial proporcionada por Ivanti el 10 de enero. Mandiant también reveló webshells personalizados adicionales, Framesting y Chainline, que permiten la ejecución de comandos arbitrarios. “Mandiant ha observado que UNC5221 apunta a una amplia gama de verticales de interés estratégico para la República Popular China (RPC), tanto antes como después de la divulgación, y los primeros indicios muestran que las herramientas y la infraestructura se superponen con intrusiones pasadas atribuidas a presuntos actores de espionaje con sede en China. ”, concluyó Mandiant. «Además, las herramientas basadas en Linux identificadas en las investigaciones de respuesta a incidentes utilizan código de múltiples repositorios Github en idioma chino».

Source link