A finales de 2023 y en 2024, una serie de vulnerabilidades en Ivanti Policy Secure Network Access Control (NAC), Ivanti Connect Secure Secure Socket Layer Virtual Private Network (SSL VPN) e Ivanti Neurons para productos de acceso de confianza cero (ZTA) causó preocupación en organizaciones de todo el mundo después de ser explotado por un actor de amenazas sospechoso de tener vínculos con actividades de espionaje de estados-nación. En esta explicación, exploramos algunos de los problemas clave que surgen de las divulgaciones de Ivanti, analizando las vulnerabilidades y su impacto, cómo ha respondido Ivanti, qué deben hacer los usuarios afectados a continuación y si es seguro continuar usando los productos de Ivanti. ¿Qué hace Ivanti? Ivanti, con sede en Utah, se especializa en software de seguridad, software de gestión de activos y servicios de TI, software de gestión de identidades y software de gestión de la cadena de suministro. Su historia se remonta al año 1985 y a la fundación de una empresa llamada LAN Systems. Durante las últimas cuatro décadas, la organización ha crecido a través de una serie de fusiones y adquisiciones, pero el nombre Ivanti no nació hasta 2017 mediante la unión de dos empresas, la sucesora de LAN Systems, LANDESK, y HEAT Software, bajo la supervisión de una casa de capital privado. Capital de Clearlake. Desde 2017, Ivanti ha crecido de manera constante y ahora cuenta con miles de empleados en 23 países de todo el mundo. Adquirió grandes cantidades durante la pandemia de Covid-19, adquiriendo nombres como MobileIron, Pulse Secure, Cherwell Software y RiskSense. Ivanti apuesta por el concepto de elevar y asegurar el «trabajo en cualquier lugar», permitiendo a los empleados de los clientes utilizar sus dispositivos para acceder a aplicaciones y datos de TI como y donde lo necesiten. También se ha convertido en un comentarista frecuente y vocal sobre cuestiones de seguridad, y sus expertos son citados con frecuencia en medios de TI y ciberseguridad. ¿Cuáles son las vulnerabilidades de Ivanti? Los problemas solo afectan a las puertas de enlace Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) y ZTA y no están presentes en ningún otro producto de Ivanti. Las dos primeras vulnerabilidades son CVE-2023-46805 y CVE-2024-21887. El primero es una falla de omisión de autenticación en el componente web de ICS 9.2, 22.x y Policy Secure, que permite a un atacante remoto acceder a recursos restringidos eludiendo las comprobaciones de control. La segunda es una vulnerabilidad de inyección de comandos en los componentes web de los mismos productos que permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios. Estos dos problemas se revelaron oficialmente por primera vez el 10 de enero de 2024, después de haber sido descubiertos un mes antes por investigadores de Volexity, quienes detectaron movimientos laterales sospechosos en la red de un cliente y pudieron identificar una explotación activa. Volexity determinó que el actor de amenazas los estaba usando para implantar shells web, incluidos Glasstoken y Giftedvisitor, en servidores web internos y externos, que luego usaban para ejecutar comandos en dispositivos comprometidos. Esto habría sido un gran problema por sí solo, pero luego las cosas evolucionaron en una dirección preocupante. Siguiendo la guía de mitigación inicial de Ivanti, los actores de amenazas rápidamente encontraron una manera de sortearlos para implementar tres variantes más de web shell, Bushwalk, Lightwire y Chainline. Esto llevó a la revelación de tres nuevas vulnerabilidades. Estos fueron: CVE-2024-21893, una vulnerabilidad de día cero de falsificación de solicitudes del lado del servidor en los componentes del lenguaje de marcado de aserción de seguridad (SAML) de ICS, IPS y ZTA que permite a los atacantes acceder a recursos restringidos sin autenticación; CVE-2024-22024, una vulnerabilidad de lenguaje de marcado extensible (XML) en el componente SAML de los productos que tiene el mismo efecto que CVE-2024-21893; Y CVE-2024-21888, una vulnerabilidad de escalada de privilegios en el componente web de ICS e IPS, que permite a los atacantes obtener derechos de administrador. ¿Por qué se ataca a Ivanti? Los productos SSL VPN como ICS han sido históricamente atacados por una amplia gama de actores de amenazas, tanto ciberdelincuentes con motivaciones financieras como grupos alineados con estados-nación, en los últimos años (con un error de cinco años, CVE-2019). 11510 en ICS todavía se explota incluso hoy. ¿Porque? La respuesta es relativamente simple: las VPN SSL proporcionan una puerta de entrada excepcionalmente valiosa a las organizaciones objetivo, actuando como un punto de partida para acceder a los recursos empresariales. Su amplio uso por parte de trabajadores remotos, que son particularmente vulnerables a ser explotados por ataques de ingeniería social y otras formas de phishing, particularmente después de la pandemia de Covid-19, los convierte en un objetivo fácil. Como tal, abordar las vulnerabilidades en las VPN SSL y los productos de acceso relacionados debería ser una decisión de priorización fácil para los equipos de seguridad. ¿Cómo ha respondido Ivanti a las vulnerabilidades? En una pregunta frecuente recientemente actualizada publicada en su sitio web el 14 de febrero de 2024, Ivanti agradeció a sus clientes por su “apoyo y paciencia” mientras navegaba por los problemas recientes. Reconoció que el período ha sido una prueba para sus clientes y les aseguró que ha estado trabajando las 24 horas del día, con la ayuda de expertos externos, para resolver los problemas. “Desde el primer día, nos hemos comprometido a adoptar un enfoque centrado en el cliente. Hemos priorizado los lanzamientos de mitigación y parches lo más rápido posible, al mismo tiempo que continuamos fortaleciendo nuestras medidas proactivas para combatir el entorno de amenazas cada vez más sofisticado y agresivo que enfrenta nuestra industria”, dijo la organización. “Mientras trabajamos para apoyar a nuestros clientes, nos hemos esforzado por poner las comunicaciones directas y continuas en primer plano. También hemos dedicado mucho tiempo a escuchar e incorporar los comentarios que hemos escuchado para mejorar continuamente nuestras comunicaciones”. A mediados de febrero, Ivanti tenía disponible una versión segura para todas las versiones compatibles de los productos afectados. Las preguntas frecuentes continuaron abordando cierta información errónea que había surgido tras la mala interpretación de una directiva de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que muchos pensaron erróneamente que ordenaba a las agencias federales del gobierno estadounidense que desecharan y reemplazaran los productos afectados. Este nunca fue el caso, simplemente les decía que desconectaran sus productos, y desde entonces CISA ha corregido y actualizado su guía. Ivanti también negó las acusaciones de que el producto Connect Secure era vulnerable debido al código antiguo de Linux, aunque ha estado ayudando a los clientes a abandonar versiones anteriores no compatibles durante los últimos 18 meses. Continuó agregando que no tenía indicios de que una del segundo conjunto de vulnerabilidades, CVE-2024-22024, hubiera sido explotada en estado salvaje, y dijo que puede haber surgido cierta confusión a este respecto porque se encuentra en la misma sección de código CVE-2024-21893. Confirmó además que las vulnerabilidades reveladas el 10 de enero fueron explotadas de forma limitada por actores de amenazas, y que esto había aumentado considerablemente. Además, enfatizó que si bien utiliza sus propias herramientas y tecnología internamente, no tenía indicios de que se haya visto comprometida como empresa, una indicación de que los datos de los clientes que posee permanecen seguros. ¿Qué debo hacer para abordar las vulnerabilidades de Ivanti? La orientación completa de Ivanti sobre cómo empezar a abordar las vulnerabilidades se puede encontrar aquí. La orientación proporcionada a continuación se deriva del reciente aviso de CISA del 9 de febrero, que oficialmente se relaciona únicamente con las agencias del gobierno federal en los EE. UU. A partir del 9 de febrero, a las organizaciones afectadas se les dijo que primero desconectaran todas las instancias de Ivanti Connect Secure e Ivanti Policy Secure, las aislaran de cualquier otro recurso empresarial tanto como fuera posible y realizaran una búsqueda de amenazas en cualquier sistema conectado a ellas. Los equipos de seguridad también deben monitorear cualquier servicio de identidad o autenticación potencialmente expuesto y auditar las cuentas con acceso privilegiado. Para devolver los productos afectados a los servicios, al principio se recomendó a las organizaciones hacer lo siguiente: Exportar sus ajustes de configuración; Restablezca los valores de fábrica del producto, según las instrucciones de Ivanti; aunque esto ya se hizo antes de aplicar los parches lanzados el 31 de enero y el 1 de febrero, no será necesario hacerlo; Reconstruya el producto (las instrucciones sobre cómo hacerlo se pueden encontrar en el enlace anterior) y actualice a una versión de software compatible a través de Ivanti, que es gratuita; Vuelva a importar su configuración; Si aplicó algún archivo XML de mitigación, debe revisar el portal de Ivanti para obtener instrucciones sobre cómo eliminarlos después de la actualización; Revocar y volver a emitir certificados, claves y contraseñas conectados o expuestos: esto incluye restablecer las contraseñas de habilitación del administrador, restablecer las claves de la interfaz de programación de aplicaciones (API) almacenadas y restablecer cualquier contraseña que pertenezca a los usuarios locales definidos en la puerta de enlace. Este último paso debe incluir las cuentas de servicio utilizadas para la configuración del servidor de autenticación; Una vez que los productos afectados vuelvan a estar en servicio, manténgase al tanto de futuras actualizaciones que puedan corregir las vulnerabilidades. CISA también recomendó que las organizaciones que ejecutan productos Ivanti afectados deben asumir que las cuentas de dominio asociadas con ellos han sido comprometidas, por lo que recomendó contraseñas dos veces para las cuentas locales, revocar cualquier ticket de Kerberos y revocar otros tokens para cuentas en la nube si su organización está ejecutando una implementación híbrida. . Sin embargo, la historia ahora ha evolucionado mucho más. El 29 de febrero, un nuevo aviso de las autoridades estadounidenses detalló cómo los actores de amenazas pueden engañar a la herramienta de verificación de integridad (TIC) interna y externa de Ivanti, lo que resulta en una falla al detectar el compromiso a través de CVE-2023-46805, CVE-2024-21887. , CVE-2024-22024 y CVE-2024-21893. CISA dijo que había identificado este problema durante múltiples compromisos de respuesta a incidentes durante las últimas semanas, y las pruebas de laboratorio validaron sus preocupaciones de que un actor de amenazas pueda obtener persistencia a nivel de raíz después de que se haya realizado un restablecimiento de fábrica. Esta es una preocupación importante, y CISA ahora recomienda a los equipos de seguridad que asuman que las credenciales de las cuentas de usuario y de servicio almacenadas en los dispositivos afectados probablemente estén comprometidas, que busquen actividad maliciosa en sus redes utilizando los métodos e IoC del aviso actualizado, y que apliquen Guía de parches proporcionada por Ivanti a medida que se implementan las actualizaciones de versión. En caso de que se detecte un compromiso o un posible compromiso, los equipos de seguridad deben recopilar y analizar registros y artefactos en busca de actividad maliciosa, y aplicar las recomendaciones de respuesta a incidentes incluidas en el aviso. ¿Debería preocuparme o dejar de usar Ivanti? En respuesta a las actualizaciones del 29 de febrero, Ivanti afirmó que la técnica de persistencia identificada aún no se ha observado en la naturaleza. Sin embargo, ha lanzado una nueva mejora a la herramienta de verificación de integridad (ICT) externa, que proporciona visibilidad adicional de los dispositivos del cliente y de todos los archivos presentes en el sistema. Puede encontrar más información sobre esto aquí. Dada esta situación, no podemos ni afirmamos con confianza que los productos Ivanti afectados sean seguros de usar. Esta es una decisión para la que los equipos de seguridad deberían estar preparados después de haber seguido todas las directrices actuales. Sin duda, los clientes pueden esperar ver intentos de explotación en su contra, ahora y en el futuro, lo que hace que tomar medidas sea aún más importante. Es importante tener en cuenta que, aunque Ivanti se ha comprometido a apoyar a sus clientes y a comunicar información adicional para ayudar en la respuesta e investigación de incidentes en caso de que un cliente encuentre evidencia de que ha sido comprometido, no es en sí mismo un proveedor de servicios cibernéticos forenses y no puede investigar completamente el problema en nombre de un cliente. Los clientes comprometidos deben buscar orientación y apoyo de un proveedor forense.

Source link