Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), los actores de amenazas han explotado una vulnerabilidad crítica de omisión de autenticación en Ivanti Virtual Traffic Manager (vTM). La CISA agregó el error a su larga lista de vulnerabilidades explotadas conocidas (KEV) el 24 de septiembre, y las agencias federales dieron hasta el 15 de octubre para aplicar el parche. Sin embargo, Ivanti aún no ha actualizado su aviso de seguridad para reflejar la nueva información. El aviso, publicado por primera vez el 12 de agosto y modificado por última vez el 4 de septiembre, afirma: «No tenemos conocimiento de que ningún cliente haya sido explotado por esta vulnerabilidad en el momento de la divulgación. Sin embargo, hay una prueba de concepto disponible públicamente e instamos a los clientes a actualizar a la última versión parcheada». Parece que esas preocupaciones ya se han hecho realidad, aunque no está claro cuán extendida está la explotación. La CISA dijo que también se desconoce actualmente si la falla se está utilizando en ataques de ransomware. Lea más sobre las vulnerabilidades de Ivanti: Los Zero-Days de Ivanti explotados por múltiples actores a nivel mundial La vulnerabilidad en cuestión, CVE-2024-7593, tiene una puntuación CVSS de 9,8, lo que refleja el hecho de que podría permitir la omisión de la autenticación y la creación de un nuevo usuario con derechos de administrador. «La implementación incorrecta de un algoritmo de autenticación en Ivanti vTM que no sea la versión 22.2R1 o 22.7R2 permite que un atacante remoto no autenticado omita la autenticación del panel de administración», se lee en la descripción. Además de parchear el error, Ivanti brindó asesoramiento a los clientes sobre cómo limitar la explotabilidad. «Los clientes que se aseguraron de que su interfaz de administración esté vinculada a una red interna o una dirección IP privada han reducido significativamente su superficie de ataque», señaló. «Es una práctica recomendada de la industria y Ivanti lo recomienda en la guía de configuración de red para restringir el acceso a la interfaz de administración». Los productos de Ivanti son constantemente el objetivo de los actores de amenazas, a menudo como días cero, especialmente en sus dispositivos de puerta de enlace y VPN y software de administración de dispositivos móviles. Solo en el primer mes de 2024, el proveedor lanzó parches para cuatro vulnerabilidades, dos de las cuales fueron explotadas como días cero por actores de amenazas chinos.