14 de octubre de 2024Ravie LakshmananSeguridad/vulnerabilidad de red Se ha observado que un presunto adversario estado-nación utiliza tres fallas de seguridad en Ivanti Cloud Service Appliance (CSA) en un día cero para realizar una serie de acciones maliciosas. Esto es según los hallazgos de Fortinet FortiGuard Labs, que dijeron que se abusó de las vulnerabilidades para obtener acceso no autenticado al CSA, enumerar los usuarios configurados en el dispositivo e intentar acceder a las credenciales de esos usuarios. «Se observó a los adversarios avanzados explotando y encadenando vulnerabilidades de día cero para establecer un acceso de cabeza de playa en la red de la víctima», dijeron los investigadores de seguridad Faisal Abdul Malik Qureshi, John Simmons, Jared Betts, Luca Pugliese, Trent Healy, Ken Evans y Robert Reyes. Las fallas en cuestión se enumeran a continuación: CVE-2024-8190 (puntuación CVSS: 7,2) – Una falla de inyección de comando en el recurso /gsb/DateTimeTab.php CVE-2024-8963 (puntuación CVSS: 9,4) – Una vulnerabilidad de recorrido de ruta en el recurso /client/index.php CVE-2024-9380 (puntaje CVSS: 7.2): una vulnerabilidad de inyección de comando autenticado que afecta al recurso reports.php. En la siguiente etapa, las credenciales robadas asociadas con gsbadmin y admin se utilizaron para realizar una explotación autenticada. de la vulnerabilidad de inyección de comandos que afecta al recurso /gsb/reports.php para soltar un shell web («help.php»). «El 10 de septiembre de 2024, cuando Ivanti publicó el aviso para CVE-2024-8190, el actor de amenazas, todavía activo en la red del cliente, ‘parchó’ las vulnerabilidades de inyección de comandos en los recursos /gsb/DateTimeTab.php, y /gsb/reports.php, haciéndolos inexplotables.» «En el pasado, se ha observado que los actores de amenazas parchean vulnerabilidades después de haberlas explotado y de haber logrado afianzarse en la red de la víctima, para evitar que cualquier otro intruso obtenga acceso a los activos vulnerables y potencialmente interfiera con sus operaciones de ataque. » Explotación de la vulnerabilidad SQLi También se ha identificado a atacantes desconocidos que abusan de CVE-2024-29824, una falla crítica que afecta a Ivanti Endpoint Manager (EPM), después de comprometer el dispositivo CSA con acceso a Internet. Específicamente, esto implicó habilitar el procedimiento almacenado xp_cmdshell para lograr la ejecución remota de código. Vale la pena señalar que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) en la primera semana de octubre de 2024. Algunas de las otras actividades incluyeron la creación de un nuevo usuario llamado mssqlsvc y la ejecución de comandos de reconocimiento. y filtrar los resultados de esos comandos a través de una técnica conocida como túnel DNS usando código PowerShell. También es de destacar la implementación de un rootkit en forma de objeto del kernel de Linux (sysinitd.ko) en el dispositivo CSA comprometido. «El motivo probable detrás de esto fue que el actor de la amenaza mantuviera la persistencia a nivel de kernel en el dispositivo CSA, que puede sobrevivir incluso a un restablecimiento de fábrica», dijeron los investigadores de Fortinet. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.