Descripción general La Agencia de Seguridad e Infraestructura de Ciberseguridad (CISA) e Ivanti han compartido un aviso de actualización que destaca una vulnerabilidad crítica de omisión de autenticación, CVE-2024-7593, en Virtual Traffic Manager (VTM) de Ivanti. Esta vulnerabilidad ha llamado la atención debido a su inclusión en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la CISA, lo que indica que actualmente está siendo atacada por actores de amenazas. Virtual Traffic Manager de Ivanti funciona como un controlador de entrega de aplicaciones basado en software diseñado para optimizar y administrar el tráfico de red en servidores web y de aplicaciones. Al distribuir eficientemente el tráfico, inspeccionar las solicitudes y administrar las cargas de trabajo, VTM mejora el rendimiento, la seguridad y la escalabilidad de las aplicaciones. Sin embargo, la vulnerabilidad identificada plantea riesgos significativos que las organizaciones deben abordar con prontitud. Vulnerabilidad de Virtual Traffic Manager (VTM) de Ivanti La clasificación de vulnerabilidad para CVE-2024-7593, que pertenece a una omisión de autenticación, cae bajo una calificación crítica con una puntuación CVSS de 9.8. Afecta a varias versiones de Ivanti Virtual Traffic Manager, en concreto a las versiones 22.2, 22.3, 22.3R2, 22.5R1, 22.6R1 y 22.7R1. Esta falla permite a atacantes remotos crear cuentas de administrador, otorgándoles acceso no autorizado a funciones administrativas críticas dentro de la VTM. En el momento de la publicación del aviso, el escáner ODIN de Cyble detectó 67 instancias de Ivanti VTM con conexión a Internet, ubicadas predominantemente en Japón y Estados Unidos. En este contexto, se recomienda encarecidamente a las organizaciones que revisen sus registros de auditoría para identificar posibles intentos de acceso no autorizado. Dado que la vulnerabilidad se puede explotar a través de la interfaz de administración, Ivanti recomienda limitar el acceso administrativo a la interfaz de administración exclusivamente dentro de las redes internas. Al restringir el acceso a redes privadas o corporativas, las organizaciones pueden reducir significativamente su exposición a posibles amenazas. Conclusión Ivanti Virtual Traffic Manager desempeña un papel fundamental para garantizar la eficiencia de las operaciones de red y el rendimiento de las aplicaciones. Sin embargo, la reciente identificación de CVE-2024-7593 destaca la importancia de las prácticas de seguridad vigilantes. Dado que los actores de amenazas explotan activamente esta vulnerabilidad, es importante que las organizaciones que confían en Ivanti VTM tomen medidas inmediatas. Acciones recomendadas Implemente los parches más recientes publicados por Ivanti. Las actualizaciones de software periódicas son esenciales para cerrar las brechas de seguridad y protegerse contra los exploits. Establezca una rutina para las aplicaciones de parches, asegurando que se prioricen las actualizaciones críticas. Establezca una estrategia sólida de administración de parches que incluya administración de inventario, evaluación, prueba, implementación y verificación de parches. La automatización de partes de este proceso puede mejorar la eficiencia y garantizar una aplicación consistente. Para minimizar la exposición de activos críticos, las organizaciones deben segmentar sus redes. Esto implica crear zonas distintas para información confidencial y utilizar firewalls, VLAN y controles de acceso para regular el acceso. Las organizaciones deben desarrollar y mantener un plan de respuesta a incidentes que describa los procedimientos para detectar, responder y recuperarse de los incidentes de seguridad. Las pruebas y actualizaciones periódicas son esenciales para adaptarse a las nuevas amenazas. Los sistemas integrales de monitoreo y registro son vitales para detectar actividades maliciosas. La implementación de soluciones de gestión de eventos e información de seguridad (SIEM) puede ayudar a las organizaciones a recopilar y analizar registros para detectar amenazas en tiempo real.