Ivanti ha revelado dos zero-days de Connect Secure (ICS) y Policy Secure explotados in the wild que pueden permitir a atacantes remotos ejecutar comandos arbitrarios en las pasarelas objetivo.
El primer fallo de seguridad (CVE-2023-46805) es una omisión de autenticación en el componente web de los dispositivos, lo que permite a los atacantes acceder a recursos restringidos saltándose las comprobaciones de control, mientras que el segundo (rastreado como CVE-2024-21887) es una vulnerabilidad de inyección de comandos que permite a los administradores autenticados ejecutar comandos arbitrarios en los dispositivos vulnerables mediante el envío de solicitudes especialmente diseñadas.
Al encadenar los dos zero-days, reportados por Mandiant y Volexity, los atacantes pueden ejecutar comandos arbitrarios en todas las versiones soportadas de los productos afectados.
«Si CVE-2024-21887 se utiliza junto con CVE-2023-46805, el exploit no requiere autenticación y permite a un actor de amenaza crear solicitudes maliciosas y ejecutar comandos arbitrarios en el sistema», dijo Ivanti.
«Estamos proponiendo medidas de mitigación ahora, mientras se desarrolla el parche, para proteger primero los intereses de nuestros clientes. Es esencial que tomen medidas inmediatas para asegurarse de que están totalmente protegidos».
La empresa afirma que los parches estarán disponibles de forma escalonada: «se espera que la primera versión esté disponible para los clientes durante la semana del 22 de enero y la versión final durante la semana del 19 de febrero».
Hasta que los parches estén disponibles, las vulnerabilidades pueden mitigarse importando el archivo mitigation.release.20240107.1.xml puesto a disposición de los clientes a través del portal de descargas de Ivanti.
Las vulnerabilidades fueron probablemente explotadas por piratas informáticos chinos
Ivanti afirma que ambas vulnerabilidades ya han sido explotadas en la naturaleza en ataques dirigidos a un pequeño número de clientes.
La empresa de inteligencia de amenazas Volexity, que detectó la explotación de los zero-days para penetrar en la red de un cliente en diciembre, cree que el atacante es un actor de amenazas respaldado por el Estado chino.
«Tenemos conocimiento de menos de 10 clientes afectados por estas vulnerabilidades. No estamos en condiciones de discutir los detalles específicos de nuestros clientes», reveló Ivanti.
«Hemos visto evidencias de actores de amenazas que intentan manipular el Comprobador Interno de Integridad (ICT) de Ivanti. Por precaución, recomendamos a todos nuestros clientes que ejecuten el comprobador de integridad externo».
«Basándonos en nuestro análisis, Ivanti no ha encontrado indicios de que esta vulnerabilidad haya sido introducida maliciosamente en nuestro proceso de desarrollo de código. Ivanti no tiene indicios de que haya sido comprometida».
Como informa Shodan, según una cadena de investigación compartida por el experto en seguridad Kevin Beaumont, más de 15.000 puertas de enlace Connect Secure (ICS) y Policy Secure están actualmente expuestas en línea.
Beaumont también ha advertido hoy de que ambos fallos se utilizan en ataques y permiten eludir la MFA y ejecutar código.
La semana pasada, Ivanti declaró que una vulnerabilidad crítica de ejecución remota de código (CVE-2023-39336) en su software de gestión de puntos finales (EPM) podía ser aprovechada por atacantes no autentificados para secuestrar los dispositivos inscritos o el servidor central.
En julio, piratas informáticos patrocinados por el Estado explotaron otros dos días cero (CVE-2023-35078 y CVE-2023-35081) en el software Endpoint Manager Mobile (EPMM) de Ivanti para penetrar en las redes de varias organizaciones gubernamentales noruegas.
Un mes más tarde, los piratas informáticos explotaron una tercera vulnerabilidad de día cero (CVE-2023-38035) en el software Sentry de Ivanti para eludir la autenticación API en dispositivos vulnerables.
Los productos Ivanti son utilizados por más de 40.000 empresas de todo el mundo para gestionar sus activos y sistemas informáticos.