Más Ivanti VPN Zero-Days alimentan el frenesí de ataques a medida que finalmente llegan los parches

Ivanti finalmente comenzó a reparar un par de vulnerabilidades de seguridad de día cero reveladas el 10 de enero en sus dispositivos Connect Secure VPN. Sin embargo, hoy también anunció dos errores adicionales en la plataforma, CVE-2024-21888 y CVE-2024-21893, el último de los cuales también se encuentra bajo explotación activa en la naturaleza.

Ivanti ha lanzado su primera ronda de parches para el conjunto original de días cero (CVE-2024-21887 y CVE-2023-46805) pero sólo para algunas versiones; Se implementarán correcciones adicionales de forma escalonada en las próximas semanas, dijo la compañía en su aviso actualizado de hoy. Mientras tanto, Ivanti ha proporcionado una mitigación que las organizaciones sin parches deben aplicar de inmediato para evitar ser víctimas de explotación masiva por parte de actores patrocinados por el estado chino y ciberdelincuentes con motivaciones financieras por igual.

Múltiples malwares personalizados anclan ataques de robo de datos

Esa la explotación continúa sin cesar. Según Mandiant, una amenaza persistente avanzada (APT, por sus siglas en inglés) respaldada por China a la que llama UNC5221 ha estado detrás de una gran cantidad de explotaciones que se remontan a principios de diciembre. Pero la actividad en general ha aumentado considerablemente desde que CVE-2024-21888 y CVE-2024-21893 se hicieron públicos a principios de enero.

"Además de UNC5221, reconocemos la posibilidad de que uno o más grupos relacionados puedan estar asociados con la actividad", dijeron los investigadores de Mandiant en un análisis de ciberataques de Ivanti lanzado hoy. "Es probable que grupos adicionales además del UNC5221 hayan adoptado una o más de [las] ​​herramientas [asociadas con los compromisos]".

Hasta ese punto, Mandiant emitió información adicional sobre los tipos de malware que UNC5221 y otros actores están utilizando en los ataques a Ivanti Connect Secure VPN. Hasta ahora, los implantes que observaron en la naturaleza incluyen:

"Los actores del estado-nación UNC5221 han atacado y explotado con éxito las vulnerabilidades en Ivanti para robar datos de configuración, modificar archivos existentes, descargar archivos remotos y realizar túneles inversos dentro de las redes", dice Ken Dunham, director de ciberamenazas de la Unidad de Investigación de Amenazas de Qualys, quien advierte Los usuarios de Ivanti deben estar atentos a los ataques a la cadena de suministro de sus clientes, socios y proveedores. "Es probable que Ivanti sea un objetivo debido a la funcionalidad y arquitectura que proporciona a los actores, si se ven comprometidas, como una solución de redes y VPN, en redes y objetivos de interés posteriores".

Además de estas herramientas, los investigadores de Mandiant señalaron actividades que utilizan un desvío para la técnica provisional de mitigación inicial de Ivanti, detallada en el aviso original; En estos ataques, ciberatacantes desconocidos están implementando un shell web de ciberespionaje personalizado llamado “Bushwalk”, que puede leer o escribir archivos en un servidor.

"La actividad es muy específica, limitada y distinta de la actividad de explotación masiva posterior al aviso", según los investigadores, quienes también proporcionaron amplios indicadores de compromiso (IoC) para los defensores y las reglas de YARA.

Ivanti y CISA publicaron una guía de mitigación actualizada ayer que las organizaciones deberían postularse.

Dos nuevos errores de día cero de alta gravedad

Además de implementar parches para los errores de hace tres semanas, Ivanti también agregó correcciones para dos nuevos CVE al mismo aviso. Ellos son:

Sólo los exploits para este último han circulado libremente, y la actividad "parece ser un objetivo", según el aviso de Ivanti, pero agregó que las organizaciones deberían "esperar un fuerte aumento en la explotación una vez que esta información sea pública, similar a lo que observamos". el 11 de enero siguiente a la divulgación del 10 de enero”.

Dunham, de Qualys TRU, dice que se esperan ataques de algo más que solo APT: “Múltiples actores están aprovechando las oportunidades de explotación de vulnerabilidades antes de que las organizaciones apliquen parches y se endurezcan contra los ataques. Ivanti está armado como arma por parte de actores de estados-nación y ahora probablemente de otros; debería tener su atención y prioridad al parche, si estás usando versiones vulnerables en producción”.

Los investigadores también advierten que el resultado de un compromiso puede ser peligroso para las organizaciones.

"Estas [nuevas] fallas de alta seguridad de Ivanti son graves [y particularmente valiosas para los atacantes] y deben corregirse de inmediato", afirma Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security. "Estas vulnerabilidades, si se explotan, pueden otorgar acceso no autorizado a sistemas sensibles y comprometer toda una red".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/endpoint-security/more-ivanti-vpn-zero-day-bugs-attack-frenzy-patches-rolling