CISA advierte contra el uso de dispositivos VPN Ivanti pirateados

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reveló hoy que los atacantes que piratean los dispositivos VPN de Ivanti utilizando una de las múltiples vulnerabilidades explotadas activamente pueden mantener la persistencia de la raíz incluso después de realizar restablecimientos de fábrica.

Además, también pueden evadir la detección de la herramienta de comprobación de integridad (ICT) interna y externa de Ivanti en las pasarelas Ivanti Connect Secure y Policy Secure comprometidas mediante los exploits CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 y CVE-2024-21893.

Las clasificaciones de gravedad de las cuatro vulnerabilidades van de alta a crítica, y pueden explotarse para omitir la autenticación, inyectar comandos, falsificar solicitudes del lado del servidor y ejecutar comandos arbitrarios.

CISA descubrió que Ivanti ICT no detectó el compromiso mientras investigaba múltiples incidentes de piratería que involucraban dispositivos Ivanti pirateados. Esto sucedió porque los shells web que se encontraron en los sistemas no tenían discrepancias de archivos, según ICT de Ivanti.

Además, el análisis forense reveló que los atacantes cubrieron sus huellas sobrescribiendo archivos, pisoteando el tiempo y volviendo a montar la partición de tiempo de ejecución para restaurar el dispositivo comprometido a un "estado limpio".

Esto demuestra que los escaneos de TIC no siempre fueron fiables a la hora de detectar compromisos anteriores y pueden crear una falsa sensación de seguridad de que el dispositivo está libre de cualquier compromiso, según la CISA. Ivanti ha lanzado una herramienta externa actualizada de comprobación de integridad para resolver los problemas de su escáner anterior.

Además, la agencia de ciberseguridad de EE. UU. podría confirmar de forma independiente en un laboratorio de pruebas que se necesita más que las TIC de Ivanti para detectar el compromiso de manera adecuada, ya que los actores de amenazas podrían obtener persistencia a nivel de raíz entre los restablecimientos de fábrica.

"Durante múltiples compromisos de respuesta a incidentes asociados con esta actividad, CISA identificó que las TIC internas y externas anteriores de Ivanti no detectaron el compromiso", advirtió CISA el jueves.

"Además, CISA ha llevado a cabo una investigación independiente en un entorno de laboratorio que valida que las TIC de Ivanti no son suficientes para detectar el compromiso y que un actor de amenazas cibernéticas puede ser capaz de obtener persistencia a nivel de raíz a pesar de emitir restablecimientos de fábrica".

Sin embargo, CISA proporciona a las agencias federales orientación sobre cómo proceder después de descubrir signos de compromiso en los dispositivos VPN de Ivanti en sus redes.

CitarLas organizaciones autoras animan a los defensores de la red a (1) asumir que es probable que las credenciales de usuario y de cuenta de servicio almacenadas en los dispositivos VPN de Ivanti afectados estén comprometidas, (2) buscar actividad maliciosa en sus redes utilizando los métodos de detección e indicadores de compromiso (IOC) de este aviso, (3) ejecutar la ICT externa más reciente de Ivanti y (4) aplicar la guía de aplicación de parches disponible proporcionada por Ivanti a medida que las actualizaciones de versión estén disponibles. Si se detecta un posible riesgo, las organizaciones deben recopilar y analizar registros y artefactos en busca de actividad malintencionada y aplicar las recomendaciones de respuesta a incidentes de este documento informativo. — CISA

CISA: "Considerar el riesgo significativo"

Hoy, en respuesta al aviso de CISA, Ivanti dijo que los atacantes remotos que intenten obtener persistencia de root en un dispositivo Ivanti utilizando el método encontrado por CISA perderían la conexión con el dispositivo Ivanti Connect Secure.

"Ivanti y nuestros socios de seguridad no tienen conocimiento de ningún caso de persistencia exitosa de actores de amenazas después de la implementación de las actualizaciones de seguridad y los restablecimientos de fábrica (hardware) / nueva construcción (virtual) recomendados por Ivanti", dijo Ivanti.

A pesar de las garantías de la compañía, CISA instó hoy a todos los clientes de Ivanti a "considerar el riesgo significativo de acceso y persistencia de los adversarios en las pasarelas Ivanti Connect Secure e Ivanti Policy Secure al determinar si continuar operando estos dispositivos en un entorno empresarial" [énfasis de CISA].

En otras palabras, CISA advierte que es posible que aún no sea seguro usar dispositivos Ivanti Connect Secure e Ivanti Policy Secure previamente comprometidos, incluso después de limpiar y realizar un restablecimiento de fábrica.

El 1 de febrero, en respuesta a la "amenaza sustancial" y al aumento del riesgo de violaciones de seguridad planteadas por los dispositivos VPN de Ivanti pirateados, CISA ordenó a todas las agencias federales que desconectaran todas las instancias de Ivanti Connect Secure e Ivanti Policy Secure de sus redes en un plazo de 48 horas.

Las agencias recibieron el mandato de exportar configuraciones, restablecerlas de fábrica, reconstruirlas utilizando versiones de software parcheadas lanzadas por Ivanti, volver a importar las configuraciones respaldadas y revocar todos los certificados, claves y contraseñas conectados o expuestos para poder volver a poner en línea los dispositivos aislados.

A las agencias federales que encontraron productos Ivanti comprometidos en sus redes se les dijo que asumieran que todas las cuentas de dominio vinculadas estaban comprometidas y deshabilitaran los dispositivos unidos/registrados (en entornos de nube) o realizaran un doble restablecimiento de contraseña para todas las cuentas y revocaran los tickers de Kerberos y los tokens de nube (en configuraciones híbridas).

Los actores de los estados-nación han explotado algunas de las vulnerabilidades de seguridad mencionadas por CISA en el aviso de hoy como días cero antes de ser aprovechadas a mayor escala por una amplia gama de actores de amenazas para eliminar múltiples cepas de malware personalizadas.

Otro día cero de Connect Secure rastreado como CVE-2021-22893 fue utilizado por presuntos grupos de amenazas chinos en 2021 para violar docenas de organizaciones gubernamentales, de defensa y financieras en los Estados Unidos y Europa.

Actualización 29 de febrero a las 19:57 EST: Se ha revisado el artículo y el título para dejar claro que el aviso se refiere a los dispositivos VPN Ivanti Connect Secure e Ivanti Policy Secure.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta