Dispositivos Ivanti bajo fuertes ataques

Iniciado por AXCESS, Febrero 09, 2024, 06:40:34 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 09, 2024, 06:40:34 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hoy, Ivanti advirtió sobre una nueva vulnerabilidad de omisión de autenticación que afecta a las puertas de enlace Connect Secure, Policy Secure y ZTA, e instó a los administradores a proteger sus dispositivos de inmediato.

La falla (CVE-2024-22024) se debe a una debilidad XXE (XML eXternal Entities) en el componente SAML de las puertas de enlace que permite a atacantes remotos obtener acceso a recursos restringidos en dispositivos sin parches en ataques de baja complejidad sin requerir interacción o autenticación del usuario.

"No tenemos evidencia de que CVE-2024-22024 haya explotado a ningún cliente. Sin embargo, es fundamental que tome medidas de inmediato para garantizar que esté completamente protegido", dijo Ivanti:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Para los usuarios de otras versiones compatibles, la mitigación lanzada el 31 de enero bloquea con éxito los puntos finales vulnerables hasta que se publiquen los parches restantes", añadió la compañía en un aviso separado.

La plataforma de monitoreo de amenazas Shadowserver actualmente rastrea más de 20,000 puertas de enlace VPN ICS expuestas en línea, con más de 6,000 en los Estados Unidos (Shodan actualmente rastrea más de 26,000 VPN ICS Ivanti expuestas a Internet).

Shadowserver también monitorea diariamente las instancias de Ivanti Connect Secure VPN comprometidas en todo el mundo, con casi 250 dispositivos comprometidos descubiertos el miércoles 7 de febrero.

Los dispositivos VPN de Ivanti han sido objeto de ataques que encadenan la omisión de autenticación CVE-2023-46805 y las fallas de inyección de comandos CVE-2024-21887 como días cero desde diciembre de 2023.

La compañía advirtió sobre un tercer día cero activamente explotado (una vulnerabilidad de falsificación de solicitudes del lado del servidor ahora rastreada como CVE-2024-21893) que ahora también está bajo explotación masiva por parte de múltiples actores de amenazas, lo que permite a los atacantes eludir la autenticación en ICS, IPS, y puertas de enlace ZTA.

Los parches de seguridad para las versiones de productos afectadas por las tres fallas se lanzaron el 31 de enero. Ivanti también proporciona instrucciones de mitigación para dispositivos que no pueden protegerse inmediatamente contra ataques en curso o versiones de software en ejecución que aún esperan un parche.

Ivanti instó a los clientes a restablecer los valores de fábrica de todos los dispositivos vulnerables antes de aplicar parches para bloquear los intentos de los atacantes de ganar persistencia entre las actualizaciones de software.

Además, el 1 de febrero, CISA ordenó a las agencias federales de EE. UU. que desconectaran todos los dispositivos VPN de Ivanti vulnerables en sus redes dentro de las 48 horas en respuesta a los ataques extensivos de múltiples actores de amenazas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario