esenfrdeitptru

Alerta de seguridad: Explotación Activa de Dos Vulnerabilidades Zero-Day en Ivanti Connect Secure VPN

AS-06-2024

Fecha: 11/Ene/2024

Resumen:

Volexity ha descubierto la explotación activa en entornos reales de dos vulnerabilidades que permiten la ejecución remota de código sin autenticación en dispositivos Ivanti Connect Secure VPN. Se han asignado los CVE-2023-46805 y CVE-2024-21887 a estas vulnerabilidades, que, cuando se combinan, facilitan a los atacantes la ejecución de comandos en el sistema afectado.

Descripción.

Durante la segunda semana de diciembre de 2023, Volexity detectó movimientos laterales sospechosos en la red de un cliente.

Tras la investigación, identificaron una vulnerabilidad zero-day en Ivanti Connect Secure (ICS) VPN appliance. El atacante utilizó dos exploits zero-day para lograr la ejecución remota de código:

CVE-2023-46805: Vulnerabilidad de bypass de autenticación con una puntuación CVSS de 8.2.
CVE-2024-21887: Vulnerabilidad de inyección de comandos en componentes web con una puntuación CVSS de 9.1.

Estas vulnerabilidades permitieron al atacante robar datos de configuración, modificar archivos, descargar archivos remotos y realizar túneles inversos desde el dispositivo afectado.

Solución.

Realizar las actualizaciones de la guía de mitigación en las referencias.
Realizar un análisis de los sistemas para buscar signos de compromiso.

Recomendaciones:

  • Aplicar las actualizaciones y parches proporcionados por Ivanti para corregir las vulnerabilidades.
  • Analizar el tráfico de red en busca de conexiones inusuales, especialmente curl requests a servicios de geolocalización IP y direcciones IP específicas.
  • Revisar los logs del dispositivo VPN en busca de actividades inusuales, deshabilitación de logs y solicitudes de archivos en rutas válidas pero atípicas.
  • Ejecutar la Herramienta de Verificación de Integridad de Ivanti para identificar nuevos o archivos no coincidentes.

Indicadores de Compromiso.

IPs Asociadas a UTA0178
206.189.208.156 (Dirección IP de DigitalOcean)
75.145.243.85, 47.207.9.89, 98.160.48.170, entre otras (Direcciones IP asociadas a la red de proxies Cyberoam utilizada por UTA0178).

Dominios Relacionados.

gpoaccess[.]com
webb-institute[.]com
symantke[.]com

Referencias:

https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

https://www.cisa.gov/news-events/alerts/2024/01/10/ivanti-releases-security-update-connect-secure-and-policy-secure-gateways

https://www.cisa.gov/news-events/alerts/2024/01/10/cisa-adds-two-known-exploited-vulnerabilities-catalog

https://www.bleepingcomputer.com/news/security/ivanti-warns-of-connect-secure-zero-days-exploited-in-attacks/

https://therecord.media/ivanti-customers-patch-chinese-hackers

https://www.securityweek.com/volexity-catches-chinese-hackers-exploiting-ivanti-vpn-zero-days/

https://www.itnews.com.au/news/ivanti-patches-two-exploited-zero-day-bugs-603958

Tlp Clear 2023