imágenes falsas
Las agencias civiles federales tienen hasta la medianoche del sábado para cortar todas las conexiones de red al software VPN de Ivanti, que actualmente está siendo explotado masivamente por múltiples grupos de amenazas. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ordenó la medida el miércoles después de revelar tres vulnerabilidades críticas en las últimas semanas.
Hace tres semanas, Ivanti reveló dos vulnerabilidades críticas que, según dijo, los actores de amenazas ya estaban explotando activamente. Los ataques, dijo la compañía, se dirigieron a “un número limitado de clientes” que utilizaban los productos Connect Secure y Policy Secure VPN de la compañía. La empresa de seguridad Volexity dijo el mismo día que las vulnerabilidades habían estado siendo explotadas desde principios de diciembre. Ivanti no tenía un parche disponible y, en cambio, recomendó a los clientes que siguieran varios pasos para protegerse contra los ataques. Entre los pasos estaba ejecutar un verificador de integridad que la compañía lanzó para detectar cualquier compromiso. Casi dos semanas después, los investigadores dijeron que los días cero estaban siendo explotados masivamente en ataques que estaban atacando redes de clientes en todo el mundo. Un día después, Ivanti no cumplió su promesa anterior de comenzar a implementar un parche adecuado antes del 24 de enero. La compañía no comenzó el proceso hasta el miércoles, dos semanas después de la fecha límite que se había fijado.
Y entonces, había tres
Ivanti revelado Dos nuevas vulnerabilidades críticas en Connect Secure el miércoles, rastreadas como CVE-2024-21888 y CVE-2024-21893. La compañía dijo que CVE-2024-21893, una clase de vulnerabilidad conocida como falsificación de solicitudes del lado del servidor, “parece ser el objetivo”, lo que eleva a tres el número de vulnerabilidades explotadas activamente. funcionarios del gobierno alemán dicho ya habían visto hazañas exitosas del más nuevo. Los funcionarios también advirtieron que las explotaciones de las nuevas vulnerabilidades neutralizaron las mitigaciones que Ivanti recomendó a los clientes implementar.
Horas más tarde, la Agencia de Seguridad de Infraestructura y Ciberseguridad (normalmente abreviada como CISA)ordenado todas las agencias federales bajo su autoridad “desconectarán todas las instancias de los productos de solución Ivanti Connect Secure e Ivanti Policy Secure de las redes de las agencias” a más tardar a las 11:59 p. m. del viernes. Los funcionarios de la agencia establecieron la misma fecha límite para que las agencias completen los pasos recomendados por Ivanti, que están diseñados para detectar si sus VPN de Ivanti ya se han visto comprometidas en los ataques en curso.
Los pasos incluyen:
- Identificar cualquier sistema adicional conectado o conectado recientemente al dispositivo Ivanti afectado
- Monitorizar los servicios de autenticación o gestión de identidad que podrían quedar expuestos.
- Aislar los sistemas de cualquier recurso empresarial en la mayor medida posible.
- Continuar auditando las cuentas de acceso de nivel privilegiado.
La directiva continúa diciendo que antes de que las agencias puedan volver a poner en línea sus productos Ivanti, deben seguir una larga serie de pasos que incluyen el restablecimiento de fábrica de su sistema, su reconstrucción siguiendo las instrucciones previamente emitidas por Ivanti y la instalación de los parches de Ivanti.
“Las agencias que ejecutan los productos afectados deben asumir que las cuentas de dominio asociadas con los productos afectados han sido comprometidas”, decía la directiva del miércoles. Los funcionarios continuaron exigiendo que, para el 1 de marzo, las agencias deben haber restablecido las contraseñas “dos veces” para las cuentas locales, revocar los tickets de autenticación habilitados para Kerberos y luego revocar los tokens para las cuentas en la nube en implementaciones híbridas.
Steven Adair, presidente de Volexity, la empresa de seguridad que descubrió las dos vulnerabilidades iniciales, dijo que sus análisis más recientes indican que al menos 2.200 clientes de los productos afectados se han visto comprometidos hasta la fecha. Aplaudió la directiva del miércoles de CISA.
“Esta es efectivamente la mejor manera de aliviar cualquier preocupación de que un dispositivo aún pueda estar comprometido”, dijo Adair en un correo electrónico. “Vimos que los atacantes buscaban activamente formas de eludir la detección de las herramientas de verificación de integridad. Con las vulnerabilidades anteriores y nuevas, este curso de acción en torno a un sistema completamente nuevo y parcheado podría ser la mejor manera de que las organizaciones no tengan que preguntarse si su dispositivo está activamente comprometido”.
La directiva es vinculante sólo para las agencias bajo la autoridad de CISA. Sin embargo, cualquier usuario de productos vulnerables debe seguir los mismos pasos inmediatamente si aún no lo ha hecho.