Los ciberdelincuentes están aprovechando una vulnerabilidad de seguridad recientemente divulgada que afecta a las puertas de enlace Ivanti Connect Secure, Policy Secure y ZTA para implementar una puerta trasera denominada DSLog en los dispositivos susceptibles. Esta vulnerabilidad, identificada como CVE-2024-21893 y divulgada por Ivanti, se refiere a una vulnerabilidad de forjado de solicitud en el lado servidor en el módulo SAML. Si se explota con éxito, podría permitir el acceso a recursos restringidos sin necesidad de autenticación.
Orange Cyberdefense, una empresa de seguridad cibernética, observó la explotación de CVE-2024-21893 en cuestión de horas después de la publicación del código de concepto (PoC). La vulnerabilidad ha sufrido ataques específicos limitados, aunque la escala exacta de las comprometidas aún no está clara.
El implante de puerta trasera DSLog está siendo inyectado por los atacantes a un cliente no identificado por medio del archivo no malicioso llamado ‘DSLog.pm’, resaltando un patrón continuo en el que se modifican los componentes legítimos existentes. El implante DSLog viene con trucos para impedir la detección y el análisis, incluso incluye un hash único por dispositivo, lo que lo hace imposible de conectar con la misma puerta trasera en otro dispositivo.
Los atacantes suministran el mismo valor hash al campo de encabezado «User-Agent» en una solicitud HTTP al dispositivo para permitir que el malware extraiga el comando que se va a ejecutar de un parámetro de consulta llamado «cdi». La instrucción decodificada se ejecuta como usuario raíz. Además, los ciberdelincuentes están eliminando los registros de «.access» en «múltiples» dispositivos para cubrir la trayectoria forense y pasar desapercibidos.
Las últimas investigaciones de Orange Cyberdefense muestran que se han detectado compromisos desde el 3 de febrero. La empresa ha podido detectar 670 activos comprometidos durante un escaneo inicial, una cifra que ha descendido a 524 hasta el 7 de febrero.
La semana pasada, la Shadowserver Foundation reveló un aumento en los intentos de explotación que se originaron en más de 170 direcciones IP únicas, poco después de que tanto Rapid7 como AssetNote compartieran detalles técnicos adicionales. Teniendo en cuenta la continua explotación de los dispositivos Ivanti, se recomienda encarecidamente que «todos los clientes reinicien sus dispositivos antes de aplicar el parche para evitar que el ciberdelincuente obtenga persistencia de actualización en su entorno».
Vía The Hacker News
