La Fundación Shadowserver ha descubierto una vulnerabilidad de solicitud de servidor que está siendo explotada en gran medida, afectando a los productos Ivanti Connect Secure y Policy Secure. Estos ataques están buscando establecer una shell inversa entre otros objetivos. Los atacantes aprovechan la vulnerabilidad CVE-2024-21893 (puntuación CVSS: 8.2), una falla en SSRF del componente SAML de los productos mencionados anteriormente, lo que les permite acceder a recursos restringidos sin autenticación.
Más de 170 direcciones IP únicas están siendo utilizadas en intentos de explotación. Ivanti divulgó que la vulnerabilidad ha sido explotada en ataques dirigidos a un «número limitado de clientes». Sin embargo, la situación puede cambiar después de la divulgación pública.
Es importante señalar que CVE-2024-21893 también se conoce como CVE-2023-36661 (puntuación CVSS: 7.5), una vulnerabilidad SSRF en la biblioteca XMLTooling de código abierto Shibboleth corregido en 2023.
Los actores de amenazas han evadido la mitigación inicial de Ivanti. La empresa ha lanzado un segundo archivo de mitigación y ha comenzado a publicar parches oficiales desde el 1 de febrero de 2024 para abordar todas las vulnerabilidades. El investigador de seguridad Will Dormann señaló componentes de software de código abierto no actualizados en los productos Ivanti VPN, lo que abre la puerta a más ataques.
La semana pasada, Mandiant reveló que varios actores de amenazas utilizan las CVE-2023-46805 y CVE-2024-21887 para implementar una variedad de shells web personalizadas conocidas como BUSHWALK, CHAINLINE, FRAMESTING y LIGHTWIRE. Además, Palo Alto Networks Unit 42 detectó 28,474 instancias expuestas de Ivanti Connect Secure y Policy Secure en 145 países entre el 26 y el 30 de enero de 2024, con 610 instancias comprometidas detectadas en 44 países hasta el 23 de enero de 2024.
Vía: The Hacker News
