Un par de fallas zero-day identificadas en Ivanti Connect Secure (ICS) y Policy Secure fueron explotadas por presuntos actores estatales chinos para comprometer a menos de 10 clientes.
La firma de ciberseguridad Volexity, que identificó la actividad en la red de uno de sus clientes en la segunda semana de diciembre del 2023, lo atribuyó a un grupo de hackers al que sigue llamado UTA0178. Hay evidencia que sugiere que el dispositivo VPN podría haber sido comprometido ya desde el 3 de diciembre del 2023.
Las dos vulnerabilidades que fueron explotadas para lograr la ejecución de comandos no autenticados en el dispositivo ICS son las siguientes:
CVE-2023-46805 (puntuación CVSS: 8.2) – Una vulnerabilidad de omisión de autenticación en el componente web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite a un atacante remoto acceder a recursos restringidos al eludir la comprobación de controles.
CVE-2024-21887 (puntuación CVSS: 9.1) – Una vulnerabilidad de inyección de comandos en los componentes web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo.
Las vulnerabilidades pueden ser utilizadas en una cadena de explotación para tomar el control de instancias susceptibles a través de Internet.
«Si CVE-2024-21887 se utiliza en conjunto con CVE-2023-46805, la explotación no requiere autenticación y permite a un actor amenaza crear solicitudes malintencionadas y ejecutar comandos arbitrarios en el sistema», dijo Ivanti en un aviso.
La compañía ha observado intentos por parte de los actores de amenazas de manipular el comprobador de integridad interno (ICT) de Ivanti, que ofrece una instantánea del estado actual del dispositivo.
Se espera que se publiquen parches de forma escalonada a partir de la semana del 22 de enero del 2024. Mientras tanto, se recomienda a los usuarios aplicar una solución temporal para protegerse contra posibles amenazas.
En el incidente analizado por Volexity, se habrían empleado las dos fallas para «robar datos de configuración, modificar archivos existentes, descargar archivos remotos y hacer un tunnel inverso desde el dispositivo VPN ICS».
El atacante también habría modificado un archivo CGI legítimo (compcheck.cgi) en el dispositivo VPN ICS para permitir la ejecución de comandos. Además, un archivo JavaScript cargado por la páginas de inicio de sesión de Web SSL VPN fue alterado para registrar pulsaciones de teclas y filtrar credenciales asociadas con los usuarios que inician sesión en el dispositivo.
«La información y las credenciales recopiladas por el atacante le permitieron pivotar a un puñado de sistemas internos y, en última instancia, tener acceso sin restricciones a los sistemas de la red», dijeron los investigadores de Volexity Matthew Meltzer, Robert Jan Mora, Sean Koessel, Steven Adair y Thomas Lancaster.
Los ataques también se caracterizan por los esfuerzos de reconocimiento, el movimiento lateral y la implementación de una shell web personalizada denominada GLASSTOKEN a través del archivo CGI con puerta trasera para mantener un acceso remoto persistente a los servidores web externos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), en una alerta propia, dijo que ha agregado las dos fallas a su catálogo de vulnerabilidades explotadas conocidas (KEV), instando a las agencias federales a aplicar las correcciones antes del 31 de enero del 2024.
«Los sistemas accesibles desde Internet, especialmente los dispositivos críticos como las aplicaciones VPN y los firewalls, se han convertido una vez más en el objetivo preferido de los atacantes», dijo Volexity.
«Estos sistemas a menudo se encuentran en partes críticas de la red, no pueden ejecutar software de seguridad tradicional y típicamente se sitúan en el lugar perfecto para que un atacante opere. Las organizaciones deben asegurarse de tener una estrategia para monitorear la actividad de estos dispositivos y responder rápidamente si ocurre algo inesperado».
