La Alianza de Inteligencia Five Eyes ha emitido un aviso de ciberseguridad en relación a las vulnerabilidades de Ivanti Connect Secure y Policy Secure. Según el aviso, la Herramienta de Verificación de Integridad de Ivanti no es suficiente para detectar una intrusión, lo que permitiría a un actor de amenazas cibernéticas obtener una persistencia de nivel raíz. Hasta la fecha, se han revelado cinco vulnerabilidades de seguridad en los productos de Ivanti, cuatro de las cuales ya han sido explotadas activamente.
La agencia de seguridad Mandiant ha descubierto cómo se coloca el malware BUSHWALK en un directorio excluido por la ICT, mientras que Eclypsium destacó que la herramienta salta una docena de directorios para ser escaneados, lo que permite a un atacante dejar puertas traseras en uno de esos caminos.
Five Eyes aconseja a las organizaciones a asumir que un actor de amenazas sofisticado puede desplegar una persistencia de nivel rootkit en un dispositivo que ha sido restablecido y que ha permanecido inactivo durante un tiempo arbitrario. También instan a considerar el riesgo significativo del acceso y la persistencia del adversario en Ivanti Connect Secure y en los Gateways de Ivanti Policy Secure al determinar si seguir operando estos dispositivos en un entorno empresarial.
En respuesta, Ivanti declaró que no tiene conocimiento de ninguna instancia de persistencia de amenazas exitosas después de la implementación de actualizaciones de seguridad y restablecimientos de fábrica. También están lanzando una nueva versión de ICT que proporciona mayor visibilidad en el dispositivo del cliente y en todos los archivos que están presentes en el sistema.
Es importante que las organizaciones tengan en cuenta esta alerta de seguridad y tomen medidas para abordar cualquier vulnerabilidad potencial en Ivanti Connect Secure e Ivanti Policy Secure. Keywords: Five Eyes, Ivanti, ciberseguridad, vulnerabilidades, persistencia de amenazas.
Vía The Hacker News