La aplicación VPN empresarial de Ivanti está siendo explotada por piratas informáticos para atacar al sector de defensa de EE. UU., confirmó la Agencia de Seguridad Nacional de EE. UU.
El sector de defensa estadounidense proporciona equipos y tecnología para el ejército estadounidense, lo que hace que un posible compromiso por parte de grupos respaldados por China sea significativamente preocupante.
Hablando a TechCrunchel portavoz de la NSA, Edward Bennett, dijo que la agencia está «siguiendo y siendo consciente del amplio impacto de la reciente explotación de los productos Ivanti, para incluir los [sic] Sector de defensa estadounidense”.
250.000 intentos de explotación cada día
Previo a la confirmación de la NSA, Mandiant fijado un grupo respaldado por China rastreado como UNC5325 estaba explotando activamente el software Ivanti Connect Secure para infiltrarse en miles de organizaciones en todo el mundo. Los exploits en cuestión se rastrean como CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893.
El grupo UNC5325 lleva a cabo ataques complejos y utiliza técnicas como vivir de la tierra para permanecer de incógnito al infiltrarse en las organizaciones objetivo. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó un consultivo eso indicó que el grupo puede permanecer activo dentro de los dispositivos comprometidos incluso después de un restablecimiento de fábrica.
También es posible engañar a la herramienta Ivanti Integrity Checker integrada durante un ataque que provoque que la herramienta «no detecte el compromiso» según las propias pruebas de CISA. Además, un informe publicado por Akamai dice que el grupo UNC5325 podría estar realizando hasta 250.000 ataques cada día en un rango de más de 1.000 clientes.
El CISO de campo de Ivanti, Mike Riemer, dijo TechCrunch la empresa «no tiene conocimiento de ningún caso de persistencia exitosa de actores de amenazas luego de la implementación de las actualizaciones de seguridad y los restablecimientos de fábrica recomendados por Ivanti».
Los ataques se han producido desde enero de 2024, pero la Administración Biden ha estado tomando medidas para impulsar la seguridad nacional mejorando ciberseguridad en los puertos y presionar a las empresas para que avancen hacia lenguajes de programación seguros para la memoria.