Dos días cero en VPN segura de Ivanti Connectdescubiertos hace aproximadamente una semana, ahora están siendo explotados masivamente por actores de amenazas, dijeron investigadores de seguridad.
en un entrada en el blog, los investigadores de ciberseguridad de Volexity (que descubrieron por primera vez los fallos junto con Mandiant) afirman haber observado pruebas de explotación masiva. Esto incluye más de 1.700 dispositivos Ivanti Connect Secure en todo el mundo que fueron víctimas de diferentes actores de amenazas.
Las víctimas parecen ser atacadas indiscriminadamente, ya que incluyen tanto pequeñas empresas como algunas de las organizaciones más grandes del mundo, que operan en diferentes industrias, incluidas la aeroespacial, la bancaria, la defensa y el gobierno.
Aún no hay parche
«Las víctimas están distribuidas globalmente y varían mucho en tamaño, desde pequeñas empresas hasta algunas de las organizaciones más grandes del mundo, incluidas múltiples empresas Fortune 500 en múltiples sectores verticales», dijo Volexity.
Si bien 1.700 es un número grande, Volexity sostiene que el número real es aún mayor, porque algunos datos muestran más de 17.000 Ivanti VPN potencialmente vulnerables y conectados a Internet. puntos finales.
La explotación masiva comenzó un día después de que se hicieran públicas las vulnerabilidades. TechCrunch informa, citando a Ivanti. Al parecer, la compañía dijo que los ataques masivos comenzaron el 11 de enero, un día después de que Ivanti informara sobre las fallas. Las fallas se rastrean como CVE-2023-46805 (omisión de autenticación) y CVE-2024-21887 (vulnerabilidad de inyección de comandos).
Permiten que individuos malintencionados no autenticados ejecuten comandos arbitrarios en puntos finales vulnerables a través de solicitudes especialmente diseñadas, especialmente cuando están encadenadas. «Si CVE-2024-21887 se usa junto con CVE-2023-46805, la explotación no requiere autenticación y permite a un actor de amenazas crear solicitudes maliciosas y ejecutar comandos arbitrarios en el sistema», dijo Ivanti.
Aún no hay un parche disponible, señaló la compañía, y agregó que debería comenzar a implementarlo el 22 de enero.
Mientras tanto, las empresas deben aplicar las medidas de mitigación que proporcionó, que se pueden encontrar en este enlace.