Días después de que Ivanti anunciara parches para una nueva vulnerabilidad en sus productos Connect Secure y Policy Secure, ya se publicó un código de explotación de prueba de concepto para la falla y las empresas de seguridad están informando sobre intentos de explotación en la naturaleza. Esto sigue a un mes difícil para los clientes de Ivanti que tuvieron que implementar parches y mitigaciones de emergencia para tres vulnerabilidades diferentes de día cero que estaban siendo explotados en la naturaleza.
La nueva vulnerabilidad, rastreado como CVE-2024-22024, es una inyección de entidad externa XML (XXE) en el componente SAML de versiones específicas de las puertas de enlace Ivanti Connect Secure, Ivanti Policy Secure y ZTA. Permite a un atacante acceder a ciertos recursos restringidos sin autenticación y tiene una puntuación de gravedad de 8,3 sobre 10 (alta) en la escala CVSS.
Ivanti le da crédito a los investigadores de la firma de seguridad watchTowr por descubrir e informar la falla, pero también señala que ya había marcado ese código como potencialmente inseguro internamente. Los investigadores de WatchTowr dijeron en un informe que encontraron la falla mientras analizaban el parche para CVE-2024-21893, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el componente SAML que Ivanti reveló el 31 de enero como una falla de día cero que estaba siendo explotada en ataques dirigidos.
Ivanti descubrió la falla SSRF CVE-2024-21893 mientras investigaba otras dos vulnerabilidades de día cero que se anunciaron el 10 de enero y estaban siendo explotados por una amenaza persistente avanzada china (APT) grupo. En respuesta a estos ataques, Ivanti lanzó por primera vez una mitigación basada en XML que podría aplicarse a los dispositivos afectados mientras la empresa trabajaba en versiones actualizadas para todas las versiones de software afectadas.
Actualizaciones disponibles para las nuevas vulnerabilidades de Ivanti
Las actualizaciones para las cuatro vulnerabilidades conocidas: CVE-2023-46805 (omisión de autenticación), CVE-2024-21887 (inyección de comandos), CVE-2024-21888 (escalada de privilegios) y CVE-2024-21893 (SSRF en el componente SAML). ) — fueron finalmente liberados el 31 de enero y el 1 de febrero.
Las actualizaciones para la nueva falla CVE-2024-22024 (inyección XXE) se publicaron el 8 de febrero. Ivanti dijo que estas actualizaciones reemplazan a las publicadas anteriormente y señaló que los clientes que restablecen sus dispositivos al restablecimiento de fábrica al aplicar los parches del 31 de enero y 1 de febrero no No tendrás que volver a hacerlo ahora después de aplicar las actualizaciones del 8 de febrero. El restablecimiento de fábrica fue necesario para eliminar posibles implantes y modificaciones realizadas por atacantes que utilizaran exploits anteriores.