Los piratas informáticos han comenzado a explotar en masa una tercera vulnerabilidad que afecta al ampliamente utilizado dispositivo VPN empresarial de Ivanti, según muestran nuevos datos públicos.
La semana pasada, Ivanti dijo que había descubrió dos nuevos fallos de seguridad — rastreado como CVE-2024-21888 y CVE-2024-21893 — que afecta a Connect Secure, su solución VPN de acceso remoto utilizada por miles de corporaciones y grandes organizaciones en todo el mundo. Según su sitio web, Ivanti tiene más de 40.000 clientes, incluidas universidades, organizaciones sanitarias y bancos, cuya tecnología permite a sus empleados iniciar sesión desde fuera de la oficina.
La divulgación se produjo poco después de que Ivanti confirmara dos errores anteriores en Connect Secure, rastreados como CVE-2023-46805 y CVE-2024-21887, que los investigadores de seguridad dijeron que los piratas informáticos respaldados por China habían detectado. explotando desde diciembre para irrumpir en las redes de clientes y robar información.
Ahora, los datos muestran que una de las fallas recientemente descubiertas (CVE-2024-21893, una falla de falsificación de solicitudes del lado del servidor) está siendo explotada masivamente.
Aunque desde entonces Ivanti ha parcheado las vulnerabilidades, los investigadores de seguridad esperan que se produzca un mayor impacto en las organizaciones a medida que más grupos de piratas informáticos exploten la falla. Steven Adair, fundador de la empresa de ciberseguridad Volexity, una empresa de seguridad que ha estado rastreando la explotación de las vulnerabilidades de Ivanti, advirtió que ahora que el código de explotación de prueba de concepto es público, «cualquier dispositivo sin parches accesible a través de Internet probablemente se haya visto comprometido varias veces durante .”
Piotr Kijewski, director ejecutivo de Shadowserver Foundation, una organización sin fines de lucro que escanea y monitorea Internet en busca de explotación, dijo a TechCrunch el jueves que la organización ha observado más de 630 IP únicas que intentan explotar la falla del lado del servidor, que permite a los atacantes obtener acceso. a datos en dispositivos vulnerables.
Eso es un fuerte aumento en comparación con la semana pasada cuando Shadowserver dijo había observado 170 IP únicas intentando explotar la vulnerabilidad.
Un análisis de la nueva falla del lado del servidor muestra que el error se puede explotar para evitar la mitigación original de Ivanti para la cadena de explotación inicial que involucra las dos primeras vulnerabilidades, lo que efectivamente hace que esas mitigaciones previas al parche sean discutibles.
Kijewski añadió que Shadowserver está observando actualmente alrededor de 20.800 dispositivos Ivanti Connect Secure expuestos a Internet, frente a los 22.500 de la semana pasada, aunque señaló que no se sabe cuántos de estos dispositivos Ivanti son vulnerables a la explotación.
No está claro quién está detrás de la explotación masiva, pero los investigadores de seguridad atribuyeron la explotación de los dos primeros errores de Connect Secure a un grupo de piratería respaldado por el gobierno de China probablemente motivado por el espionaje.
Ivanti dijo anteriormente que estaba al tanto de la explotación «dirigida» del error del lado del servidor dirigida a un «número limitado de clientes». A pesar de las repetidas solicitudes de TechCrunch esta semana, Ivanti no quiso comentar sobre los informes de que la falla está siendo explotada masivamente, pero no cuestionó los hallazgos de Shadowserver.
Ivanti comenzó a lanzar parches a los clientes por todas las vulnerabilidades junto con un segundo conjunto de mitigaciones a principios de este mes. Sin embargo, Ivanti señala en su aviso de seguridad, actualizado por última vez el 2 de febrero, que «primero lanza parches para el mayor número de instalaciones y luego continúa en orden decreciente».
No se sabe cuándo Ivanti pondrá los parches a disposición de todos sus clientes potencialmente vulnerables.
Los informes de que otra falla de Ivanti está siendo explotada masivamente llegan días después de que la agencia de ciberseguridad de EE. UU. CISA ordenó a las agencias federales que desconectaran urgentemente todos los dispositivos VPN de Ivanti. La advertencia de la agencia hizo que CISA les diera a las agencias solo dos días para desconectar los electrodomésticos, citando la «seria amenaza» que plantean las vulnerabilidades bajo ataque activo.