Más de 13.000 Puertas de Enlace de Ivanti Vulnerables a Errores de Explotación

Miles de terminales Ivanti Connect Secure y Policy Secure siguen siendo vulnerables a múltiples problemas de seguridad revelados por primera vez hace más de un mes y que el proveedor solucionó gradualmente.

Las fallas son CVE-2024-22024, CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 y CVE-2024-21888. Su gravedad varía de alta a crítica y se refieren a problemas de omisión de autenticación, falsificación de solicitudes del lado del servidor, ejecución de comandos arbitrarios y problemas de inyección de comandos.

Algunas de estas vulnerabilidades han sido reportadas como explotadas por actores de estados-nación antes de que fueran aprovechadas a mayor escala por una amplia gama de actores de amenazas.

A partir de CVE-2024-22024, el problema es una vulnerabilidad XXE en el componente SAML de las puertas de enlace Ivanti Connect Secure, Policy Secure y ZTA que permite el acceso no autorizado a recursos restringidos.

Revelado por primera vez la semana pasada y sin ninguna explotación activa confirmada aún, el proveedor advirtió que es fundamental aplicar de inmediato las actualizaciones o mitigaciones de seguridad disponibles, si no hay ningún parche disponible.

Un informe de Akamai publicado hoy menciona que la actividad de escaneo dirigida a esta falla en particular ya comenzó, alcanzando un máximo de 240.000 solicitudes y 80 IP que intentaron enviar cargas útiles el 11 de febrero de 2024.

El servicio de monitoreo de amenazas Shadowserver informa que sus análisis de Internet muestran más de 3900 puntos finales de Ivanti vulnerables a CVE-2024-22024. La mayoría de ellos están en Estados Unidos (1.262).

La organización detectó aproximadamente 1000 puntos finales de Ivanti que aún son vulnerables a CVE-2024-21887, una falla que permite a los administradores autenticados ejecutar comandos arbitrarios en dispositivos vulnerables mediante el envío de solicitudes especialmente diseñadas.

La vulnerabilidad se reveló por primera vez como día cero el 10 de enero de 2024 y, según se informa, fue explotada por piratas informáticos chinos, junto con CVE-2023-46805, un problema de omisión de autenticación.

Yutaka Sejiyama , un investigador de seguridad de Macnica, compartió los resultados del escaneo de Shodan, informando que hasta el 15 de febrero de 2024 a las 00:15 UTC había 13,636 servidores Ivanti que aún no habían aplicado parches para CVE-2024-21893., CVE-2024-21888, CVE-2023-46805 y CVE-2024-21887.

Ivanti puso a disposición actualizaciones de seguridad para estas cuatro vulnerabilidades hace más de un mes, el 31 de enero de 2024. Según el investigador, el número total de servidores Ivanti expuestos a Internet es 24.239, lo que significa que más de la mitad de ellos siguen sin parchear.

Con respecto a CVE-2024-22024, que fue divulgado y solucionado el 8 de febrero de 2024, la investigación de Sejiyama muestra un porcentaje global de parches del 77,3% a día de hoy, dejando 5.496 servidores expuestos a la peligrosa falla de acceso no autorizado.

Desafortunadamente, las fallas que afectaban a los productos Ivanti se revelaron en un corto período, lo que le dio al administrador poco tiempo para prepararse para aplicar los parches.

Esto complica los esfuerzos de remediación y aumenta el riesgo de que los sistemas de Ivanti queden vulnerables durante períodos prolongados, lo que proporciona a los actores de amenazas una larga lista de víctimas potenciales.

Relacionado

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de WordPress Ninja Forms que podrían permitir a los atacantes: Redirigir a los administradores del sitio a ubicaciones aleatorias. Instalar un ¡SEGUIR LEYENDO!

Vulnerabilidades de Leaky Vessels permiten a Hackers escapar de Contenedores Docker y runc

El descubrimiento de cuatro vulnerabilidades conocidas como "Leaky Vessels" ha planteado preocupaciones significativas en el mundo de la seguridad informática. Estas vulnerabilidades, detectadas por el investigador de seguridad de Snyk, Rory McNamara, en noviembre de 2023, representan una amenaza potencial para la integridad de los contenedores Docker y runc, así como para la seguridad de los datos alojados en los sistemas operativos subyacentes. Escape de contenedores ¡SEGUIR LEYENDO!

Vulnerabilidad en el Servidor de Correo Electrónico Roundcube permite Ejecutar Ataques

La vulnerabilidad de seguridad (CVE-2023-43770) es un error persistente de scripting entre sitios (XSS) que permite a los atacantes acceder a información restringida a través de enlaces maliciosamente diseñados en mensajes de texto plano con ataques de baja complejidad que requieren la interacción del usuario. La vulnerabilidad afecta a los servidores de correo electrónico Roundcube que ejecutan versiones más recientes que 1.4.14, 1.5.x antes de 1.5.4 ¡SEGUIR LEYENDO!

Servidores de TeamCity de JetBrains expuestos a Grave Vulnerabilidad

JetBrains ha emitido una advertencia urgente a sus clientes respecto a una nueva vulnerabilidad crítica de omisión de autenticación que afecta a los servidores TeamCity On-Premises. Esta vulnerabilidad podría permitir a los atacantes tomar el control de las instancias vulnerables con privilegios de administrador Identificada como CVE-2024-23917, esta falla afecta a todas las versiones de TeamCity On-Premises desde 2017.1 hasta 2023.11.2. Lo preocupante es que esta ¡SEGUIR LEYENDO!

Se revela un desagradable error de seguridad de systemd en Linux

Systemd, el administrador de sistemas y servicios de Linux que ha reemplazado en gran medida a INIT como el programa maestro de inicio y control de Linux, siempre ha tenido sus críticas. Ahora, con el descubrimiento de Qualys de un nuevo error de seguridad de systemd, systemd tendrá menos amigos. La explotación exitosa de esta vulnerabilidad más reciente permite a cualquier usuario sin privilegios provocar una ¡SEGUIR LEYENDO!