Miles de terminales Ivanti Connect Secure y Policy Secure siguen siendo vulnerables a múltiples problemas de seguridad revelados por primera vez hace más de un mes y que el proveedor solucionó gradualmente.
Las fallas son CVE-2024-22024, CVE-2023-46805, CVE-2024-21887, CVE-2024-21893 y CVE-2024-21888. Su gravedad varía de alta a crítica y se refieren a problemas de omisión de autenticación, falsificación de solicitudes del lado del servidor, ejecución de comandos arbitrarios y problemas de inyección de comandos.
Algunas de estas vulnerabilidades han sido reportadas como explotadas por actores de estados-nación antes de que fueran aprovechadas a mayor escala por una amplia gama de actores de amenazas.
A partir de CVE-2024-22024, el problema es una vulnerabilidad XXE en el componente SAML de las puertas de enlace Ivanti Connect Secure, Policy Secure y ZTA que permite el acceso no autorizado a recursos restringidos.
Revelado por primera vez la semana pasada y sin ninguna explotación activa confirmada aún, el proveedor advirtió que es fundamental aplicar de inmediato las actualizaciones o mitigaciones de seguridad disponibles, si no hay ningún parche disponible.
Un informe de Akamai publicado hoy menciona que la actividad de escaneo dirigida a esta falla en particular ya comenzó, alcanzando un máximo de 240.000 solicitudes y 80 IP que intentaron enviar cargas útiles el 11 de febrero de 2024.
El servicio de monitoreo de amenazas Shadowserver informa que sus análisis de Internet muestran más de 3900 puntos finales de Ivanti vulnerables a CVE-2024-22024. La mayoría de ellos están en Estados Unidos (1.262).
La organización detectó aproximadamente 1000 puntos finales de Ivanti que aún son vulnerables a CVE-2024-21887, una falla que permite a los administradores autenticados ejecutar comandos arbitrarios en dispositivos vulnerables mediante el envío de solicitudes especialmente diseñadas.
La vulnerabilidad se reveló por primera vez como día cero el 10 de enero de 2024 y, según se informa, fue explotada por piratas informáticos chinos, junto con CVE-2023-46805, un problema de omisión de autenticación.
Yutaka Sejiyama , un investigador de seguridad de Macnica, compartió los resultados del escaneo de Shodan, informando que hasta el 15 de febrero de 2024 a las 00:15 UTC había 13,636 servidores Ivanti que aún no habían aplicado parches para CVE-2024-21893., CVE-2024-21888, CVE-2023-46805 y CVE-2024-21887.
Ivanti puso a disposición actualizaciones de seguridad para estas cuatro vulnerabilidades hace más de un mes, el 31 de enero de 2024. Según el investigador, el número total de servidores Ivanti expuestos a Internet es 24.239, lo que significa que más de la mitad de ellos siguen sin parchear.
Con respecto a CVE-2024-22024, que fue divulgado y solucionado el 8 de febrero de 2024, la investigación de Sejiyama muestra un porcentaje global de parches del 77,3% a día de hoy, dejando 5.496 servidores expuestos a la peligrosa falla de acceso no autorizado.
Desafortunadamente, las fallas que afectaban a los productos Ivanti se revelaron en un corto período, lo que le dio al administrador poco tiempo para prepararse para aplicar los parches.
Esto complica los esfuerzos de remediación y aumenta el riesgo de que los sistemas de Ivanti queden vulnerables durante períodos prolongados, lo que proporciona a los actores de amenazas una larga lista de víctimas potenciales.