Los investigadores han descubierto una sofisticada campaña de ataque dirigida a los usuarios de Ivanti Cloud Services Appliance (CSA).
Los atacantes de estados-nación están explotando múltiples vulnerabilidades de día cero en CSA para obtener acceso no autorizado a las redes de las víctimas y establecer un punto de apoyo para futuras actividades maliciosas.
Durante los recientes esfuerzos de respuesta a incidentes, FortiGuard Labs descubrió que los atacantes estaban encadenando tres vulnerabilidades (CVE-2024-8190 y dos fallas previamente desconocidas) para comprometer las instalaciones de CSA que hice.
Este ataque se detectó por primera vez el 9 de septiembre de 2024, cuando se observó una comunicación sospechosa entre sistemas internos y direcciones IP maliciosas.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
Este incidente destacó la capacidad de los atacantes para encadenar vulnerabilidades de día cero para afianzarse en la red de un objetivo.
Los piratas informáticos del estado-nación explotan el día cero de Ivanti CSA
CVE-2024-8190: una vulnerabilidad de inyección de comando autenticado en el recurso DateTimeTab.php afecta a CSA 4.6 y versiones anteriores con el parche 518. CVE-2024-8963: Vulnerabilidad de recorrido de ruta en el recurso /client/index.php permite el acceso no autorizado a recursos restringidos. CVE-2024-9380: La vulnerabilidad de inyección de comando autenticado afecta el recurso reports.php.
Se ha observado que los atacantes “parchan” algunas de las vulnerabilidades que explotaron para evitar que otros atacantes comprometan los mismos sistemas e interrumpan las operaciones.
Ivanti ha publicado actualizaciones de seguridad que abordan estas vulnerabilidades y recomienda encarecidamente que todos los usuarios de CSA actualicen inmediatamente a la versión 5.0.2 o posterior.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado CVE-2024-8190 a su catálogo de vulnerabilidades explotadas conocidas y exige que las agencias federales parcheen rápidamente los sistemas afectados.
Se recomienda a las organizaciones que utilizan Ivanti CSA:
Actualice inmediatamente a la última versión parcheada. Verifique su sistema en busca de signos de compromiso, como cuentas de usuarios no autorizados o archivos sospechosos. Supervise la actividad anómala de la red y posibles intentos de violación de datos. Implemente controles de acceso sólidos y segmentación de red. Implemente herramientas de detección y respuesta de endpoints (EDR) para mejorar el monitoreo.
Esta campaña muestra que las amenazas cibernéticas se están volviendo cada vez más sofisticadas, por lo que las organizaciones deben permanecer alerta y priorizar las mejores prácticas de seguridad y parches oportunos para proteger los activos y datos críticos.
Cómo elegir la solución SIEM gestionada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
Nation-State Actors Exploiting Ivanti CSA 0-days To Compromise Victims’ Networks
