Ivanti alerta sobre dos nuevos fallos de alta gravedad en sus productos Connect Secure y Policy Secure, uno de los cuales se dice que ha sido objeto de explotación selectiva en la naturaleza.
La lista de vulnerabilidades es la siguiente:
- CVE-2024-21888 (puntuación CVSS: 8,8): una vulnerabilidad de escalada de privilegios en el componente web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) permite a un usuario elevar privilegios a los de administrador
- CVE-2024-21893 (puntuación CVSS: 8,2): una vulnerabilidad de falsificación de solicitudes del lado del servidor en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) y Ivanti Neurons para ZTA permite a un atacante acceder a ciertos recursos restringidos sin autenticación
La compañía de software con sede en Utah dijo que no encontró evidencia de que los clientes se hayan visto afectados por CVE-2024-21888 hasta el momento, pero reconoció que «la explotación de CVE-2024-21893 parece ser el objetivo».
Además, señaló que «espera que el actor de la amenaza cambie su comportamiento y esperamos un fuerte aumento en la explotación una vez que esta información sea pública».
Además de la divulgación pública de las dos nuevas vulnerabilidades, Ivanti ha publicado correcciones para las versiones 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 y 22.5R1.1 de Connect Secure, y la versión 22.6R1 de ZTA. .3.
«Por precaución, recomendamos como mejor práctica que los clientes restablezcan su dispositivo de fábrica antes de aplicar el parche para evitar que el actor de amenazas obtenga persistencia de actualización en su entorno», dijo. «Los clientes deben esperar que este proceso demore entre 3 y 4 horas».
Como solución temporal para abordar CVE-2024-21888 y CVE-2024-21893, se recomienda a los usuarios importar el archivo «mitigation.release.20240126.5.xml».
El último desarrollo se produce cuando otras dos fallas en el mismo producto (CVE-2023-46805 y CVE-2024-21887) han sido ampliamente explotadas por múltiples actores de amenazas para implementar puertas traseras, mineros de criptomonedas y un cargador basado en Rust llamado KrustyLoader.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en un nuevo aviso publicado hoy, dijo que los adversarios están aprovechando las dos deficiencias para capturar credenciales y lanzar shells web que permiten un mayor compromiso de las redes empresariales.
«Algunos actores de amenazas han desarrollado recientemente soluciones a los métodos de mitigación y detección actuales y han podido explotar las debilidades, moverse lateralmente y escalar privilegios sin ser detectados», dijo la agencia .
«Los actores de amenazas sofisticados han subvertido la herramienta de verificación de integridad externa (TIC), minimizando aún más los rastros de su intrusión».
Fuente y redacción: thehackernews.com