Un par de fallas de día cero identificadas en Ivanti Connect Secure (ICS) y Policy Secure han sido encadenadas por actores estatales sospechosos vinculados a China para violar a menos de 10 clientes.
La empresa de ciberseguridad Volexity, que identificó la actividad en la red de uno de sus clientes en la segunda semana de diciembre de 2023, la atribuyó a un grupo de hackers al que rastrea con el nombre UTA0178. Hay evidencia que sugiere que el dispositivo VPN pudo haber sido comprometido ya el 3 de diciembre de 2023.
Las dos vulnerabilidades que se han explotado en la naturaleza para lograr la ejecución de comandos no autenticados en el dispositivo ICS son las siguientes:
CVE-2023-46805 (puntuación CVSS: 8,2): una vulnerabilidad de omisión de autenticación en el componente web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite a un atacante remoto acceder a recursos restringidos eludiendo las comprobaciones de control.
CVE-2024-21887 (puntuación CVSS: 9.1): una vulnerabilidad de inyección de comandos en componentes web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el aparato.
Las vulnerabilidades pueden formarse en una cadena de exploits para hacerse cargo de instancias vulnerables a través de Internet.
La compañía dijo que ha observado intentos por parte de los actores de amenazas de manipular el verificador de integridad interno (TIC) de Ivanti, que ofrece una instantánea del estado actual del dispositivo.
Se espera que los parches se publiquen de forma escalonada a partir de la semana del 22 de enero de 2024. Mientras tanto, se recomendó a los usuarios que apliquen una solución alternativa para protegerse contra posibles amenazas.
En el incidente analizado por Volexity, se dice que las fallas gemelas se emplearon para “robar datos de configuración, modificar archivos existentes, descargar archivos remotos y realizar un túnel inverso desde el dispositivo VPN ICS”.
El atacante modificó además un archivo CGI legítimo (compcheck.cgi) en el dispositivo ICS VPN para permitir la ejecución de comandos. Además, se modificó un archivo JavaScript cargado por la página de inicio de sesión de Web SSL VPN para registrar las pulsaciones de teclas y filtrar las credenciales asociadas con los usuarios que inician sesión en el dispositivo.
Los ataques también se caracterizan por esfuerzos de reconocimiento, movimiento lateral y el despliegue de un shell web personalizado denominado GLASSTOKEN a través del archivo CGI con puerta trasera para mantener un acceso remoto persistente a los servidores web externos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), en su propia alerta, dijo que agregó las dos deficiencias a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), instando a las agencias federales a aplicar las correcciones antes del 31 de enero de 2024.