Nivel de peligrosidad: CRÍTICO
El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de un aviso de seguridad en productos Ivanti, en el que se abordan dos vulnerabilidades de tipo zero-day que afectan a Ivanti Connect Secure (ICS), anteriormente conocido como Pulse Connect Secure, e Ivanti Policy Secure (una solución de control de acceso a la red). Estas dos vulnerabilidades pueden permitir acceder a recursos restringidos y ejecutar código remoto.
Estas vulnerabilidades, catalogadas bajo los identificadores CVE-2023-46805 y CVE-2024-21887 respectivamente, permitirían al atacante su explotación sin estar autenticado.
El primero de estos fallos, catalogado bajo el CVE-2023-46805, permite eludir la autenticación (incluida la autenticación multifactor), dando la oportunidad de aprovechar la vulnerabilidad CVE-2024-21887 para ejecutar código remoto sin la necesidad de estar identificado.
La base de datos del NIST no ha registrado las vulnerabilidades descritas, por lo tanto, aún no se les ha asignado una puntuación de acuerdo a la escala CVSSv3. Ivanti, sin embargo, ha asignado a los fallos una severidad crítica. Desde la propia compañía se ha indicado que se tiene conocimiento de que al menos 10 clientes se han visto afectados por estas vulnerabilidades, aunque nos e han dado más detalles al respecto.
Recursos afectados
Las vulnerabilidades reportadas afectan a los siguientes productos:
- Ivanti Connect Secure (ICS) versiones 9.x y 22.x
- Ivanti Policy Secure (IPS) versiones 9.x y 22.x
Solución a las vulnerabilidades
Los parches para las versiones compatibles se lanzarán en un cronograma escalonado y la primera versión estará disponible para los clientes la semana del 22 de enero de 2024. La última versión estará disponible la semana del 19 de febrero de 2024.
Mientras tanto, se debe aplicar la versión de mitigación importando el archivo mitigation.release.20240107.1.xml a través del portal de descargas de Ivanti.
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Para determinar si un dispositivo vulnerable ha sido comprometido, se recomienda seguir las directrices recogidas en el siguiente artículo: https://www.volexity.com/blog/
Referencias
- Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN
- Ivanti: CVE-2023-46805 - CVE-2024-21887
- Ivanti warns of Connect Secure zero-days exploited in attacks
Atentamente,
Equipo CCN-CERT