BREVE NOTICIA
Los ciberatacantes están utilizando un nuevo vector de amenazas que involucra múltiples vulnerabilidades de Ivanti para eludir el Cloud Service Appliance (CSA) de la compañía.
Según Cybersecurity and Infrastructure Security (CISA) y el FBI, estos incluyen CVE-2024-8963una vulnerabilidad de omisión del administrador; CVE-2024-9379una vulnerabilidad de inyección SQL; Y CVE-2024-8190 y CVE-2024-9380, dos vulnerabilidades de ejecución remota de código (RCE).
Utilizando datos de respuesta a incidentes de terceros, CISA descubrió que los actores de amenazas estaban usando los errores vinculándolos a obtener el primer accesopermitiéndoles ejecutar código remoto (RCE), obtener credenciales e instalar web shells en las redes de las víctimas.
“Las cuatro vulnerabilidades afectan a las versiones de Ivanti CSA 4.6x anteriores a la 519, y dos de las vulnerabilidades (CVE-2024-9379 y CVE-2024-9380) afectan a las versiones de CSA 5.0.1 e inferiores; Según Ivanti, estos CVE no fueron explotados en la versión 5.0″, CISA dijo en el aviso.
Para mitigar estas amenazas, ambas organizaciones alientan a los administradores de red a actualizar a la última versión compatible de Ivanti CSA y utilizar los métodos de detección e indicadores de compromiso (IoC) proporcionados en los avisos de CISA para buscar actividad maliciosa en sus redes.
Si las organizaciones detectan un riesgo, se recomienda poner en cuarentena o desconectar los hosts potencialmente afectados y volver a crearles imágenes. Los administradores también deben proporcionar nuevas credenciales de cuenta, recopilar y revisar artefactos e informar el compromiso a CISA. Además de esto, se recomienda ejercitar, probar y validar un programa de seguridad contra actores maliciosos enumerados en el marco MITRE ATT&CK for Enterprise.