Más de 1.700 dispositivos Ivanti Connect Secure VPN en todo el mundo se han visto comprometidos por atacantes que aprovecharon dos días cero sin parches disponibles actualmente.

“Parece que otros actores de amenazas además de UTA0178 ahora tienen acceso al exploit y están intentando activamente explotar los dispositivos”, afirman los investigadores de Volexity.

Tanto Volexity como Ivanti revelaron el 10 de enero que atacantes desconocidos han estado aprovechando exploits para CVE-2023-46805 (omisión de autenticación) y CVE-2024-21887 (vulnerabilidad de inyección de comandos) para violar organizaciones y, en última instancia, colocar webshells en sus sistemas internos y externos. servidores web. Los ataques continúan desde principios de diciembre.

Se recomendó a las organizaciones que utilizan dispositivos Ivanti Connect Secure VPN que implementaran mitigaciones temporales lo antes posible, verificaran si hay evidencia de compromiso y expulsaran a los atacantes de sus sistemas en caso de que hubieran sido violados.

Poco después, los respondedores de incidentes de Mandiant compartieron indicadores de compromiso para el malware personalizado utilizado por los actores de amenazas, que son rastreados por Volexity bajo el alias UTA0178 y se cree que son piratas informáticos patrocinados por China que participan en ciberespionaje.

Volexity dice que poco después de hacer pública la información, comenzaron a detectar evidencia de escaneo generalizado por parte de alguien aparentemente familiarizado con las vulnerabilidades, además de recibir informes de múltiples organizaciones que notaron que sus dispositivos habían sido comprometidos el 11 de enero de 2024.

Esos dispositivos tenían una puerta trasera con una variante del webshell GIFTEDVISITOR utilizado en incidentes detectados previamente.

Luego, la compañía desarrolló un nuevo método de escaneo en busca de evidencia de este webshell en dispositivos Ivanti Connect Secure VPN y escaneó aproximadamente 30,000 direcciones IP de ICS.

Creen que estas víctimas han sido atacadas por UTA0178, pero también han encontrado evidencia de intento de explotación por parte de otros actores de amenazas, “con una seguridad operativa notablemente peor que UTA0178”. Entonces, al parecer, los exploits se han compartido u otros grupos de hackers han logrado crear los suyos propios (tal como lo han hecho los investigadores de seguridad).

Se insta a las organizaciones que utilizan dispositivos Ivanti Connect Secure VPN y la solución Policy Secure NAC de Ivanti a implementar la versión de mitigación ofrecida hasta que los parches estén disponibles.

Info – Ciberseguridad Latam