Ivanti alerta sobre dos nuevos fallos de alta gravedad en sus productos Connect Secure y Policy Secure, uno de los cuales se dice que ha sido objeto de explotación selectiva en la naturaleza.
La lista de vulnerabilidades es la siguiente:CVE-2024-21888 (puntuación CVSS: 8,8): una vulnerabilidad de escalada de privilegios en el componente web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x) permite a un usuario elevar privilegios a los de administrador
CVE-2024-21893 (puntuación CVSS: 8,2): una vulnerabilidad de falsificación de solicitudes del lado del servidor en el componente SAML de Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) y Ivanti Neurons para ZTA permite a un atacante acceder a ciertos recursos restringidos sin autenticación
La compañía de software con sede en Utah dijo que no encontró evidencia de que los clientes se hayan visto afectados por CVE-2024-21888 hasta el momento, pero reconoció que “la explotación de CVE-2024-21893 parece ser el objetivo”.
También, señaló que “espera que el actor de la amenaza cambie su comportamiento y esperamos un fuerte aumento en la explotación una vez que esta información sea pública”.
Además de la divulgación pública de las dos nuevas vulnerabilidades, Ivanti ha publicado correcciones para las versiones 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 y 22.5R1.1 de Connect Secure, y la versión 22.6R1 de ZTA. .3.
Como solución temporal para solucionar CVE-2024-21888 y CVE-2024-21893, se recomienda a los usuarios importar el archivo “mitigation.release.20240126.5.xml”.
El último desarrollo se produce cuando otras dos fallas en el mismo producto (CVE-2023-46805 y CVE-2024-21887) han sido ampliamente explotadas por múltiples actores de amenazas para implementar puertas traseras, mineros de criptomonedas y un cargador basado en Rust llamado KrustyLoader.
Info – Ciberseguridad Latam