Mandiant: Las últimas vulnerabilidades de Ivanti explotadas por espías cibernéticos chinos

El proveedor de seguridad Ivanti se ha encontrado una vez más en el centro de una serie cada vez mayor de infracciones después de que se supo que dos vulnerabilidades recientemente reveladas en varios de sus productos probablemente estén siendo explotadas por actores de amenazas respaldados por China.

Las vulnerabilidades en cuestión, denominadas CVE-2025-0282 y CVE-2025-0283, afectan a los productos de puerta de enlace Connect Secure, Policy Secure y Neurons for ZTA de Ivanti.

La explotación del primero permite a un actor de amenazas lograr una ejecución remota de código (RCE) no autenticada, y la explotación del segundo permite a un atacante autenticado localmente escalar sus privilegios.

CVE-2025-0282 es oficialmente un día cero y ya se ha agregado al catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). En el Reino Unido, un portavoz del Centro Nacional de Seguridad Cibernética (NCSC) dijo: “El NCSC está trabajando para comprender completamente el impacto del Reino Unido e investigando casos de explotación activa que afectan a las redes del Reino Unido”.

En el mundo real, dijo Ivanti, un número limitado de usuarios de sus dispositivos Connect Secure se vieron afectados por CVE-2025-0282 a partir del jueves 9 de enero de 2025. Sin embargo, ningún usuario de las puertas de enlace Policy Secure o ZTA se vio afectado, y como del 9 de enero, no había pruebas concluyentes de que CVE-2025-0283 hubiera sido explotado en absoluto.

Ahora hay un parche disponible para ambos CVE en Connect Secure, pero por ahora, ambos permanecen sin parches en Policy Secure y Neurons for ZTA, y no se espera una solución hasta el 21 de enero.

Más contenido para leer:  La unidad de seguridad cibernética de la OTAN prueba una VPN poscuántica

Un portavoz de Ivanti dijo: “Continuamos trabajando estrechamente con los clientes afectados, socios de seguridad externos y agencias de aplicación de la ley mientras respondemos a esta amenaza. Recomendamos encarecidamente a todos los clientes que supervisen de cerca sus TIC internas y externas como parte de un enfoque sólido y en capas de ciberseguridad para garantizar la integridad y seguridad de toda la infraestructura de la red.

“Hemos puesto a disposición recursos adicionales y equipos de soporte para ayudar a los clientes a implementar el parche y abordar cualquier inquietud.

“Gracias a nuestros clientes y socios de seguridad por su compromiso y apoyo, que permitieron nuestra rápida detección y respuesta a este problema”, agregaron. “Seguimos comprometidos a mejorar continuamente nuestros productos y procesos a través de la colaboración y la transparencia.

“Este incidente sirve como recordatorio de la importancia del monitoreo continuo y de las medidas de seguridad proactivas y en capas, particularmente para los dispositivos de borde (como las VPN) que brindan un servicio esencial como punto de acceso inicial a una red corporativa, pero que también son muy atractivos. a los atacantes”.

Última conexión con China

Según Mandiant de Google Cloud, que ha estado trabajando junto con Ivanti en la investigación y remediación, en al menos un caso, un actor de amenazas logró usar las fallas para implementar elementos del ecosistema de malware SPAWN, incluido SPAWNMOLE, un tunelizador, y SPAWNSNAIL. una puerta trasera SSH.

Los investigadores de Mandiant dijeron que el uso de estos malwares después de atacar productos Ivanti se ha atribuido al grupo de actividad de amenazas UNC5337, que está vinculado a UNC5221, un presunto grupo de espionaje del nexo con China que se sabe que explotó otras vulnerabilidades de Ivanti a principios de 2024.

Más contenido para leer:  Vodafone recurre a Ericsson para reducir a la mitad el consumo de energía 5G y refuerza la red 4G

En un artículo en LinkedIn, el director de tecnología de Mandiant, Charles Carmakal, describió la última campaña de UNC5221 como en desarrollo y aún bajo análisis, e insinuó que puede haber otros actores de amenazas en la mezcla. Al describir un escenario de “potencial explotación masiva”, instó a los usuarios de Ivanti a priorizar la aplicación de los nuevos parches de inmediato.

Sin embargo, advirtió, este proceso puede no estar exento de riesgos. “El actor de amenazas implementó una técnica novedosa para engañar a los administradores haciéndoles creer que habían actualizado con éxito un sistema”, escribió.

“El actor de amenazas implementó malware que bloquea actualizaciones legítimas del sistema y al mismo tiempo muestra una barra de progreso de actualización falsa. Esto crea una fachada convincente de una actualización exitosa, cuando en realidad, el malware impide silenciosamente que se lleve a cabo la actualización real. Algunas organizaciones pueden asumir que han abordado la vulnerabilidad cuando en realidad no lo han hecho”.

Añadió que los atacantes también pueden haber manipulado la herramienta Integrity Checker integrada de Ivanti, diseñada para ayudar a los usuarios a identificar compromisos, para ocultar evidencia de la presencia de su malware.

‘Tómate esto en serio’

Benjamin Harris, director ejecutivo de WatchTowr, un especialista en gestión de superficies de ataque, instó a los usuarios de Ivanti a prestar mucha atención a los últimos desarrollos.

“Nuestra preocupación es importante ya que esto tiene todas las características del uso de APT de día cero contra un dispositivo de misión crítica”, dijo. “También se parece al comportamiento y al drama que circulan en los productos de Ivanti que nosotros, como industria, vimos en enero de 2024, y sólo podemos esperar que Ivanti haya aprendido de esa experiencia con respecto a dar una respuesta eficaz”.

Más contenido para leer:  NetSuite alcanza una nota alta con School of Rock

Harris añadió que la falta de parches en toda la gama de productos afectados debería ser una preocupación adicional.

“Los usuarios de Ivanti Connect Secure tienen un parche disponible, pero una vez más, los parches para otros dispositivos afectados como Policy Secure de Ivanti y Neurons para puertas de enlace ZTA se quedan esperando tres semanas para recibir un parche. Los usuarios de estos productos no deberían dudar: estos dispositivos deberían desconectarse hasta que haya parches disponibles”, afirmó.

“Cliente de WatchTowr o no, instamos a todos a que se tomen esto en serio. Tire sus SLA de vulnerabilidad al viento proverbial en situaciones como esta, ya no son relevantes y la diferencia entre una respuesta rápida y una respuesta en horas podría ser la diferencia entre que su organización llame a su aseguradora cibernética o no”.

Nuestro objetivo fué el mismo desde 2004, unir personas y ayudarlas en sus acciones online, siempre gratis, eficiente y sobre todo fácil!

¿Donde estamos?

Mendoza, Argentina

Nuestras Redes Sociales