Detección de CVE-2023-46805 y CVE-2024-21887: Actores de Amenazas Chinos Explotan Vulnerabilidades de Día Cero en Instancias Invanti Connect Secure y Policy Secure
Tabla de contenidos:
Las vulnerabilidades críticas de día cero que afectan sistemas expuestos al exterior representan amenazas severas para múltiples organizaciones que dependen de ellos, exponiéndolos a riesgos de RCE y compromisos del sistema, tal como la explotación activa de la vulnerabilidad de FortiOS SSL-VPN causó estragos en enero de 2023. Recientemente, se ha observado que grupos de hackers patrocinados por el estado chino explotan dos vulnerabilidades de día cero rastreadas como CVE-2023-46805 y CVE-2024-21887 en los dispositivos Ivanti Connect Secure (ICS) y Policy Secure. Las fallas detectadas pueden ser utilizadas por atacantes para crear una cadena de explotación, permitiendo la toma de control de instancias afectadas a través de Internet. Se espera que los parches de vulnerabilidad se desplieguen gradualmente, comenzando la semana del 22 de enero de 2024.
Detectar una Cadena de Explotación Potencial de CVE-2023-46805 y CVE-2024-21887
La explotación de vulnerabilidades sigue siendo uno de los principales vectores de intrusión para actores patrocinados por el estado, y en la última década, el número de aplicaciones vulnerables ha aumentado drásticamente. A partir de la primera semana de enero de 2024, los profesionales de seguridad revelaron más de 600 nuevas vulnerabilidades de seguridad, contribuyendo a un total anual de más de 29,000 reportadas en 2023.
Para adelantarse a las amenazas emergentes y descubrir ataques cibernéticos en sus primeras etapas de desarrollo, los defensores cibernéticos requieren herramientas innovadoras de caza de amenazas junto con una fuente confiable de contenido de detección. La plataforma SOC Prime para la defensa cibernética colectiva agrega más de 11 mil reglas Sigma basadas en comportamiento para asegurar que ninguna amenaza pase desapercibida bajo su vigilancia. Presione el botón Explorar Detecciones a continuación y profundice en la lista de reglas dirigidas a la detección de explotación de CVE-2023-46805 y CVE-2024-21887.
Todas las reglas son compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake y están mapeadas al marco MITRE ATT&CK. Además, las detecciones se enriquecen con metadatos detallados, incluidos enlaces CTI, referencias en medios, recomendaciones de triaje, etc.
Análisis de CVE-2023-46805 y CVE-2024-21887
Investigadores de Ivanti identificaron recientemente y plantearon preocupaciones sobre dos vulnerabilidades de día cero rastreadas como CVE-2023-46805 y CVE-2024-21887, que actualmente están siendo explotadas activamente por actores respaldados por el estado vinculados a China. Los errores de seguridad afectan a las puertas de enlace Ivanti Connect Secure (ICS) y Ivanti Policy Secure. Todas las versiones de software, incluidas las versiones 9.x y 22.x, son afectadas.
CVE-2023-46805, con una calificación de CVSS de 8.2, es una falla de elusión de autenticación que da a los adversarios luz verde para acceder remotamente a materiales restringidos evadiendo controles de verificación. CVE-2024-21887, con una calificación de 9.1 en la escala CVSS, es una vulnerabilidad crítica de inyección de comandos que permite a administradores autenticados enviar peticiones específicas y ejecutar comandos arbitrarios en los dispositivos afectados. Ambas vulnerabilidades pueden ser encadenadas, permitiendo a los atacantes tomar control de los dispositivos comprometidos.
En diciembre de 2023, investigadores de Volexity fueron los primeros en detectar la actividad sospechosa que involucraba la explotación activa de CVE-2023-46805 y CVE-2024-21887, conduciendo a RCE no autenticada en los dispositivos Ivanti Connect Secure VPN. Los investigadores vinculan la actividad adversaria descubierta a un grupo de hackers rastreado como UTA0178. La explotación exitosa permite a los atacantes alcanzar configuraciones de datos, alterar archivos existentes, recuperar archivos remotamente y establecer un túnel inverso desde el dispositivo ICS VPN que lleva a más compromisos del sistema.
Los ataques en curso también involucran reconocimiento, movimiento lateral y el uso de una web shell personalizada llamada GLASSTOKEN. Esta última se despliega a través de un archivo CGI comprometido, asegurando acceso remoto persistente a servidores web expuestos al público. Notablemente, se sospecha que los adversarios respaldados por una nación desplegaron al menos cinco familias de malware diferentes en sus actividades post-explotación.
Debido a los crecientes riesgos de explotación activa de las vulnerabilidades de día cero de Ivanti VPN en la naturaleza, CISA añadió las fallas a su Catálogo de Vulnerabilidades Explotadas Conocidas y recientemente emitió una alerta dedicada para aumentar la concienciación sobre ciberseguridad.
En respuesta a los riesgos en aumento, Ivanti publicó un aviso de seguridad cubriendo los detalles de la vulnerabilidad y mitigaciones potenciales mientras los parches están en camino. Mientras tanto, se recomienda a los usuarios de Ivanti implementar una solución alternativa como medida preventiva contra amenazas potenciales. También se recomienda encarecidamente a las organizaciones que utilizan dispositivos ICS VPN examinar minuciosamente sus logs, telemetría de red y los resultados de la herramienta de Verificación de Integridad interna para identificar oportunamente cualquier indicación de un compromiso exitoso.
A medida que los sistemas expuestos a Internet, particularmente dispositivos cruciales como VPN y firewalls, emergen como objetivos altamente preferidos por los hackers, los defensores deben estar constantemente alertas para anticiparse a tales ataques. Con los ataques en curso en la naturaleza, en los que los hackers respaldados por China utilizan vulnerabilidades de día cero de Ivanti VPN, aumentar la resiliencia cibernética es de suma importancia. Los defensores pueden confiar en Uncoder AI para acelerar las operaciones de Ingeniería de Detección a gran escala y agilizar la codificación de reglas, coincidencia de IOC y la traducción fluida del contenido de detección a 65 formatos de lenguaje mientras automatizan tareas rutinarias, ahorrando tiempo para la monitorización de seguridad y mejorando la resiliencia de la red.
