El CCN-CERT alerta de vulnerabilidades en productos Ivanti
El CCN-CERT, del Centro Criptológico Nacional, indica que las vulnerabilidades, de tipo 'zero day' y detectadas en la VPN Connect Secure de Ivanti, pueden permitir acceder a recursos restringidos y ejecutar código remoto.
El CCN-CERT, del Centro Criptológico Nacional, se ha hecho eco de la publicación de un aviso de seguridad en productos Ivanti, en el que se abordan dos vulnerabilidades de tipo 'zero-day' que afectan a Ivanti Connect Secure (ICS), anteriormente conocido como Pulse Connect Secure, e Ivanti Policy Secure (una solución de control de acceso a la red). Estas dos vulnerabilidades pueden permitir acceder a recursos restringidos y ejecutar código remoto.
Ambas, catalogadas bajo los identificadores CVE-2023-46805 y CVE-2024-21887 respectivamente, permitirían al atacante su explotación sin estar autenticado, explican desde la entidad.
El primero de estos fallos, catalogado bajo el CVE-2023-46805, permite eludir la autenticación (incluida la autenticación multifactor), dando la oportunidad de aprovechar la vulnerabilidad CVE-2024-21887 para ejecutar código remoto sin la necesidad de estar identificado.
El CCN-CERT desvela que la base de datos del NIST no ha registrado las vulnerabilidades descritas, “por lo tanto, aún no se les ha asignado una puntuación de acuerdo a la escala CVSSv3”. No obstante, especifica que Ivanti ha asignado a los fallos una severidad crítica. “Desde la propia compañía se ha indicado que se tiene conocimiento de que al menos 10 clientes se han visto afectados por estas vulnerabilidades, aunque nos e han dado más detalles al respecto”, apunta el comunicado.
Las vulnerabilidades reportadas afectan en concreto a las versiones 9.x y 22.x de Ivanti Connect Secure (ICS) y a las versiones 9.x y 22.x de Ivanti Policy Secure (IPS).
Los parches para las versiones compatibles se lanzarán en un cronograma escalonado. La primera versión ya está disponible para los clientes (desde la semana del 22 de enero). La última versión estará disponible la semana del 19 de febrero de 2024. Mientras tanto, recuerdan desde el organismo, se debe aplicar la versión de mitigación importando el archivo mitigation.release.20240107.1.xml a través del portal de descargas de Ivanti.
“El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos”, culmina el aviso.
En Estados Unidos, a pesar de que ya estaban disponibles los parches para estas dos vulnerabilidades (y de otras dos que ha hecho públicas después la compañía Ivanti), la Agencia de Ciberseguridad y Seguridad de Infraestructuras del país (CISA) emitía hace unos días una directiva a todas las agencias federales para que desconectaran de sus redes los productos Ivanti afectados antes del pasado viernes 2 de febrero, y realizaran análisis forenses adicionales y pasos de limpieza en caso de que ya hayan sido comprometidos.
