La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido una directiva de emergencia que insta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a implementar medidas de mitigación urgentes debido a dos vulnerabilidades de día cero que están siendo activamente explotadas en los productos de Ivanti Connect Secure (ICS) e Ivanti Policy Secure (IPS).
Estas vulnerabilidades son:
- Omisión de autenticación (CVE-2023-46805)
- Error de inyección de código (CVE-2024-21887)
Los expertos de la Sociedad Americana han informado un aumento significativo en la actividad de los actores de amenazas a partir del 11 de enero de 2024, justo después de que las vulnerabilidades fueran expuestas públicamente. Esto permite que un atacante malicioso realice consultas peligrosas y ejecute comandos arbitrarios en el sistema. La CISA advierte que estas fallas pueden llevar a la implantación de payloads maliciosos, lo que puede comprometer gravemente la seguridad de las infraestructuras gubernamentales.
Como respuesta inmediata, CISA ha recomendado a las organizaciones que corran
verificaciones de integridad externas y, si se detecta cualquier signo de compromiso,
los afectados deben ser desconectados de la red y reiniciados a los valores de fábrica. Se proporcionó un archivo XML que
permite cambios de configuración necesarios para mitigar los ataques hasta que se liberen parches permanentes.
Protocolo de Mitigación:
- Revisa y aplica los cambios necesarios utilizando el archivo XML proporcionado.
- Desconecta cualquier dispositivo que muestre signos de compromiso.
- Revoke y vuelvo a emitir todos los certificados almacenados y restablecer contraseñas de administradores.
CISA declaró: «La explotación exitosa de estas fallas permite el movimiento lateral dentro de los sistemas, filtración de datos, y acceso persistente a información delicada. Esto resulta en un compromiso total de los sistemas de información afectados». Además, Ivanti ha señalado que está trabajando para liberar actualizaciones que reparen las vulnerabilidades y ha proporcionado soluciones temporales para sus usuarios.
Es crucial que las entidades de la FCEB sigan las directivas de CISA de manera estricta. La falta de atención a las recomendaciones podría resultar en enormes daños económicos y a la reputación de las instituciones gubernamentales.
Examinando datos de los recientes ataques, se ha confirmado un compromiso de hasta 2,100 dispositivos en todo el mundo hasta la fecha. Las empresas de ciberseguridad, como Volexity y Mandiant, advierten que los atacantes han aprovechado estas vulnerabilidades para implementar shells web y puertas traseras que permiten el acceso continuo a dispositivos vulnerables. Entre los ataques más recientes, se han observado explotaciones que permiten a los atacantes utilizar XMRig para las criptomonedas, lo que demuestra la naturaleza de lucro del cibercrimen.
¡Actúa ahora! La seguridad cibernética es de suma importancia y la prevención de compromisos puede ahorrarte una cantidad significativa de problemas a futuro. La seguridad de la infraestructura gubernamental depende de la implementación rápida de las medidas de mitigación recomendadas.
