Las agencias civiles federales tienen hasta este sábado a la medianoche para cortar todas las conexiones de red al software Ivanti VPN, que está siendo ampliamente explotado por grupos maliciosos. Esta orden fue emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) tras el descubrimiento de cuatro vulnerabilidades críticas en el software.
Las vulnerabilidades del software Ivanti han generado preocupaciones serias en diversas agencias, ya que permiten a los atacantes eludir las defensas de seguridad y asumir el control de los sistemas afectados. La situación se volvió crítica cuando se reveló que algunos actores maliciosos ya estaban aprovechando estas fallas para comprometer redes gubernamentales y corporativas.
Contexto de la crisis de seguridad
La Agencia de Seguridad de Infraestructura y Ciberseguridad lanzó esta advertencia tras identificar múltiples intentos de explotación en curso. Ivanti, en respuesta a la presión, había originalmente prometido lanzar un parche, sin embargo, la compañía tardó en hacerlo y no cumplió con el plazo previamente establecido del 24 de enero.
La preocupación se intensificó después de que Volexity, una firma de seguridad, informara que las vulnerabilidades estaban siendo utilizadas activamente en ataques dirigidos. La empresa recomendó que los usuarios implementaran una serie de medidas de seguridad, incluyendo un verificador de integridad.
Pasos que deben seguir las agencias
En su comunicación, CISA delineó pasos específicos que las agencias deben seguir antes de reconectar sus productos Ivanti:
- Identificar todos los sistemas que se conectaron recientemente al dispositivo Ivanti afectado.
- Buscar cualquier exposición en los servicios de autenticación o gestión de identidad.
- Aislar los sistemas de otros recursos esenciales dentro de la organización.
- Realizar auditorías frecuentes de accesos y privilegios.
De acuerdo con la directiva de CISA, antes de que las agencias puedan volver a poner en línea sus soluciones Ivanti, deben realizar una serie de pasos, que incluyen el restablecimiento completo de sus sistemas y la aplicación de los últimos parches proporcionados por Ivanti.
El impacto del ataque cibernético
Steven Adair, presidente de Volexity, compartió que la situación es preocupante y que en su análisis preliminar se ha estimado que al menos 2,200 clientes de Ivanti podrían haber sido comprometidos ya. Esto pone de relieve la importancia de la acción rápida y decisiva por parte de las agencias gubernamentales para mitigar los riesgos.
Las vulnerabilidades, incluyendo la reciente CVE-2024-21893, representan un desafío significativo, ya que afectan a las defensas recomendadas previamente por Ivanti. La proactividad es clave para prevenir que estos sistemas sean utilizados como vectores de ataque.
La CISA ha dejado en claro que si bien la orden es obligatoria para las agencias bajo su autoridad, es recomendable que cualquier usuario de productos Ivanti aplique estas medidas de inmediato para protegerse contra posibles ataques.
Conclusión
El plazo para desconectar los sistemas Ivanti es inminente, y las agencias están en la cúspide de una crisis de seguridad que requiere atención urgente. La colaboración y la respuesta inmediata a las advertencias de CISA serán esenciales para salvaguardar la integridad de las redes y los datos gubernamentales.
