ClickCease Nuevo malware en exploits dirigidos a vulnerabilidades de Ivanti

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Nuevo malware en exploits dirigidos a vulnerabilidades de Ivanti

Rohan Timalsina

14 de febrero de 2024 - Equipo de expertos TuxCare

Mandiant, propiedad de Google, ha descubierto un nuevo malware que aprovecha las vulnerabilidades de los dispositivos Ivanti Connect Secure VPN y Policy Secure. Estos programas maliciosos han sido utilizados por varios grupos de amenazas, incluido el grupo de espionaje chino UNC5221, para ejecutar actividades posteriores a la explotación. Las nuevas variantes de malware utilizadas por estos actores de amenazas incluyen las web shells personalizadas denominadas BUSHWALK, CHAINLINE, FRAMESTING y una variante de LIGHTWIRE.

CHAINLINE, por ejemplo, es un intérprete de comandos web basado en Python integrado en los paquetes Ivanti Connect Secure Python, que facilita la ejecución arbitraria de comandos.

BUSHWALK, escrito en Perl, evade las mitigaciones de Ivanti y otorga a los atacantes la capacidad de leer o escribir archivos en los servidores.

FRAMESTING funciona como un shell web de Python integrado en un paquete Ivanti Connect Secure Python, facilitando la ejecución de comandos arbitrarios. Reside dentro de la ruta especificada "/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py".

LIGHTWIRE, escrito en Perl CGI, mantiene un acceso remoto persistente a los dispositivos comprometidos.

El análisis de Mandiant ha revelado la explotación de las vulnerabilidades Ivanti CVE-2023-46805 y CVE-2024-21887, que permiten a los actores de amenazas ejecutar comandos arbitrarios con privilegios elevados. Estos fallos se han explotado activamente como días cero desde diciembre de 2023, lo que ha dado lugar a sistemas comprometidos de los que ha informado la Oficina Federal de Seguridad de la Información (BSI) de Alemania.

Para agravar aún más la situación, Mandiant ha identificado el uso de utilidades de código abierto como Impacket, CrackMapExec, iodine y Enum4linux para apoyar las actividades posteriores a la explotación, incluido el reconocimiento de la red y la filtración de datos.

Ivanti ha revelado otros fallos de seguridad, como CVE-2024-21888 y CVE-2024-21893, y ha publicado parches para solucionarlos. Sin embargo, UNC5221 sigue representando una amenaza significativa, dirigida a varias industrias de interés estratégico para China.

 

Conclusión

 

Para mitigar el riesgo que plantean estas vulnerabilidades de Ivanti, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) ha publicado una guía en la que insta a los organismos afectados a desconectar inmediatamente los dispositivos Ivanti de sus redes y aplicar los parches con prontitud. Además, se aconseja a los organismos que restablezcan las contraseñas y revoquen los tokens de acceso para evitar nuevos riesgos.

En resumen, el descubrimiento de estas vulnerabilidades subraya la importancia de las medidas proactivas de ciberseguridad y pone de relieve los retos que plantean los sofisticados actores de amenazas. La vigilancia, la aplicación oportuna de parches y el cumplimiento de las mejores prácticas de ciberseguridad son cruciales para protegerse frente a las ciberamenazas en evolución.

 

Las fuentes de este artículo incluyen una historia de TheHackerNews.

Resumen
Nuevo malware en exploits dirigidos a vulnerabilidades de Ivanti
Nombre del artículo
Nuevo malware en exploits dirigidos a vulnerabilidades de Ivanti
Descripción
Conozca las vulnerabilidades Ivanti explotadas por los actores de amenazas y el nuevo malware y las tácticas empleadas durante las actividades posteriores a la explotación.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín