ivanti-vuelve-a-ser-golpeada-por-ataques-zero-day

La Fundación Shadowserver ha informado sobre la explotación activa de una vulnerabilidad zero-day, CVE-2024-21893, en productos de Ivanti, marcando una preocupación significativa en ciberseguridad. Esta vulnerabilidad, divulgada por Ivanti el 31 de enero de 2024, ha experimentado un aumento en los ataques desde el 2 de febrero de 2024, especialmente después de que Rapid7 publicara una prueba de concepto del exploit. Más de 170 direcciones IP distintas han estado involucradas en estos ataques, dirigidos al componente SAML de Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons para ZTA, permitiendo el acceso no autorizado a recursos restringidos.

Este incidente es parte de un patrón más amplio de vulnerabilidades en los dispositivos VPN de Ivanti, incluidos CVE-2023-46805 y CVE-2024-21887, que han sido explotados para ejecutar comandos de forma remota y cargar malware. Ivanti ha lanzado parches para cuatro vulnerabilidades, incluida CVE-2024-21888, y una segunda mitigación para construir resiliencia contra ataques que encadenan CVE-2024-21893 con CVE-2024-21887.

Sin embargo, CVE-2024-21893 no es una vulnerabilidad nueva, sino un n-day ya descubierto en la biblioteca xmltooling, rastreado como CVE-2023-36661 y parcheado en junio de 2023. La explotación de los zero-days de Ivanti ha sido vinculada al grupo UTA0178, asociado con China, comprometiendo al menos a 20 organizaciones que utilizan dispositivos VPN Ivanti Connect Secure.

Source: HackRead

Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.