Asesor de cobertura de ThreatLabz: Vulnerabilidades de VPN de Ivanti explotadas por hackers, nuevos días cero plantean un riesgo crítico

Introducción

Ivanti, una empresa de gestión de TI y seguridad, ha emitido una advertencia sobre múltiples vulnerabilidades de día cero en sus productos VPN explotadas por hackers chinos patrocinados por el Estado desde diciembre de 2023. La revelación inicial implicaba dos CVE (CVE-2023-46805 y CVE-2023-21887) que permitían a un atacante remoto eludir la autenticación y realizar exploits de inyección remota de comandos. Ivanti publicó un parche que fue eludido inmediatamente por dos fallas adicionales (CVE-2024-21888 y CVE-2024-21893) que permiten a un atacante realizar exploits de escalada de privilegios y falsificación de peticiones del lado del servidor. 

La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) publicó un aviso inicial y una directriz de emergencia (ED-24-01) estableciendo el plazo para mitigar los dos problemas originales antes de las 23:59 EST del 22 de enero de 2024. A raíz del descubrimiento de las dos nuevas vulnerabilidades y de la falta de parches, CISA emitió una directriz suplementaria a la directiva de emergencia en la que se instruía a los organismos de la rama ejecutiva civil federal a desconectar todas las instancias de las soluciones Ivanti Connect Secure (ICS) e Ivanti Policy Secure (IPS) a más tardar a las 23:59 EST del 2 de febrero de 2024 de las redes de los organismos.

Recomendaciones

Para CVE-2023-46805 y CVE-2023-21887

• Aplique el parche: Ivanti ha lanzado un parche para solucionar las dos vulnerabilidades iniciales. Se aconseja a los usuarios que apliquen este parche cuanto antes para asegurar sus sistemas.
• Realice un restablecimiento de fábrica antes del parche: Ivanti recomienda a los usuarios que realicen un restablecimiento de fábrica en su dispositivo antes de aplicar el parche. Este paso de precaución tiene como objetivo evitar que los posibles malintencionados obtengan persistencia de actualización en el entorno. 

Para CVE-2023-21888 y CVE-2023-21893

• Dirección suplementaria de la CISA (ED-24-01): CISA instruyó a los organismos federales a desconectar todas las instancias de las soluciones Ivanti Connect Secure (ICS) e Ivanti Policy Secure (IPS) de las redes de los organismos. Aunque la directriz de CISA ordena esto para los organismos FCEB, CISA recomienda encarecidamente a todas las organizaciones que sigan los pasos recomendados.
• Aplique los parches a medida que estén disponibles siguiendo las indicaciones recomendadas.

Para todos los problemas detectados

• Priorice la segmentación de todos los sistemas potencialmente afectados de los recursos de la empresa para reducir el radio de alcance
• Continúe la caza de amenazas para todos los dispositivos conectados a y desde los productos Ivanti afectados
• Supervise los servicios de gestión de identidades y las anomalías de autenticación.
• Audite activamente las cuentas privilegiadas creadas o actualizadas recientemente. 
• Rote los certificados, claves y contraseñas de todos los sistemas y aplicaciones conectados o expuestos.

Atribución

Se cree que UTA0178, un grupo de hackers chino patrocinado por el gobierno y dedicado al espionaje, es el responsable de explotar las vulnerabilidades de la VPN de ICS. Al mismo grupo se le atribuyen los ataques concentrados en Filipinas utilizando las familias de malware MISTCLOAK, BLUEHAZE y DARKDEW.

Cómo funciona

Se observó que los atacantes explotaban dos vulnerabilidades CVE-2023-46805 (una vulnerabilidad para eludir la autenticación con una puntuación CVSS de 8.2) y CVE-2024-21887 (una vulnerabilidad de inyección de comandos encontrada en varios componentes web con una puntuación CVSS de 9.1) para obtener acceso a los dispositivos ICS VPN. La actividad inicial se observó a partir del 3 de diciembre de 2023. En su mayor parte se abastecían de lo que encontraban, pero también utilizaron algunas herramientas. 

Las herramientas utilizadas por el malintencionado incluyen: 

• Tunelador PySoxy y BusyBox para permitir la actividad posterior a la explotación 
• Puerta trasera pasiva ZIPLINE 
• Derivación THINSPOOL 
• LIGHTWIRE 
• WIREFIRE, BUSHWALK y Shells Web CHAINLINE 
• WARPWIRE

Cadena de ataque

Figura 1: Diagrama que representa la cadena de ataque.

Posible ejecución

• Explotación inicial: Los atacantes realizaron escaneos masivos en busca de dispositivos vulnerables y posible explotación automatizada. 
• Persistencia: Los atacantes implementaron diferentes variaciones de shells web en los dispositivos seleccionados tras una explotación exitosa. Tras conseguir un punto de apoyo inicial, el atacante podría robar datos de configuración, modificar archivos existentes, descargar archivos remotos y realizar un túnel inverso desde los dispositivos. Además, los atacantes abrieron puertas traseras en los archivos de configuración e implementaron herramientas adicionales.
• Reconocimiento: Los atacantes realizaron un reconocimiento de los sistemas y aplicaciones internos a través de conexiones proxy.
• CredencialStealing: Los atacantes inyectaron un malware personalizado basado en JavaScript, llamado WARPWIRE, en una página de inicio de sesión utilizada por los usuarios para capturar y filtrar credenciales de texto sin formato.
• Movimiento lateral: Los atacantes utilizaron movimiento lateral mediante credenciales comprometidas para conectarse a sistemas internos a través de RDP, SMB y SSH. 
• Borrado de pruebas: Se observó a los atacantes borrando registros e incluso restaurando el sistema a un estado limpio después de implementar sus cargas útiles.
• Evasión (parche y detección): En algunos casos, los atacantes modificaron la herramienta de comprobación de integridad (ICT) para desactivarla e impedir que marcara cualquier modificación o adición en el sistema como medida para evadir la detección. La herramienta ZIPLINE utilizada por los atacantes es capaz de eludir la detección ICT añadiéndose a sí misma a la exclusion_list (lista de exclusión) utilizada por la herramienta ICT. Además, a medida que los ataques eran descubiertos y publicitados, los atacantes se adaptaban rápidamente modificando las herramientas para eludir la detección. Como resultado, se están observando nuevas variantes del ataque inicial en ataques más recientes.

Cómo puede ayudar Zscaler

La solución de acceso a la red Zero Trust (ZTNA) nativa de la nube de Zscaler ofrece a los usuarios un acceso rápido y seguro a aplicaciones privadas para todos los usuarios, desde cualquier ubicación. Reduzca su superficie de ataque y el riesgo de movimiento lateral de amenazas: no más direcciones IP de acceso remoto expuestas a Internet y conexiones seguras con intermediarios de adentro hacia afuera. Fácil de implementar y aplicar políticas de seguridad uniformes en todo el campus y en usuarios remotos.

Zscaler Private Access™ (ZPA) permite a las organizaciones asegurar el acceso privado a aplicaciones desde cualquier lugar. Conecte a los usuarios con las aplicaciones, nunca con la red, con la segmentación de usuario a aplicación impulsada por la IA. Evite el movimiento lateral de amenazas con conexiones de adentro hacia afuera.

• Implemente protección integral de datos y ciberamenazas para aplicaciones privadas con protección integrada de aplicaciones, engaño y protección de datos.

Figura 2: Las vulnerabilidades de VPN abren puertas a las ciberamenazas y protegen contra estos riesgos con la arquitectura Zero Trust.

Zero Trust es una arquitectura fundamentalmente diferente a las basadas en firewalls y VPN. Ofrece seguridad como servicio desde la nube y en el perímetro, en lugar de exigirle que redirija el tráfico a complejas pilas de dispositivos (ya sean hardware o virtuales). Proporciona conectividad segura entre todos de manera individualizada; por ejemplo, conectar cualquier usuario directamente a cualquier aplicación. No coloca a ninguna entidad en el conjunto de la red y se adhiere al principio del acceso con privilegios mínimos. En otras palabras, con Zero Trust, la seguridad y la conectividad se desvinculan satisfactoriamente de la red, lo que le permite eludir los problemas mencionados anteriormente relacionados con los enfoques basados en el perímetro. Arquitectura Zero Trust:

• Minimiza la superficie de ataque al eliminar firewalls, VPN y direcciones IP públicas, no permitir conexiones entrantes y ocultar aplicaciones detrás de una nube Zero Trust. 
• Evita el riesgo aprovechando la potencia de la nube para inspeccionar todo el tráfico, incluido el cifrado a escala, con el fin de aplicar las políticas y detener las amenazas en tiempo real. 
• Evita el movimiento lateral de amenazas al conectar entidades a recursos de TI individuales en lugar de extender el acceso a la red en su conjunto. 
• Bloquea la pérdida de datos aplicando políticas en todas las posibles rutas de fuga (incluido el tráfico cifrado), protegiendo los datos en movimiento, los datos en reposo y los datos en uso.

Además, la arquitectura Zero Trust soluciona muchos otros problemas relacionados con firewalls, VPN y arquitecturas basadas en perímetro al mejorar las experiencias del usuario, disminuir la complejidad operativa, ahorrar dinero a su organización y más. 

Zscaler ThreatLabz recomienda a nuestros clientes implementar las siguientes capacidades para protegerse contra este tipo de ataques:

• Proteja las aplicaciones más importantes limitando el movimiento lateral mediante Zscaler Private Access para establecer políticas de segmentación de usuario a aplicación basadas en los principios de acceso con privilegios mínimos, incluso para empleados y contratistas externos.
• Limite el impacto de un compromiso potencial restringiendo el movimiento lateral con una microsegmentación basada en la identidad.
• Evite la explotación privada de aplicaciones privadas de usuarios comprometidos con la inspección completa en línea del tráfico de aplicaciones privadas, con Zscaler Private Access.
• Utilice Advanced Cloud Sandbox para evitar el malware desconocido enviado en cargas útiles de segunda etapa.
• Detecte y contenga a los atacantes que intentan moverse lateralmente o escalar privilegios atrayéndolos con servidores señuelo, aplicaciones, directorios y cuentas de usuario con Zscaler Deception.
• Identifique y detenga la actividad maliciosa de los sistemas comprometidos enrutando todo el tráfico del servidor a través de Zscaler Internet Access.
• Restrinja el tráfico procedente de infraestructuras críticas a una lista "permitida" de destinos confiables.
• Asegúrese de que está inspeccionando todo el tráfico SSL/TLS, incluso si procede de fuentes de confianza.
• Active Advanced Threat Protection para bloquear todos los dominios de comando y control conocidos.
• Amplíe la protección de comando y control a todos los puertos y protocolos con Advanced Cloud Firewall, incluidos los destinos de C&C que surjan.

Mejores prácticas

Siga las directrices de CISA

El cumplimiento puntual de la Directriz de Emergencia sobre Vulnerabilidades de Ivanti del CISA es fundamental para minimizar el impacto de estas vulnerabilidades.

Implemente una arquitectura Zero Trust.

Las empresas deben replantearse los enfoques tradicionales de la seguridad, sustituyendo los dispositivos vulnerables como las VPN y los firewalls. Implementar una verdadera arquitectura Zero Trust, reforzada por modelos de IA/ML, para bloquear y aislar el tráfico malicioso y las amenazas es un paso fundamental. Priorice la segmentación usuario-aplicación cuando no vaya a introducir a los usuarios en la misma red que sus aplicaciones. Esto brinda una manera eficaz de evitar el movimiento lateral y evitar que los atacantes alcancen las aplicaciones más importantes. 

Medidas proactivas para proteger su entorno

A la luz de las recientes vulnerabilidades que afectan a Ivanti, es imprescindible emplear las siguientes mejores prácticas para reforzar su organización contra posibles exploits.

• Minimice la superficie de ataque: Haga que las aplicaciones (y las VPN vulnerables) sean invisibles a Internet e imposibles de comprometer, garantizando que un atacante no pueda obtener el acceso inicial.
• Prevenga el compromiso inicial: Inspeccione todo el tráfico en línea para detener automáticamente los exploits de día cero, el malware u otras amenazas sofisticadas.
• Imponga el acceso con privilegios mínimos: Restrinja los permisos para los usuarios, el tráfico, los sistemas y las aplicaciones utilizando la identidad y el contexto, garantizando que solo los usuarios autorizados puedan acceder a los recursos designados.
• Bloquee el acceso no autorizado: Utilice una autenticación multifactor (MFA) fuerte para validar las solicitudes de acceso de los usuarios. 
• Elimine el movimiento lateral: Conecte a los usuarios directamente a las aplicaciones, no a la red, para limitar el radio de alcance de un posible incidente.
• Bloquee a los usuarios comprometidos y las amenazas internas: Habilite la inspección y supervisión en línea para detectar usuarios comprometidos con acceso a su red, aplicaciones privadas y datos.
• Detenga la pérdida de datos: Inspeccione los datos en movimiento y los datos en reposo para detener el robo activo de datos durante un ataque.
• Implemente defensas activas: Aproveche la tecnología de engaño con señuelos y realice una inspección diaria de amenazas para frustrar y capturar los ataques en tiempo real.
• Fomente una cultura de la seguridad: Muchas infracciones comienzan con el compromiso de la cuenta de un solo usuario a través de un ataque de phishing. Dar prioridad a la capacitación periódica en concienciación sobre ciberseguridad puede ayudar a reducir este riesgo y a proteger a sus empleados frente al compromiso. 
• Ponga a prueba su postura de seguridad: Obtenga evaluaciones periódicas de riesgos por parte de terceros y lleve a cabo actividades de equipo púrpura para identificar y endurecer las brechas de su programa de seguridad. Solicite a sus proveedores de servicios y socios tecnológicos que hagan lo mismo y comparta los resultados de estos informes con su equipo de seguridad.

Conclusión

En conclusión, los productos VPN de Ivanti enfrentan graves amenazas de seguridad debido a múltiples vulnerabilidades de día cero explotadas por hackers patrocinados por el estado. La divulgación inicial reveló CVE críticas que permitían accesos no autorizados e inyecciones de comandos remotos. Tras el lanzamiento del parche de Ivanti, los malintencionados explotaron rápidamente dos fallas adicionales que permitían la escalada de privilegios. 

CISA ha respondido con una directriz consultiva y de emergencia, estableciendo plazos para mitigar los problemas originales. Con el descubrimiento de nuevas vulnerabilidades y la ausencia de parches, CISA emitió una directriz suplementaria, ordenando a los organismos federales desconectar las soluciones Ivanti ICS e IPS de las redes antes de las 23:59 EST, del 2 de febrero de 2024.