Dado lo extenso que es Ivanti, quería compartir la noticia. Por favor, vea la información a continuación para más detalles de Ivanti. También se incluye un publicación del proveedor para cualquier persona de seguridad que busque IOC. No tengo afiliación con esta organización; simplemente fueron los primeros en descubrirlo.
Ivanti también ha divulgado públicamente los CVE relacionados con estas vulnerabilidades. Es probable que el parche no esté listo hasta la semana del 22 de enero. Existen acciones de mitigación que se pueden tomar.
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
##CVE-2023-46805
CVSS : 8.2
Una vulnerabilidad de bypass de autenticación en el componente web de Ivanti ICS 9.x, 22.x y Ivanti Policy Secure permite a un atacante remoto acceder a recursos restringidos omitiendo las verificaciones de control.
##CVE-2024-21887
CVSS : 9.1
Una vulnerabilidad de inyección de comandos en componentes web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo.
Curioso que esto no parezca generar más comentarios considerando cuán grande son en este espacio.
Sí, implementamos la mitigación de inmediato y, hasta donde podemos ver, no fuimos afectados. Es una lástima que no haya una manera fácil/clara de verificar lo segundo.
Aquí hay un modo de operación sospechado, gran publicación de blog de Mandiant: https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
Debo decir que ha sido una experiencia bastante negativa para nosotros, la mitigación temporal rompió el acceso a la compartición de archivos en la portal y el parche fue lanzado una semana después de lo prometido, además, al intentar descargar el parche, su portal de licencias/descargas se colapsó presumiblemente por problemas de capacidad. La exploración de comparticiones en el portal era la única razón por la que seguíamos con Pulse Secure, pero con nuestro dispositivo en fin de vida el próximo año, empezaremos a buscar alternativas. También recomiendan un restablecimiento completo de fábrica para borrar el dispositivo y empezar de nuevo, un proceso de 3-4 horas. Contacté con soporte de Ivanti sobre el error que recibimos al navegar por carpetas de más de 3 niveles y su respuesta fue “Eso es un mensaje muy extraño, puedo pedirle a mi equipo que vea si han encontrado este problema y si tienen una solución”. Han pasado 48 horas y silencio.
La cantidad de vulnerabilidades en productos VPN. La ironía, por supuesto, es que la mitad de los VPN solo existen porque se les dijo que no podían poner en línea un Gateway de Escritorio Remoto sin VPN (RD Gateway con MFA no ha tenido vulnerabilidades mayores a las que han tenido Pulse Secure, Fortinet o Citrix).
Sí, es frustrante y Ivanti solo te deja con un “no podemos ayudar en eso”.
¿Algún problema o desventaja asociado con esa mitigación? La página de Ivanti que lista cómo endurece el sistema parecía bastante intensa.