AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Grupos APT chinos explotan vulnerabilidades RCE en Ivanti Pulse Secure por deficiencias en el parcheo**

admin

### 1. Introducción

En el panorama actual de amenazas, las vulnerabilidades conocidas siguen representando uno de los vectores de ataque más explotados por actores avanzados, especialmente cuando afectan a soluciones críticas de acceso remoto. Un caso paradigmático es el de Ivanti Pulse Secure, cuyas vulnerabilidades de ejecución remota de código (RCE) publicadas a finales de 2023 continúan siendo explotadas masivamente por grupos APT (Amenaza Persistente Avanzada) de origen chino. Las dificultades técnicas y operativas en el despliegue de parches han favorecido la persistencia de estas amenazas, generando preocupación en los equipos de seguridad empresarial y organismos reguladores.

### 2. Contexto del Incidente o Vulnerabilidad

En enero de 2024, se hicieron públicos varios fallos críticos en las soluciones Ivanti Connect Secure (anteriormente Pulse Secure) y Policy Secure. Entre ellos destacan las vulnerabilidades CVE-2023-46805 y CVE-2024-21887, ambas con un CVSS superior a 9.0. Estos sistemas, ampliamente implantados en empresas del sector financiero, sanitario, tecnológico y administraciones públicas, facilitan el acceso remoto seguro a redes corporativas, lo que los convierte en objetivos prioritarios para la explotación por parte de actores estatales y cibercriminales.

A pesar de la disponibilidad de parches, la complejidad de su aplicación —derivada de la necesidad de reinicios, validaciones manuales y problemas de compatibilidad— ha provocado que miles de dispositivos permanezcan vulnerables meses después de la publicación de los exploits. Según datos recientes de Censys y Shodan, más del 18% de los appliances expuestos a Internet siguen sin parchear en junio de 2024.

### 3. Detalles Técnicos

**CVE-2023-46805** y **CVE-2024-21887** permiten a un atacante remoto y no autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente mediante la manipulación de parámetros en llamadas HTTP/S. El vector de ataque principal reside en la API de administración y portales web de Ivanti, donde la insuficiente validación de entradas permite la inyección de payloads maliciosos.

Grupos de amenazas chinos han sido observados utilizando TTPs (Tácticas, Técnicas y Procedimientos) alineados con MITRE ATT&CK, en particular:

– **Initial Access:** T1190 (Exploit Public-Facing Application)
– **Execution:** T1059 (Command and Scripting Interpreter)
– **Persistence:** T1547 (Boot or Logon Autostart Execution)
– **Defense Evasion:** T1036 (Masquerading)

Indicadores de Compromiso (IoC) detectados incluyen cargas maliciosas codificadas en base64, modificaciones de archivos de configuración y persistencia mediante scripts personalizados. Se han identificado campañas que emplean frameworks como Metasploit para explotación automatizada y Cobalt Strike para post-explotación y movimiento lateral.

Los exploits públicos disponibles en repositorios como GitHub han facilitado la adopción masiva de estas técnicas, acelerando la explotación en entornos no parcheados.

### 4. Impacto y Riesgos

La explotación de estas vulnerabilidades otorga a los atacantes control total sobre los dispositivos afectados, permitiendo el acceso a credenciales, tráfico cifrado y recursos internos. Diversos informes de incidentes reportados por CERTs europeos y norteamericanos apuntan a exfiltración de datos sensibles, propagación de ransomware y acceso a infraestructuras críticas.

Se estima que al menos 2.500 organizaciones internacionales han sufrido compromisos relacionados, con pérdidas económicas asociadas superiores a los 100 millones de dólares, según cálculos de la consultora Mandiant. Además, la exposición de datos bajo el ámbito del RGPD (Reglamento General de Protección de Datos) y la directiva europea NIS2 incrementa el riesgo de sanciones regulatorias.

### 5. Medidas de Mitigación y Recomendaciones

Los expertos recomiendan aplicar de inmediato los parches oficiales proporcionados por Ivanti, verificando la integridad de las actualizaciones y revisando los logs en busca de patrones anómalos. Se aconseja, además:

– Deshabilitar temporalmente el acceso externo a los portales de administración.
– Implementar segmentación de red y controles de acceso adicionales (Zero Trust).
– Monitorizar indicadores de compromiso específicos y realizar escaneos forenses de los appliances.
– Actualizar las firmas de detección en sistemas IDS/IPS y EDR.
– Revisar las políticas de retención de logs y fortalecer los procedimientos de backup.

En casos de compromiso, se recomienda revocar credenciales, reinstalar los sistemas desde imágenes limpias y notificar a las autoridades competentes conforme a la legislación vigente.

### 6. Opinión de Expertos

Analistas de Threat Intelligence, como los equipos de CrowdStrike y Mandiant, subrayan que la explotación continuada de estas vulnerabilidades refleja una tendencia clara: los atacantes priorizan vectores ya conocidos en detrimento de la búsqueda de 0-days, especialmente cuando el despliegue de parches es lento o problemático.

Los expertos advierten sobre la “fatiga de parcheo” en equipos IT, que priorizan la disponibilidad del servicio frente a la seguridad, lo que subraya la necesidad de automatizar y agilizar los procesos de actualización en infraestructuras críticas.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente pone de relieve la importancia de incluir la gestión de vulnerabilidades en el marco de cumplimiento regulatorio (NIS2, RGPD) y de adoptar arquitecturas de acceso seguro (SASE, Zero Trust). Los usuarios deben ser conscientes de que incidentes en dispositivos de acceso remoto pueden comprometer la confidencialidad y disponibilidad de servicios esenciales.

La tendencia creciente hacia el acceso remoto y el teletrabajo incrementa la superficie de ataque y refuerza la necesidad de estrategias proactivas de ciberdefensa.

### 8. Conclusiones

La explotación persistente de vulnerabilidades RCE en Ivanti por parte de actores chinos evidencia que la mera publicación de parches no es suficiente. Las organizaciones deben reforzar sus procesos de gestión de vulnerabilidades, priorizando la actualización de sistemas críticos y la monitorización continua. La colaboración entre comunidad, fabricantes y organismos reguladores es clave para mitigar el impacto de amenazas avanzadas y salvaguardar la resiliencia digital.

(Fuente: www.darkreading.com)