AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ivanti Connect Secure bajo ataque: CISA desvela detalles técnicos del implante RESURGE y el zero-day CVE-2025-0282

admin

Introducción

La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha hecho públicos nuevos detalles técnicos sobre una campaña avanzada dirigida contra dispositivos Ivanti Connect Secure, centrada en la explotación de la vulnerabilidad zero-day CVE-2025-0282. Los atacantes han desplegado un sofisticado implante denominado RESURGE, capaz de mantener la persistencia, evadir controles y facilitar el acceso remoto a redes corporativas. Este incidente está generando gran preocupación entre CISOs, analistas SOC y profesionales de la ciberseguridad, dada la criticidad de los appliances Ivanti en entornos de acceso remoto seguro.

Contexto del Incidente

La vulnerabilidad CVE-2025-0282 afecta a las versiones de Ivanti Connect Secure (anteriormente conocido como Pulse Secure) anteriores a la 22.5R1. Se trata de una vulnerabilidad de ejecución remota de código (RCE) que permite a un atacante no autenticado ejecutar comandos arbitrarios con privilegios elevados. El exploit ha sido aprovechado en ataques selectivos desde mayo de 2024, principalmente contra organizaciones de sectores críticos, incluidas infraestructuras gubernamentales, operadores de telecomunicaciones y grandes corporaciones multinacionales.

Ivanti Connect Secure se ha convertido en un objetivo recurrente para grupos APT, debido a su rol como puerta de entrada VPN y su privilegiado acceso a redes internas. Entre los grupos identificados en campañas previas contra Ivanti destacan APT5 y UNC2630, aunque en este caso la atribución permanece abierta.

Detalles Técnicos: RESURGE, CVE y TTPs

CVE-2025-0282 es una vulnerabilidad de alta criticidad (CVSS 9.8) que reside en el mecanismo de autenticación de los dispositivos afectados. El exploit conocido aprovecha una validación insuficiente de parámetros en el endpoint /dana-na/auth/url_default/welcome.cgi, permitiendo la inyección de comandos mediante payloads especialmente diseñados.

Una vez explotado el zero-day, los atacantes despliegan el implante RESURGE, un backdoor persistente que se integra en el sistema de archivos y modifica scripts de inicio para garantizar su reejecución tras reinicios. RESURGE ofrece funcionalidad de web shell, carga y descarga de archivos, ejecución de comandos y tunelización de tráfico. El implante utiliza técnicas de evasión basadas en la manipulación de logs y la ofuscación del tráfico de C2.

En cuanto a TTPs, CISA identifica el uso del framework MITRE ATT&CK en las siguientes fases:

– Initial Access: Exploit de vulnerabilidad RCE (T1190).
– Persistence: Modificación de scripts de inicio y plantado de web shells (T1547.004).
– Defense Evasion: Borrado de logs y modificación de artefactos de auditoría (T1070.004).
– Command & Control: Uso de canales HTTPS personalizados y ofuscados (T1071.001).

Los IoC asociados incluyen hashes de los binarios de RESURGE, rutas de archivos modificados (/data/runtime/…), IPs de C2 en Asia-Pacífico y patrones de tráfico inusual en los logs de acceso.

Impacto y Riesgos

El despliegue exitoso de RESURGE otorga a los atacantes control persistente sobre los dispositivos Ivanti, permitiendo movimientos laterales, robo de credenciales y la creación de túneles cifrados hacia activos internos. Dada la naturaleza de Ivanti Connect Secure como gateway VPN, el compromiso puede abrir la puerta a ataques de cadena de suministro, exfiltración de datos sensibles y sabotaje de operaciones críticas.

CISA estima que al menos un 18% de los dispositivos expuestos a Internet han sido objeto de intentos de explotación, con un porcentaje de compromiso confirmado del 3-4%. Se han documentado incidentes con pérdidas económicas superiores a los 4 millones de dólares en organizaciones afectadas, incluyendo interrupciones de servicio, costes de remediación y sanciones regulatorias (especialmente bajo el marco GDPR y NIS2).

Medidas de Mitigación y Recomendaciones

CISA y los principales CSIRTs recomiendan:

– Actualizar de inmediato a la versión 22.5R1 o posterior de Ivanti Connect Secure, donde la vulnerabilidad CVE-2025-0282 ha sido corregida.
– Auditar exhaustivamente los dispositivos, revisando logs, integridad de archivos y presencia de artefactos relacionados con RESURGE.
– Implementar controles de acceso reforzados (MFA, segmentación de red, listas blancas de IP).
– Monitorizar conexiones salientes inusuales y patrones de tráfico anómalos asociados a C2.
– Realizar análisis forense en sistemas potencialmente comprometidos y considerar la rotación de credenciales VPN.
– Aplicar buenas prácticas de gestión de vulnerabilidades y respuesta a incidentes, según ISO 27001 y NIS2.

Opinión de Expertos

Especialistas en ciberseguridad, como Kevin Beaumont y Jake Williams, advierten que este incidente demuestra la urgencia de una gestión proactiva de vulnerabilidades en appliances de acceso remoto. “RESURGE es representativo de una nueva generación de implantes dirigidos a gateways VPN, que combinan persistencia, evasión y capacidades de exfiltración silenciosa”, señala Williams. Además, se destaca la rápida profesionalización de los grupos atacantes en el uso de exploits zero-day y la integración de frameworks como Cobalt Strike tras el acceso inicial.

Implicaciones para Empresas y Usuarios

Las empresas deben considerar los dispositivos VPN como parte crítica de su superficie de ataque. La explotación de CVE-2025-0282 y el despliegue de RESURGE demuestran que una brecha en estos sistemas puede tener un impacto transversal en la seguridad de toda la organización. Los usuarios finales pueden verse afectados indirectamente por el robo de datos o la interrupción de servicios esenciales. El cumplimiento con normativas como GDPR y NIS2 exige una respuesta rápida y documentada ante estos incidentes, bajo riesgo de sanciones económicas y reputacionales.

Conclusiones

El ataque dirigido a Ivanti Connect Secure mediante la explotación de CVE-2025-0282 y la instalación del implante RESURGE plantea un desafío urgente para el sector. La sofisticación de los TTPs, el impacto transversal y la criticidad de los dispositivos comprometidos requieren una respuesta coordinada, actualizaciones inmediatas y una revisión profunda de la postura de seguridad en entornos VPN. La vigilancia continua y la colaboración sectorial serán clave para mitigar futuros incidentes de este calibre.

(Fuente: www.bleepingcomputer.com)