AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Ciberatacantes con nexos en China explotan vulnerabilidades en Ivanti y bloquean el acceso a rivales**

admin

### Introducción

Durante los últimos meses, se ha detectado una sofisticada campaña de intrusión dirigida por un actor de amenazas vinculado a China, cuyo objetivo principal han sido sistemas empresariales que no han parcheado vulnerabilidades críticas en productos Ivanti. Lo novedoso de esta operación no solo es la explotación inicial de las brechas, sino la posterior aplicación de parches por parte de los atacantes para impedir que otros actores accedan al mismo entorno comprometido. Este enfoque representa una evolución en las tácticas de persistencia y control del acceso tras comprometer infraestructuras empresariales.

### Contexto del Incidente

Ivanti, proveedor ampliamente adoptado de soluciones de gestión y acceso remoto como Ivanti Connect Secure (anteriormente Pulse Secure), ha sido objeto recurrente de ataques dirigidos debido a vulnerabilidades críticas publicadas en los últimos meses. Grupos APT han mostrado un interés creciente en estos productos, aprovechando la lentitud de muchas organizaciones a la hora de aplicar parches de seguridad. El modus operandi detectado en esta campaña implica una doble explotación: primero, el aprovechamiento de sistemas sin actualizar para obtener acceso inicial, y después, la autoprotección mediante el despliegue de parches oficiales, lo que dificulta la detección y remediación por parte de los equipos de ciberseguridad.

### Detalles Técnicos

El vector de ataque principal se centra en vulnerabilidades identificadas como CVE-2023-46805 y CVE-2024-21887, ambas consideradas críticas en la plataforma Ivanti Connect Secure. La primera es una vulnerabilidad de bypass de autenticación (CVE-2023-46805), mientras que la segunda permite la ejecución remota de comandos (CVE-2024-21887). Los atacantes han aprovechado la posibilidad de encadenar ambas fallas para ejecutar código arbitrario sin autenticación previa y comprometer completamente el sistema.

Según análisis forenses, los TTPs (técnicas, tácticas y procedimientos) empleados coinciden con los descritos en los frameworks MITRE ATT&CK, específicamente en las siguientes fases:

– **Initial Access (TA0001):** Explotación de vulnerabilidades en aplicaciones públicas (T1190).
– **Persistence (TA0003):** Instalación de webshells y manipulación de archivos de configuración.
– **Defense Evasion (TA0005):** Aplicación de parches posteriores y eliminación de logs para ocultar la actividad.
– **Command and Control (TA0011):** Uso de canales cifrados y proxies para mantener la comunicación.

Existen indicadores de compromiso (IoC) como hashes de webshells personalizados, conexiones a dominios y direcciones IP asociadas a infraestructura APT china, y modificaciones no autorizadas en los archivos de configuración de Ivanti.

Herramientas como Metasploit han incluido módulos para explotar estas vulnerabilidades, facilitando tanto pruebas de penetración como explotación por parte de actores maliciosos. Asimismo, se ha observado el uso de frameworks avanzados como Cobalt Strike para la post-explotación y movimiento lateral.

### Impacto y Riesgos

Se estima que hasta un 60% de los dispositivos Ivanti Connect Secure expuestos en Internet han estado, en algún momento, potencialmente vulnerables a estos exploits, según datos de Shodan y análisis de firmas de ciberseguridad. El impacto es especialmente significativo en sectores críticos como administración pública, sanidad, telecomunicaciones y operadores de infraestructuras esenciales, donde Ivanti tiene elevada cuota de mercado.

Los riesgos asociados incluyen:

– Exfiltración de credenciales y datos confidenciales.
– Puesta en riesgo de la continuidad de negocio por accesos persistentes y ocultos.
– Infracciones graves de normativas como el GDPR o, en el caso de operadores de servicios esenciales, la NIS2, lo que puede acarrear sanciones económicas multimillonarias.
– Potencial uso de los accesos comprometidos para ataques de ransomware o ciberespionaje.

### Medidas de Mitigación y Recomendaciones

– **Aplicación inmediata de parches:** Actualizar todos los dispositivos Ivanti a las versiones más recientes, asegurándose de cubrir tanto CVE-2023-46805 como CVE-2024-21887.
– **Revisión forense:** Analizar logs históricos y buscar IoCs conocidos relacionados con esta campaña, incluso si los sistemas ya están parcheados.
– **Segmentación de red:** Limitar el acceso a interfaces de administración y restringir el tráfico a través de firewalls y listas de control de acceso.
– **Implementación de EDR y soluciones XDR:** Para detectar movimientos laterales y actividad anómala post-explotación.
– **Verificación de integridad:** Comprobar que los binarios y configuraciones no han sido alterados por actores maliciosos.

### Opinión de Expertos

Analistas de amenazas como los equipos de Mandiant y CrowdStrike coinciden en que la táctica de «parcheo post-compromiso» señala un avance en la profesionalización de los actores APT chinos, que buscan exclusividad y persistencia en sus accesos. Este comportamiento obliga a los defensores a no confiar únicamente en la aplicación de parches como medida de seguridad y a reforzar la monitorización proactiva de sistemas críticos.

### Implicaciones para Empresas y Usuarios

Para las empresas, el incidente subraya la necesidad urgente de acelerar los ciclos de parcheo, disponer de estrategias de Threat Hunting y contar con planes de respuesta a incidentes que contemplen escenarios en los que los atacantes gestionan los propios parches de los sistemas. Los usuarios finales podrían verse afectados en caso de filtraciones de datos, interrupciones de servicios o robo de credenciales.

### Conclusiones

La campaña dirigida contra Ivanti ejemplifica la sofisticación y adaptabilidad de los actores APT con respaldo estatal. La explotación de brechas, seguida del autoparcheo para bloquear a otros atacantes, plantea nuevos retos para la defensa y obliga a repensar las estrategias de monitorización y respuesta. La vigilancia continua, la aplicación rápida de parches y la investigación proactiva de indicios de compromiso serán clave para mitigar riesgos en el actual panorama de amenazas.

(Fuente: www.darkreading.com)