CISA desconecta dos sistemas tras el ataque a Ivanti
Según informó la propia CISA, la agencia detectó "actividad que indicaba la explotación de vulnerabilidades en los productos de Ivanti que utiliza la agencia" hace aproximadamente un mes. "El impacto se limitó a dos sistemas, que desconectamos inmediatamente. Seguimos actualizando y modernizando nuestros sistemas, y no hay ningún impacto operativo en este momento", dijo un portavoz de la CISA.
La CISA no quiso dar más detalles sobre el incidente, como quiénes fueron los responsables, qué datos se pudieron acceder o robar y qué sistemas se vieron afectados. Sin embargo, una fuente con conocimiento de la situación dijo a Recorded Future News que los dos sistemas comprometidos fueron el IP Gateway, que alberga información crítica sobre la interdependencia de la infraestructura de EE.UU., y el Chemical Security Assessment Tool (CSAT), que alberga los planes de seguridad química del sector privado.
Ivanti es una empresa que ofrece soluciones de software para gestionar y proteger los dispositivos, las aplicaciones y los datos de las organizaciones. Entre sus productos se encuentran los gateways Connect Secure y Policy Secure, que permiten establecer conexiones VPN seguras entre los usuarios y los recursos de la red. Estos productos presentan varias vulnerabilidades, identificadas como CVE-2023-46805, CVE-2024-21887 y CVE-2024-21893, que afectan a todas las versiones soportadas (9.x y 22.x) y que pueden ser utilizadas por los atacantes para eludir la autenticación, crear solicitudes maliciosas y ejecutar comandos arbitrarios con privilegios elevados.
Lo más preocupante es que los atacantes han sido capaces de engañar a la herramienta de comprobación de integridad (ICT) de Ivanti, tanto la interna como la externa, lo que implica que la herramienta no es capaz de detectar si los dispositivos han sido comprometidos. Además, la CISA ha realizado investigaciones independientes en un entorno de laboratorio que confirman que la ICT de Ivanti no es suficiente para detectar el compromiso y que un atacante puede obtener persistencia a nivel de root a pesar de realizar restablecimientos de fábrica.
La CISA y otras agencias de ciberseguridad de países aliados, como Australia, Reino Unido, Canadá y Nueva Zelanda, han emitido una alerta conjunta en la que instan a todas las organizaciones que utilizan los productos de Ivanti a asumir que las credenciales de los usuarios y las cuentas de servicio almacenadas en los dispositivos VPN de Ivanti están probablemente comprometidas, a buscar indicios de actividad maliciosa en sus redes utilizando los métodos de detección y los indicadores de compromiso (IOCs) proporcionados en la alerta, a ejecutar la ICT externa más reciente de Ivanti y a aplicar las actualizaciones de seguridad disponibles de Ivanti a medida que se publiquen.
Los productos de Ivanti son muy populares entre los gobiernos de todo el mundo y varias vulnerabilidades en el software de la empresa han permitido a los hackers acceder de forma remota a la información personal de los usuarios, como nombres, números de teléfono y otros detalles de los dispositivos móviles. Este incidente demuestra que ninguna organización está a salvo de las amenazas cibernéticas y que es necesario contar con un plan de respuesta ante incidentes para mitigar los riesgos y las consecuencias de un posible ataque.
Noticia recomendada
449 
Equipo Futuro Presente 