Ivanti notificó a sus clientes sobre la necesidad de parchear de inmediato una vulnerabilidad crítica en Standalone Sentry, reportada por investigadores del Centro de Seguridad Cibernética de la OTAN.
Standalone Sentry se utiliza como un servidor Proxy del Centro de Distribución de Claves Kerberos (KKDCP) de una organización, o como controlador de acceso para servidores Exchange y Sharepoint habilitados para ActiveSync.
Identificada como la falla de seguridad CVE-2023-41724, esta vulnerabilidad afecta a todas las versiones compatibles y permite a actores no autenticados dentro de la misma red física o lógica ejecutar comandos arbitrarios en ataques de baja complejidad.
Ivanti también ha solucionado una segunda vulnerabilidad crítica (CVE-2023-46808) en su solución de gestión de servicios de TI Neurons for ITSM, que permite a actores de amenazas remotos con acceso a una cuenta de bajo privilegio ejecutar comandos "en el contexto del usuario de la aplicación web".
Aunque este parche ya se ha implementado en todos los entornos de Ivanti Neurons for ITSM en la nube, las implementaciones locales aún podrían ser vulnerables a posibles ataques.
La empresa también ha afirmado que no se ha encontrado evidencia de que estas dos vulnerabilidades de seguridad estén siendo explotadas en la naturaleza.
"Ya está disponible un parche a través del portal de descarga estándar. Recomendamos encarecidamente a nuestros clientes que actúen de inmediato para asegurar una protección completa", afirmó Ivanti según se informó.
"No tenemos constancia de que algún cliente haya sido víctima de esta vulnerabilidad en el momento de la divulgación".
Ataques a dispositivos Ivanti
Desde el comienzo del año, actores a nivel estatal han aprovechado múltiples vulnerabilidades de Ivanti como ataques de día cero (por ejemplo, CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 y CVE-2024-21893) antes de que una amplia gama de actores de amenazas comenzara a aprovecharlos a gran escala para desplegar diversas variedades de malware personalizado.
El mes pasado, más de 13.000 endpoints de Ivanti Connect Secure y Policy Secure seguían siendo vulnerables a ataques dirigidos a las mismas vulnerabilidades de seguridad.
Un mes antes, CISA emitió la primera directiva de emergencia de este año ordenando a las agencias federales proteger de inmediato sus sistemas Ivanti Connect Secure y Policy Secure contra las vulnerabilidades de día cero que estaban siendo objetivo de ataques generalizados.
La agencia de ciberseguridad de EE. UU. modificó la directiva de emergencia aproximadamente dos semanas después para ordenar a las agencias desconectar todos los dispositivos VPN de Ivanti vulnerables lo antes posible, reconstruirlos con software parcheado y luego volver a ponerlos en línea.
Varios grupos de amenazas chinos sospechosos utilizaron otro día cero de Connect Secure, identificado como CVE-2021-22893, hace tres años para atacar docenas de organizaciones gubernamentales, de defensa y financieras en toda Europa y Estados Unidos.