Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)
¿Qué es Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)Dos zero-days encadenados en los dispositivos VPN Ivanti Connect Secure, explotados por presuntos actores de espionaje chinos a finales de 2023 y principios de 2024.
En enero de 2024, Ivanti y Mandiant divulgaron dos zero-days en Ivanti Connect Secure y Policy Secure: CVE-2023-46805, un bypass de autenticacion en el componente web, y CVE-2024-21887, una inyeccion de comandos en componentes administrativos. Encadenadas, permiten ejecucion remota de codigo sin autenticar en el dispositivo. Mandiant atribuyo la explotacion inicial a UNC5221, un cluster de presunto espionaje chino que desplego webshells y ladrones de credenciales. CISA y otras agencias emitieron directivas de emergencia ordenando desconectar los equipos afectados. La mitigacion incluyo aplicar parches escalonados, ejecutar la herramienta de verificacion de integridad, restablecer de fabrica los equipos comprometidos y rotar todas las credenciales y certificados relacionados.
● Ejemplos
- 01
UNC5221 despliega el webshell BUSHWALK en una Ivanti VPN vulnerable y pivota hacia la red corporativa.
- 02
Una agencia federal estadounidense desconecta sus dispositivos Ivanti y los reconstruye desde medios limpios tras la directiva de CISA.
● Preguntas frecuentes
¿Qué es Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Dos zero-days encadenados en los dispositivos VPN Ivanti Connect Secure, explotados por presuntos actores de espionaje chinos a finales de 2023 y principios de 2024. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Dos zero-days encadenados en los dispositivos VPN Ivanti Connect Secure, explotados por presuntos actores de espionaje chinos a finales de 2023 y principios de 2024.
¿Cómo funciona Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
En enero de 2024, Ivanti y Mandiant divulgaron dos zero-days en Ivanti Connect Secure y Policy Secure: CVE-2023-46805, un bypass de autenticacion en el componente web, y CVE-2024-21887, una inyeccion de comandos en componentes administrativos. Encadenadas, permiten ejecucion remota de codigo sin autenticar en el dispositivo. Mandiant atribuyo la explotacion inicial a UNC5221, un cluster de presunto espionaje chino que desplego webshells y ladrones de credenciales. CISA y otras agencias emitieron directivas de emergencia ordenando desconectar los equipos afectados. La mitigacion incluyo aplicar parches escalonados, ejecutar la herramienta de verificacion de integridad, restablecer de fabrica los equipos comprometidos y rotar todas las credenciales y certificados relacionados.
¿Cómo defenderse de Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Las defensas contra Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Zero-days de Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887)?
Nombres alternativos comunes: Ivanti Connect Secure RCE, Cadena CVE-2024-21887.
● Términos relacionados
- attacks№ 202
Inyección de comandos
Ataque en el que la entrada del usuario se pasa sin saneamiento a un intérprete del sistema, haciendo que la aplicación ejecute comandos proporcionados por el atacante.
- attacks№ 1116
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.