Desconexión urgente de VPNs Ivanti: CISA actúa para proteger agencias federales en EE. UU.

En respuesta a amenazas críticas, la Agencia de Ciberseguridad e Infraestructura (CISA) ha emitido una orden urgente para que todas las agencias federales de EE. UU. desconecten todas las appliances de VPN Ivanti Connect Secure y Policy Secure, afectadas por múltiples vulnerabilidades activamente explotadas, antes del sábado.

Esta acción es parte de una dirección adicional a la primera directiva de emergencia de este año (ED 24-01) emitida la semana pasada, que exige a las agencias del Poder Ejecutivo Civil Federal (FCEB) asegurar con urgencia todos los dispositivos de ICS e IPS en sus redes contra dos vulnerabilidades de zero-day, debido a su extensa explotación por múltiples actores amenazantes.

Las appliances de Ivanti son actualmente el blanco de ataques que aprovechan las vulnerabilidades de seguridad de CVE-2023-46805 (bypass de autenticación) y CVE-2024-21887 (inyección de comandos) desde diciembre como zero-day.

La compañía también alerta sobre una tercera vulnerabilidad de día cero (CVE-2024-21893) que permite a los actores de amenazas eludir la autenticación en puertas de enlace ICS, IPS y ZTA vulnerables.

Ivanti lanzó parches de seguridad y proporciona instrucciones de mitigación. Además, insta a restablecer las appliances antes de aplicar parches para frustrar intentos de persistencia durante las actualizaciones.

Según Shodan, más de 22,000 Ivanti ICS VPNs están expuestas en línea, mientras que Shadowserver rastrea más de 21,400 instancias.

Desconexión urgente de VPNs Ivanti: CISA actúa para proteger agencias federales en EE. UU.

CISA, ante la “amenaza sustancial”, ordena a las agencias desconectar todas las VPNs de Ivanti “tan pronto como sea posible” pero a más tardar a las 11:59 PM del viernes 2 de febrero.

Después de desconectar, las agencias deben buscar signos de compromiso, monitorear servicios susceptibles y auditar cuentas de acceso privilegiado.

Para volver a conectar las Ivanti, las agencias deben exportar la configuración, restablecerlas de fábrica, reconstruirlas con versiones de software parcheadas y revocar certificados, claves y contraseñas.

Las agencias también deben asumir que todas las cuentas vinculadas fueron comprometidas, deshabilitar dispositivos registrados y proporcionar actualizaciones regulares a CISA. La orden permanece vigente hasta que CISA determine que todas las acciones necesarias han sido completadas.

 

 

#CISA #Ivanti #CVE #zero-day

Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.