CISA afectada por vulnerabilidades de Ivanti

Sistemas de la Agencia de Ciberseguridad e Infraestructura de Seguridad (CISA, por sus siglas en inglés) tuvieron que ser desconectados al detectarse actividad indicativa de explotación de vulnerabilidades en dispositivos de Ivanti utilizados por la agencia.

Según informaciones remitidas a The Record el ataque se produjo hace en torno a un mes, fueron dos los sistemas afectados y en estos momentos no existe ningún impacto operacional en ellos.

Aunque no hay confirmación oficial, los sistemas afectados serían el gateway de Protección de Infraestructura (IP), que registra información crítica sobre la interdependencia de la infraestructura de los Estados Unidos y la Herramienta de Evaluación de la Seguridad Química (CSAT), que almacena los planes de seguridad de plantas químicas del sector privado.

La agencia norteamericana recuerda que contar con un plan de respuesta a incidentes es crucial para la resiliencia y que cualquier organización puede ser víctima de una situación como la que han sufrido en esta ocasión en su propia infraestructura.

Se desconoce quién ha estado detrás de este ataque y si se ha visto expuesta información sensible de los sistemas afectados. Las vulnerabilidades explotadas parecen ser las mencionadas en un boletín que la propia agencia publicó a finales de febrero.

En él se detalla que una herramienta proporcionada por Ivanti para comprobar la integridad de sus sistemas podía ser evadida por los atacantes, proporcionando por tanto falsos negativos al evaluar si los dispositivos habían sido comprometidos.

Los CVE sobre los que se pone el foco son CVE-2023–46805, CVE-2024–21887 y CVE-2024–21893, que afectan a los gateway de Connect Secure y Policy Secure. CISA advierte de que equipos vulnerados podrían estar infectados con rootkits que permitirían a los atacantes establecer persistencia a nivel de root incluso tras un reset de fábrica.

Ya en enero, en una decisión sin precedentes, la agencia publicó una directiva de emergencia instando a todas las demás entidades gubernamentales a cumplir un estricto plazo para desconectar de la red dispositivos de Ivanti vulnerables.

Esta fue complementada más adelante con el procedimiento a seguir para volver a integrar los equipos en el sistema de forma segura.

Fuentes e información adicional:

• https://therecord.media/cisa-takes-two-systems-offline-following-ivanti-compromise
• https://www.bleepingcomputer.com/news/security/cisa-cautions-against-using-hacked-ivanti-vpn-gateways-even-after-factory-resets/
• https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060b
• https://www.malwarebytes.com/blog/news/2024/02/cisa-disconnect-vulnerable-ivanti-products-today
• https://nvd.nist.gov/vuln/detail/CVE-2023-46805
• https://nvd.nist.gov/vuln/detail/CVE-2024-21887
• https://nvd.nist.gov/vuln/detail/CVE-2024-21893