Ivanti soluciona nuevas vulnerabilidades y promete hacerlo mejor en el futuro

Carta abierta de su CEO que coincide con la publicación de cuatro nuevos problemas de seguridad en Connect Secure y Policy Secure

Las vulnerabilidades descubiertas afectan a todas las versiones de Ivanti Connect Secure y Policy Secure que siguen recibiendo soporte. Su criticidad va desde los 8.2 a los 5.3 puntos en la escala CVSS.

El CVE-2024–21894 es una vulnerabilidad de tipo heap overflow en el componente IPSec de ambos dispositivos. Esta permitiría a una atacante no autenticado causar una denegación de servicio y, en determinadas condiciones que no se especifican, la ejecución de código arbitrario.

Del mismo tipo y afectando al mismo componente, el CVE-2024–22053 permitiría también mediante peticiones manipuladas causar DoS y posibilitar la lectura de secciones de memoria de los dispositivos. Esta y la anterior vulnerabilidad tienen una criticidad de 8.2 CVSS.

Con el CVE-2024–22052 se cataloga otro error en el componente IPSec, en este caso se podría forzar un acceso a memoria no válida al des-referenciar un puntero sin que el software maneje la excepción, causando por tanto una denegación de servicio. Su valoración CVSS es de 7.5 puntos.

De menor criticidad, 5.3, es un problema encontrado en el componente SAML. Este CVE-2024–22023 podría provocar una interrupción temporal en el funcionamiento del dispositivo agotando los recursos del sistema al explotar una expansión recursiva de XML no controlada.

Según indica Ivanti, no se tiene constancia de que estos fallos de seguridad estén siendo activamente explotados. Pero en los últimos tiempos son múltiples las organizaciones, incluidas algunas del gobierno de los Estados Unidos, que se han visto afectadas por vulnerabilidades en las soluciones de esta compañía.

En una carta abierta publicada en el blog de Ivanti su CEO, Jeff Abbot, habla de que, aunque su objetivo es proporcionar las soluciones más seguras para trabajar tanto desde casa como en la oficina, los últimos meses han supuesto un baño de humildad para la compañía.

Vamos a usar esta oportunidad para comenzar una nueva era. Nos hemos puesto el reto de examinar críticamente cada fase de nuestros procesos, todos los productos, para asegurar el máximo nivel de protección para nuestros clientes. Ya se han comenzado a aplicar algunas de las lecciones aprendidas tras los incidentes recientes para hacer mejoras inmediatas en nuestras prácticas de ingeniería y seguridad.

La compañía afirma que están comprometidos a aplicar un profundo cambio que transforme su modelo de operaciones de seguridad, basado en cuatro puntos fundamentales:

1. Remodelar el núcleo de ingeniería, implementar prácticas de seguridad y gestión de vulnerabilidades para una mayor fortificación de sus productos, y dotar a sus clientes de los recursos necesarios para desplegarlos de forma segura.
2. Partir de una metodología de seguridad por diseño en todos los productos, con la seguridad siendo el factor clave en todas las etapas del ciclo de desarrollo software.
3. Formalizar alianzas con agencias clave de ciberdefensa para asegurarse de que los productos de Ivanti y las lecciones aprendidas al crearlos contribuyan a una mejora en el ecosistema de la seguridad en su conjunto.
4. Compartir información y aprender de los usuarios. Solicitar de forma activa feedback para asegurarse de que se cumplen sus necesidades.

Esperemos que este nuevo enfoque termine con los sucesivos problemas de seguridad que se han encontrado en los últimos meses en sus productos y que han afectado a tantos usuarios y a la propia reputación de la compañía, hasta el punto de tener que publicar esta carta abierta.

Fuentes y más información:

• https://forums.ivanti.com/s/article/SA-CVE-2024-21894-Heap-Overflow-CVE-2024-22052-Null-Pointer-Dereference-CVE-2024-22053-Heap-Overflow-and-CVE-2024-22023-XML-entity-expansion-or-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
• https://www.ivanti.com/blog/our-commitment-to-security-an-open-letter-from-ivanti-ceo-jeff-abbott
• https://thehackernews.com/2024/04/ivanti-rushes-patches-for-4-new-flaw-in.html
• https://therecord.media/ivanti-security-overhaul-ceo-jeff-abbott
• https://www.bleepingcomputer.com/news/security/ivanti-warns-of-connect-secure-zero-days-exploited-in-attacks/
• https://casi-cincuenta-monos.medium.com/cisa-afectada-por-vulnerabilidades-de-ivanti-649a899a233e