Vulnerabilidades Ivanti Connect Secure: CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 y CVE-2024-21893
Se han descubierto cuatro vulnerabilidades que afectan a todos los productos de Ivanti Connect Secure (ICS) y Policy Secure gateways, los cuales pueden permitirle a un atacante hacer un bypass de autenticación, realizar inyección de comandos, escalar los privilegios, y acceder a recursos restringidos sin autenticarse. Las primeras dos vulnerabilidades que se presentarán en este boletín ya habían sido anunciadas por Ivanti el 10 de enero de 2024, sin embargo, el 31 de enero Ivanti lanzó otro aviso sobre las otras últimas dos. Ivanti ya se encuentra lanzando parches para cada una de las versiones, a través de un cronograma que se presentará en este boletín. Las vulnerabilidades mencionadas son CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 y CVE-2024-21893.
Ivanti Connect Secure es una de las soluciones de VPN SSL más utilizadas por organizaciones de todas las industrias debido a que es fácil de usar, tiene una interfaz de usuario sencilla y, según Ivanti, mantiene de manera efectiva la confidencialidad de los datos. Por otro lado, Ivanti Policy Secure es una solución de red de control de accesos (NAC, por sus siglas en inglés), que le provee acceso a la red solo a los usuarios y dispositivos seguros y autorizados.
Vulnerabilidades
- CVE-2023-46805: Es un bypass de autenticación en el componente web de puertas de enlace, tiene una puntuación de CVSS de 8.2, y le permite a los atacantes acceder a recursos restringidos eludiendo los controles de acceso.
- CVE-2024-21887: Es una vulnerabilidad de inyección de comandos que le permite a administradores autenticados ejecutar comandos arbitrarios en dispositivos vulnerables mediante el envío de solicitudes especialmente diseñadas, tiene una puntuación de CVSS de 9.1.
- CVE-2024-21888: Es una vulnerabilidad de escalación de privilegios en el componente web que puede permitirle a un usuario elevar sus privilegios al de un administrador, tiene una puntuación CVSS de 8.8.
- CVE-2024-21893: Es una vulnerabilidad de falsificación de solicitudes del lado del servidor en el componente SAML, que puede permitirle a un atacante acceder a ciertos recursos restringidos sin autorización, tiene una puntuación CVSS de 8.2.
Los productos afectados son todas las versiones compatibles de Ivanti Connect Secure (ICS) y Policy Secure. El cronograma que publicó Ivanti para la disponilidades de los parches por versión se muestra a continuación.
| Versión | Producto | Semana del parche |
| 9.1R14x | Ivanti Connect Secure | Semana del 29 de enero |
| 9.1R15x | Ivanti Connect Secure | Semana del 12 de febrero |
| 9.1R16x | Ivanti Connect Secure | Semana del 29 de enero |
| 9.1R17x | Ivanti Connect Secure | Semana del 22 de enero |
| 9.1R18x | Ivanti Connect Secure | Semana del 22 de enero |
| 22.1R6x | Ivanti Connect Secure | Semana del 19 de febrero |
| 22.2R4x | Ivanti Connect Secure | Semana del 12 de febrero |
| 22.3R1x | Ivanti Connect Secure | Semana del 29 de enero |
| 22.4R1x | Ivanti Connect Secure | Semana del 12 de febrero |
| 22.4R2x | Ivanti Connect Secure | Semana del 22 de enero |
| 22.5R1x | Ivanti Connect Secure | Semana del 22 de enero |
| 22.5R2x | Ivanti Connect Secure | Semana del 19 de febrero |
| 22.6R1x | Ivanti Connect Secure | Semana del 12 de febrero |
| 22.6R2x | Ivanti Connect Secure | Semana del 29 de enero |
| 22.5R1x | ZTA | Semana del 29 de enero |
| 22.6R1x | ZTA | Semana del 22 de enero |
Los parches para las versiones que estaban programadas en la semana del 22 de enero ya han sido publicados. El método para obtenerlos, dependiendo la versión, se muestra a continuación
| Producto | Versión del producto | Método para obtener el parche |
| Ivanti Connect Secure | 9.1R18.3 | Descargar ICS9.1R18.3_package-24995.1.pkg |
| Ivanti Connect Secure | 22.4R2.2 | Descargar ICS22.4R2.2package-2149.1.pkg |
| Ivanti Connect Secure | 22.5R1.1 | Descargar ICS22.5R1.1package-2175.1.pkg |
| Ivanti Connect Secure | 9.1R14.4 | Contactar a Ivanti Support |
| Ivanti Connect Secure | 9.1R17.2 | Contactar a Ivanti Support |
| Ivanti ZTA | 22.6R1.3 | Contactar a Ivanti Support |
Recomendaciones
- Actualizar los dispositivos a alguna de las versiones que parchan las vunerabilidades.
- Mantener políticas de control de accesos robustas.
- Limitar estrictamente el uso de RDP.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad o backups constantemente.
- Revisar continuamente los privilegios de los usuarios.
Referencias
- https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
- https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887?language=en_US
- https://cert.europa.eu/publications/security-advisories/2024-004/
- https://www.bleepingcomputer.com/news/security/ivanti-warns-of-connect-secure-zero-days-exploited-in-attacks/
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-ivanti#:~:text=x%20e%20Ivanti%20Policy%20Secure%20permite,eludiendo%20las%20comprobaciones%20de%20control.
- https://www.ivanti.com/es/products/connect-secure-vpn
