​El artículo de Fortinet analiza un incidente en el que un adversario avanzado, posiblemente respaldado por un Estado nación, explotó múltiples vulnerabilidades de día cero en el Ivanti Cloud Services Appliance (CSA). Estas vulnerabilidades permitieron al atacante obtener acceso no autorizado y potencialmente comprometer redes enteras.​

Detalles clave del incidente:

• Vulnerabilidades explotadas:

  • CVE-2024-8190: Vulnerabilidad de inyección de comandos autenticada en el recurso DateTimeTab.php del CSA.​
  • CVE-2024-8963: Vulnerabilidad de recorrido de directorios en client/index.php, que permitió acceso no autorizado a otros recursos.​
  • CVE-2024-9380: Vulnerabilidad de inyección de comandos en reports.php.

• Cronología del ataque:

  • El 9 de septiembre de 2024, se detectó comunicación maliciosa desde sistemas internos hacia una IP sospechosa.​
  • El 10 de septiembre, Ivanti publicó una advertencia sobre la vulnerabilidad CVE-2024-8190.​
  • El 13 de septiembre, se observó explotación activa de esta vulnerabilidad en entornos reales.​
  • El 19 de septiembre, Ivanti divulgó la vulnerabilidad CVE-2024-8963.​
  • El 8 de octubre, se reveló la vulnerabilidad CVE-2024-9380.​

Recomendaciones:

• Actualizaciones de seguridad: Aplicar inmediatamente los parches proporcionados por Ivanti para mitigar estas vulnerabilidades.​
• Monitoreo de red: Implementar soluciones de seguridad que detecten actividades sospechosas y posibles explotaciones de vulnerabilidades conocidas y desconocidas.​
• Revisión de configuraciones: Asegurar que las configuraciones de los dispositivos sean seguras y limitar el acceso a interfaces críticas.​

Este incidente destaca la sofisticación de los atacantes y la importancia de una postura de seguridad proactiva para proteger infraestructuras críticas.