Un nuevo aviso de seguridad
[Actualización 15/02/2024] Múltiples vulnerabilidades en productos Ivanti
- Ivanti ICS 9.x, 22.x e Ivanti Policy Secure
- Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure
[Actualización 09/02/2024]
- Ivanti Connect Secure (versiones 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 y 22.5R1.1).
- Ivanti Policy Secure versión 22.5R1.1.
- ZTA versión 22.6R1.3.
Ivanti ha publicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, afectan potencialmente a cualquier empresa o usuario que esté utilizando los productos afectados, las cuales están siendo explotadas desde diciembre de 2023.
[Actualización 09/02/2024]
Como parte de la investigación en curso sobre las vulnerabilidades por parte de Ivanti, que afectan a las pasarelas Ivanti Connect Secure, Ivanti Policy Secure y ZTA, han descubierto una nueva vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante acceder a determinados recursos restringidos sin autenticación.
Ivanti informa que los parches para los afectados se publicarán de forma escalonada, indicando que la primera versión estará disponible para los clientes la semana del 22 de enero, mientras que la última versión estará disponible para mediados/finales de febrero. El fabricante indica que estas fechas están sujetas a cambios, ya que priorizan la seguridad y calidad de cada versión.
Para conocer las medidas de mitigación y más información sobre este caso puedes consultar este artículo.
[Actualización 09/02/2024]
Ya está disponible un parche para los productos afectados. Se recomienda actualizar a las siguientes versiones:
- Ivanti Connect Secure: versiones 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3 y 22. 6R2.2.
- Ivanti Policy Secure: versiones 9.1R17.3, 9.1R18.4 y 22.5R1.2.
- Pasarelas ZTA: versiones 22.5R1.6, 22.6R1.5 y 22.6R1.7.
[Actualización 15/02/2024]
Ya está disponible un parche para los productos afectados. Se recomienda actualizar a las siguientes versiones:
- Ivanti Connect Secure: versiones 9.1R15.3, 9.1R16.3, 22.1R6.1, 22.2R4.1, 22.3R1.1 y 22.4R1.1.
- Ivanti Policy Secure: versiones 9.1R16.3, 22.4R1.1 y 22.6R1.1.
- La vulnerabilidad CVE-2023-46805 de omisión de autenticación en el componente web de Ivanti ICS 9.x, 22.x e Ivanti Policy Secure permite a un atacante remoto acceder a recursos restringidos eludiendo las comprobaciones de control.
- La vulnerabilidad CVE-2024-21887 de comandos en componentes web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo.
Las puertas de enlace Ivanti Neurons for ZTA no se pueden explotar cuando están en producción. Si se genera una puerta de enlace para esta solución y se deja desconectada de un controlador ZTA, existe el riesgo de explotación de la puerta de enlace generada. Ivanti Neurons for Secure Access no es vulnerable a estos CVE; sin embargo, las puertas de enlace que se gestionan son vulnerables de forma independiente a estos CVE.
[Actualización 09/02/2024]
- La vulnerabilidad CVE-2024-22024 de entidad externa XML o XXE en el componente SAML de las pasarelas Ivanti Connect Secure (9.x, 22.x), Ivanti Policy Secure (9.x, 22.x) y ZTA que permite a un atacante acceder a determinados recursos restringidos sin autenticación.
[Actualización 15/02/2024] Actualizaciones de seguridad de Microsoft de febrero de 2024
- .NET
- Azure Active Directory
- Azure Connected Machine Agent
- Azure DevOps
- Azure File Sync
- Azure Site Recovery
- Azure Stack
- Internet Shortcut Files
- Microsoft ActiveX
- Microsoft Azure Kubernetes Service
- Microsoft Defender for Endpoint
- Microsoft Dynamics
- Microsoft Edge (Chromium-based)
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Office OneNote
- Microsoft Office Outlook
- Microsoft Office Word
- Microsoft Teams for Android
- Microsoft WDAC ODBC Driver
- Microsoft WDAC OLE DB provider for SQL
- Microsoft Windows
- Microsoft Windows DNS
- Role: DNS Server
- Skype for Business
- SQL Server
- Trusted Compute Base
- Windows Hyper-V
- Windows Internet Connection Sharing (ICS)
- Windows Kernel
- Windows LDAP - Lightweight Directory Access Protocol
- Windows Message Queuing
- Windows OLE
- Windows SmartScreen
- Windows USB Serial Driver
- Windows Win32K - ICOMP
La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 14 de febrero, consta de 73 vulnerabilidades (con CVE asignado), calificadas 6 como críticas, 52 como importantes, 13 como medias, y 2 como bajas.
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- denegación de servicio,
- elevación de privilegios,
- divulgación de información,
- ejecución remota de código,
- suplantación de identidad (spoofing).
Los códigos CVE asignados a las vulnerabilidades reportadas pueden consultarse en las referencias.
[Actualización 15/02/2024]
Microsoft ha reportado la explotación activa de las siguientes vulnerabilidades:
- CVE-2024-21410: escalada de privilegios en Microsoft Exchange Server con la que un atacante remoto podría apuntar a un cliente NTLM como Outlook con una vulnerabilidad del tipo de fuga de credenciales. Las credenciales filtradas podrían ser utilizadas para suplantar al cliente y realizar operaciones en su nombre como acceder al servidor y obtener privilegios.
- CVE-2024-21412: omisión de característica de seguridad en Microsoft Defender SmartScreen. Un atacante remoto podría engañar a la víctima para que haga clic en un archivo de acceso directo malicioso y ejecutar código arbitrario en el sistema. El grupo APT Water Hydra ha estado explotando esta vulnerabilidad en sus campañas dirigidas a los operadores de los mercados financieros.
- CVE-2024-21351: validación de entrada inadecuada al gestionar archivos descargados de Internet detectada en Windows SmartScreen. Un atacante remoto podría eludir la función de protección SmartScreen y engañar a la víctima para que ejecute archivos dañinos en el sistema.
Múltiples vulnerabilidades en CMS Made Simple
- CMS Made Simple, versión 2.2.14.
INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad crítica que afectan a CMS Made Simple, un sistema de gestión de contenidos (CMS) gratuito y de código abierto (GPL), las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad.
- CVE-2024-1527: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-434
- CVE-2024-1528: 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CWE-79
- CVE-2024-1529: 7.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N | CWE-79
No hay solución reportada por el momento.
- CVE-2024-1527: vulnerabilidad de carga de archivos sin restricciones en CMS Made Simple, que afecta a la versión 2.2.14. Esta vulnerabilidad permite a un usuario autenticado saltarse las medidas de seguridad de la funcionalidad de subida y potencialmente crear una ejecución remota de comandos vía webshell.
- CVE-2024-1528: CMS Made Simple versión 2.2.14, no codifica suficientemente las entradas controladas por el usuario, lo que resulta en una vulnerabilidad de Cross-Site Scripting (XSS) a través del /incibe-cert/tags/moduleinterface.php, en múltiples parámetros. Esta vulnerabilidad podría permitir a un atacante remoto enviar una carga útil JavaScript especialmente diseñada a un usuario autenticado y tomar parcialmente su sesión de navegador.
- CVE-2024-1529: vulnerabilidad en CMS Made Simple 2.2.14, que no codifica suficientemente las entradas controladas por el usuario, lo que resulta en una vulnerabilidad de Cross-Site Scripting (XSS) a través del /incibe-cert/tags/adduser.php, en múltiples parámetros. Esta vulnerabilidad podría permitir a un atacante remoto enviar una carga útil JavaScript especialmente diseñada a un usuario autenticado y tomar parcialmente su sesión de navegador.