Puntos Clave
- Ivanti publicó una herramienta externa Integrity Checker Tool actualizada que crea instantáneas sin cifrar de todos los archivos del dispositivo, lo que permite a los clientes detectar cambios en los archivos sin asistencia del soporte técnico.
- Los clientes que hayan aplicado parches y realizado un restablecimiento de fábrica de hardware, o que hayan implementado una nueva compilación de dispositivo virtual, deben ejecutar tanto la ICT interna como la ICT externa actualizada y mantener la supervisión continua.
- Los dispositivos virtuales que no se hayan restablecido deben instalar una nueva compilación en lugar de utilizar un restablecimiento de fábrica.
- No se ha observado ningún nuevo CVE ni persistencia satisfactoria. La técnica basada en laboratorio de CISA no es eficaz en entornos en producción, y la ICT sigue siendo una herramienta de detección complementaria eficaz.
Actualizado para incluir información sobre el aviso de CISA del 29 de febrero, que incluye hallazgos técnicos observados en el laboratorio de CISA que no se han visto en entornos reales ni se cree que sean posibles en un entorno de cliente en producción. CISA y los demás organismos gubernamentales recomiendan que los defensores ejecuten la herramienta externa Integrity Checker Tool (ICT) actualizada de Ivanti, publicada el 27 de febrero.
Como parte de nuestra exhaustiva investigación sobre el reciente ataque contra nuestros clientes, Ivanti y Mandiant han publicado hoy sus conclusiones sobre la evolución de las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas. Estos hallazgos se identificaron en el análisis en curso de las vulnerabilidades divulgadas anteriormente que afectan a las pasarelas Ivanti Connect Secure, Policy Secure y ZTA, e incluyen posibles técnicas de persistencia que estamos supervisando, aunque hasta la fecha no se han implementado correctamente en entornos reales.
Es importante destacar que esto no es un nuevo CVE, y que ni nosotros ni nuestros socios de seguridad y gubernamentales tenemos ningún conocimiento de casos de persistencia satisfactoria por parte de actores de amenazas tras la implementación de actualizaciones de seguridad y restablecimientos de fábrica. Sin embargo, dada la naturaleza agresiva del ataque, estamos proporcionando información relevante a los clientes para que puedan adoptar medidas para supervisarse y protegerse aún más frente a esta amenaza altamente sofisticada.
Ivanti va a publicar una nueva mejora de la herramienta externa Integrity Checker Tool (ICT), que proporciona visibilidad adicional sobre el dispositivo de un cliente y todos los archivos presentes en el sistema. La ICT externa mejorada ya no requerirá asistencia del soporte técnico para descifrar las instantáneas de los clientes. Cuando se encuentren archivos nuevos o modificados, la ICT externa proporcionará ahora a los clientes una instantánea sin cifrar para que puedan revisarla. Las instrucciones para ver el contenido de la instantánea se encuentran en este artículo de la base de conocimientos (requiere inicio de sesión) y la referencia para interpretar las instantáneas se encuentra en este artículo. Como recordatorio, la ICT es una instantánea en un momento dado de los archivos presentes en el dispositivo. Puede detectar cambios en estos binarios para señalar indicadores de compromiso. Es una capa adicional de seguridad para nuestros clientes y siempre está pensada para utilizarse junto con herramientas de supervisión continua.
Ivanti también ha actualizado sus recomendaciones para dispositivos virtuales en el artículo de la base de conocimientos. Estas nuevas instrucciones solo se aplican a los clientes que utilizan dispositivos virtuales que no habían completado previamente un restablecimiento de fábrica correcto, ni implementado una nueva compilación y aplicado parches a su dispositivo.
Ivanti recomienda que los clientes realicen las siguientes acciones:
- Para los clientes que ya hayan completado correctamente un restablecimiento de fábrica y hayan aplicado parches a sus dispositivos, la única acción necesaria es seguir ejecutando la ICT interna y la ICT externa actualizada , junto con la supervisión continua, que debe actualizarse para reflejar estas técnicas en evolución.
- Para los clientes que utilizan dispositivos virtuales que no hayan completado un restablecimiento de fábrica, ni implementado una nueva compilación y aplicado parches a su dispositivo, Ivanti recomienda ahora implementar una nueva compilación de Ivanti Connect Secure en lugar de ejecutar un restablecimiento de fábrica. El motivo es que los restablecimientos de fábrica de dispositivos virtuales no han sido siempre satisfactorios, por lo que hemos actualizado las instrucciones recomendadas.
- De nuevo, si anteriormente siguió las instrucciones de Ivanti y obtuvo un análisis ICT limpio, no necesita completar ningún restablecimiento de fábrica adicional ni implementar una nueva compilación (para dispositivos virtuales).
Los clientes pueden acceder a la información de corrección más actualizada en este blog y en el artículo de la base de conocimientos, blog de preguntas frecuentes y el artículo de la base de conocimientos de recuperación. Seguiremos actualizando activamente estos documentos a medida que haya nueva información disponible.
Si un cliente experimenta algún problema al corregir las vulnerabilidades divulgadas anteriormente, nuestro equipo de soporte sigue estando disponible para ayudarle.
Los clientes de Ivanti deben revisar el blog publicado por Mandiant en el que se describen TTP adicionales y observaciones relativas al intento infructuoso de lograr persistencia mediante restablecimiento de fábrica que observaron.
Actualización: CISA y otros organismos gubernamentales han publicado un aviso conjunto el 29 de febrero que recopila investigaciones anteriores, incluidos los hallazgos publicados por Ivanti y Mandiant el 27 de febrero y una posible técnica de persistencia desarrollada en el laboratorio técnico de CISA. Es importante señalar que este hallazgo basado en laboratorio no ha sido observado por CISA, Ivanti ni Mandiant en entornos reales y que, según las pruebas presentadas y el análisis adicional realizado por nuestro equipo, creemos que si un actor de amenazas intentara llevarlo a cabo de forma remota perdería la conexión con Ivanti Connect Secure y no lograría persistencia en un entorno de cliente en producción. Además, los clientes que hayan aplicado parches y ejecutado correctamente un restablecimiento de fábrica (hardware) o implementado una nueva compilación (virtual) no estarían en riesgo por la actividad descrita en el informe de CISA.
Ivanti, Mandiant y CISA recomendaron utilizar la ICT externa actualizada para ayudar a detectar vectores de ataque conocidos y archivos adicionales o modificados. Como ha destacado Ivanti, se trata de una herramienta de seguridad útil e informativa dentro de su arsenal, que complementa otras herramientas de seguridad y supervisión. Nuestra recomendación sigue siendo que utilice la ICT actualizada junto con la supervisión continua.
Seguimos revisando de forma intensiva los riesgos y la evolución de las técnicas de los actores de amenazas. Cuando se produzcan nuevos hallazgos, trabajaremos con rapidez para proporcionar información en beneficio de nuestros clientes y publicar correcciones o mejorar nuestra ICT si procede. Seguimos colaborando activamente con nuestros socios de seguridad y gubernamentales con este fin.
Nos tomamos muy en serio la seguridad de nuestros clientes y estamos comprometidos con la aplicación de procesos y protocolos de seguridad reforzados para que nuestros productos sigan siendo seguros frente a las amenazas cada vez más agresivas a las que se enfrentan nuestros clientes y sus sectores.
Preguntas frecuentes clave
¿Deben realizar los clientes alguna acción tras los avisos del 27 y el 29 de febrero?
Para los clientes que ya hayan completado correctamente un restablecimiento de fábrica (hardware) o implementado una nueva compilación (virtual) y hayan aplicado parches a sus dispositivos, la única acción necesaria es seguir las indicaciones de Ivanti y Mandiant para ejecutar la ICT interna y la ICT externa actualizada, junto con la supervisión continua, que debe actualizarse para reflejar estas técnicas en evolución.
Ivanti y nuestros socios de seguridad no tienen conocimiento de ningún caso de persistencia satisfactoria por parte de actores de amenazas tras la implementación de las actualizaciones de seguridad y los restablecimientos de fábrica (hardware)/nueva compilación (virtual) recomendados por Ivanti.
Para los clientes que aún no hayan aplicado los parches, deben seguir de inmediato las instrucciones proporcionadas en el artículo de la base de conocimientos.
De nuevo, si anteriormente siguió las instrucciones de Ivanti y sigue obteniendo un análisis ICT limpio, no necesita completar ningún restablecimiento de fábrica adicional ni implementar una nueva compilación (para dispositivos virtuales).
¿Es Integrity Checker Tool una herramienta eficaz para los clientes?
Sí. Ivanti, Mandiant y CISA recomendaron utilizar la ICT externa actualizada, que ayuda a detectar vectores de ataque conocidos, archivos modificados y archivos adicionales, y que debe utilizarse junto con la supervisión continua. La ICT es eficaz para determinar si ha quedado algún elemento malicioso en función de vectores de ataque conocidos.
Como ha destacado Ivanti, la ICT es una herramienta de seguridad importante e informativa dentro de su arsenal, que debe aprovecharse junto con otras herramientas. La supervisión continua sigue siendo importante para detectar posibles amenazas, ya que la ICT está diseñada intencionadamente como una instantánea del estado actual del dispositivo y no necesariamente puede detectar actividad de actores de amenazas si el dispositivo se ha devuelto a un estado limpio. Deben utilizarse otras herramientas de seguridad para supervisar los cambios realizados entre análisis, así como malware y otros indicadores de compromiso (IoC).
La ICT está diseñada para centrarse específicamente en la actividad de amenazas conocida que los actores de amenazas están implementando en entornos reales. Esto maximiza los resultados significativos para los clientes y minimiza los falsos positivos, y Mandiant la ha validado en su blog como una herramienta eficaz. Otras herramientas estándar de supervisión de seguridad están diseñadas para detectar otra actividad.
¿Existe una nueva vulnerabilidad o compromiso que no se hubiera divulgado anteriormente?
No, no hay un nuevo CVE. Ivanti y nuestros socios de seguridad y gubernamentales no tienen conocimiento de ningún caso de persistencia satisfactoria por parte de actores de amenazas tras la implementación de actualizaciones de seguridad y restablecimientos de fábrica.
La nueva actividad descrita por Ivanti, Mandiant y CISA se refiere a intentos limitados observados de mantener la persistencia mediante restablecimiento de fábrica que no tuvieron éxito, y a una posible técnica basada en laboratorio desarrollada por CISA que consideran que podría utilizarse para intentar lograr persistencia. Ninguna de ellas se ha utilizado con éxito en entornos reales.
Es importante señalar que, según las pruebas presentadas y el análisis adicional realizado por nuestro equipo, creemos que la técnica identificada por CISA en su laboratorio técnico no permitiría a un actor de amenazas lograr correctamente una persistencia no detectada en un entorno de cliente en producción.
¿Por qué concluyó Ivanti que la técnica identificada por CISA en su laboratorio técnico no podría permitir una persistencia satisfactoria en un entorno de cliente en producción?
Ivanti y sus expertos externos en seguridad evaluaron los hallazgos técnicos de CISA y determinaron que, si se implementara en un entorno de cliente real sin parchear, se perdería la conexión con Ivanti Connect Secure, por lo que no podría realizarse de forma remota. Por tanto, creemos que este riesgo de persistencia no es válido en una implementación real de cliente.
Si la persistencia no tuvo éxito, ¿por qué Ivanti y Mandiant publicaron esta información?
El 27 de febrero publicamos información relevante sobre la evolución de las técnicas de los actores de amenazas que estamos supervisando, para que los defensores puedan tomar medidas destinadas a protegerse mejor frente a un ataque altamente sofisticado y agresivo. Los clientes pueden incorporar esta información a su propia supervisión continua, aunque hasta la fecha estas técnicas no se han implementado correctamente en entornos reales.
Nos comprometemos a proporcionar información y herramientas para garantizar que nuestros clientes estén protegidos, y seguimos colaborando con nuestros socios de seguridad y gubernamentales con este fin.
¿Recomienda CISA que los clientes de Ivanti desconecten sus máquinas?
CISA nunca ha indicado a las organizaciones que retiren permanentemente los sistemas Ivanti de producción. La directiva original de CISA para las agencias federales fue malinterpretada por medios de comunicación que solo informaron sobre el primer paso de las instrucciones. CISA actualizó su directiva para corregirlo y, posteriormente, volvió a actualizarla el 9 de febrero para dejar absolutamente claro que se puede encender el producto después de aplicar los parches.
El aviso de CISA del 29 de febrero recopila investigaciones anteriores, así como una técnica basada en laboratorio que consideran que podría utilizarse para intentar lograr persistencia, y aconseja a los clientes que sean conscientes de los riesgos. Es importante señalar que no creemos que la actividad descrita en el informe de CISA pudiera llevarse a cabo de forma remota.
¿Por qué el producto Ivanti Connect Secure incluye versiones antiguas de paquetes de código abierto?
El hardware de la versión 9.x del producto no tiene suficiente CPU para ejecutar un kernel de Linux más reciente y, por tanto, las limitaciones del kernel requieren el uso de paquetes de código abierto más antiguos. El producto no es vulnerable a estos paquetes de código abierto más antiguos, ya que hemos incorporado correcciones de seguridad mediante backporting. En el caso del informe de CISA, el número de versión no es una indicación real del paquete binario ni de si es vulnerable, puesto que aplicar las correcciones de seguridad mediante backporting no cambia el número de versión del paquete binario.
Todas las versiones compatibles de Ivanti Connect Secure están certificadas por The National Information Assurance Partnership (NIAP), y lo han estado durante aproximadamente 20 años. Esta validación acredita que los productos cumplen los requisitos de seguridad para la adquisición de sistemas de seguridad nacional de EE. UU.
La versión 22.x más reciente de Ivanti Connect Secure se basa en un nuevo kernel de Linux que sí requiere una CPU más potente y, por ello, hemos introducido una nueva plataforma, ISA, que no incluye las versiones antiguas de los paquetes de código abierto y permite mejoras de seguridad adicionales.
En julio de 2022 publicamos oficialmente una notificación de fin de vida útil para el producto de hardware y software 9.x. Estamos trabajando activamente con nuestros clientes para actualizar sus dispositivos a 22.x o migrar a la nube con Ivanti Neurons for Zero Trust Access.
Todo el código presente en los productos de Ivanti, incluido el código abierto más antiguo de 9.x, está claramente detallado en nuestras atribuciones y SBOM, disponibles en la documentación del producto disponible en ivanti.com.
Puede leer las respuestas a todas las preguntas más frecuentes aquí.