Ivanti ha lanzado actualizaciones de seguridad para abordar vulnerabilidades críticas, identificadas como CVE-2025-0282 y CVE-2025-0283, en sus productos Ivanti Connect Secure, Policy Secure y ZTA Gateways. La vulnerabilidad CVE-2025-0282 permite a un actor malintencionado tomar control de un sistema afectado, lo que ha llevado a la CISA (Agencia de Seguridad Cibernética e Infraestructura de EE. UU.) a añadirla a su catálogo de vulnerabilidades explotadas conocidas, basándose en evidencia de explotación activa.
En respuesta, CISA ha instado a las organizaciones a investigar cualquier actividad maliciosa asociada con estos sistemas. Se recomienda a las entidades que sigan ciertos procedimientos para asegurar sus dispositivos. Las siguientes directrices se presentan para la caza de amenazas y la respuesta a incidentes:
Búsqueda de amenazas:
-
Ejecutar la herramienta de verificación de integridad incorporada (TIC): Las organizaciones deben encontrar instrucciones sobre cómo usar esta herramienta para verificar si su sistema ha sido comprometido.
- Acciones de búsqueda de amenazas: Se debe investigar cualquier sistema que haya estado conectado o que se haya conectado recientemente al dispositivo Ivanti afectado.
Respuesta si no se determina un compromiso:
-
Restablecer valores de fábrica: Si no se detectan compromisos después de la búsqueda, se debe restablecer el dispositivo a sus valores de fábrica y aplicar los parches disponibles en el aviso de seguridad proporcionado por Ivanti.
- Monitoreo continuo: Las organizaciones deben seguir monitoreando los servicios de autenticación y gestión de identidad que podrían estar expuestos. Además, es crucial auditar cuentas con privilegios elevados regularmente.
Si se determina que hubo un compromiso:
-
Informar inmediatamente: Se debe notificar a CISA e Ivanti para iniciar las investigaciones forenses y actividades de respuesta a incidentes.
-
Desconectar productos afectados: Las instancias de los productos Ivanti Connect Secure comprometidos deben ser desconectadas para evitar mayores riesgos.
-
Aislar sistemas: Aislar los sistemas afectados de cualquier recurso empresarial es esencial.
- Revocación de credenciales: Espera un proceso integral de revocación y reemisión de certificados, claves y contraseñas expuestas. Esto incluye:
- Restablecimiento de la contraseña de administrador.
- Restablecimiento de claves almacenadas de la API.
- Cambio de contraseñas de cuentas de usuario locales y de servicio utilizadas en la configuración del servidor.
Si las cuentas de dominio están comprometidas:
-
Cambios de credenciales adicionales: Deben restablecerse las contraseñas para cuentas locales, revocarse tickets de Kerberos y revocarse tokens de cuentas en la nube si las instalaciones son híbridas.
- Desactivación en la nube: Para dispositivos registrados en la nube, se deben desactivar para revocar los tokens asociados.
Restauración y prevención:
Después de completar la investigación y resolución de incidentes, las organizaciones deben asegurarse de parchar completamente el sistema y restaurarlo a su funcionamiento normal.
Es fundamental que las organizaciones informen a CISA sobre cualquier incidente o actividad anómala. CISA cuenta con un equipo de operaciones disponible las 24 horas, los 7 días de la semana, y las entidades pueden comunicarse a través de Report@cisa.gov o llamando al (888) 282-0870. Al informar un incidente, se deben incluir detalles como la fecha y hora del evento, tipo de actividad, número de afectados, tipo de equipo empleado, nombre de la organización afectada, y un contacto designado.
En resumen, las organizaciones que utilizan los productos Ivanti Connect Secure, Policy Secure y ZTA Gateways deben actuar con rapidez para mitigar el riesgo asociado a estas vulnerabilidades críticas y seguir las directrices de CISA para proteger su infraestructura de TI.