Cabecera blog ciberseguridad

CVE-2024-22024: Vulnerabilidad XXE que afecta a productos Ivanti

- Unidad S.T.A².R.S

La CVE-2024-22024 afecta a dos software que permiten conectar dispositivos a redes VPN

La CVE-2024-22024 es una vulnerabilidad XML External Entity (XXE) que permite a un atacante remoto acceder a ficheros internos

Se ha revelado información acerca de CVE-2024-22024, una nueva vulnerabilidad alta que afecta al software Ivanti Connect Secure y Ivanti Policy Secure, utilizados para conectar dispositivos a redes privadas virtuales (VPN).

Esta vulnerabilidad CVE-2024-22024 permitiría a un atacante remoto acceder a ficheros internos mediante el envío de ficheros XML maliciosos. La situación se agrava debido a que existe un exploit conocido y accesible para todo el público.

Esta vulnerabilidad es la última de una serie de vulnerabilidades altas y críticas descubiertas en un solo mes (CVE-2024-21893, CVE-2024-21887, CVE-2024-21888). Cabe mencionar que la explotación de estas vulnerabilidades anteriores ha sido detectada instalando puertas traseras en infraestructuras IT, por lo que no se descarta que esta última vulnerabilidad vaya a ser explotada de la misma manera.

Ivanti Connect Secure y Ivanti Policy Secure son soluciones de software de Ivanti orientadas a la gestión y comunicación mediante de redes privadas virtuales (VPN), utilizadas para conectar dispositivos a redes de manera segura. Estas soluciones antes eran desarrolladas por Pulse Secure, compañía que fue adquirida por Ivanti en 2020.

Características principales de la CVE-2024-22024

A continuación, se detallan las características principales de esta vulnerabilidad:

  • Identificador CVE: CVE-2024-22024
  • Fecha de publicación: 08/02/2024
  • Software Afectado: Ivanti Connect Secure / Ivanti Policy Secure
  • CVSS Score: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L (8.3 High)
  • Versiones afectadas:
    • Ivanti Connect Secure: 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, y 22.5R2.2
    • Ivanti Policy Secure: 22.5R1.1 y ZTA 22.6R1.3.
  • Requisitos de explotación:
    • El servicio web debe estar accesible para el atacante.

El recurso vulnerable es /dana-na/auth/saml-sso.cgi y para su explotación sería suficiente con hacer una petición POST que incluyese un parámetro llamado SAMLRequest, y cuyo valor fuese un XML malicioso que tuviese algún tipo de entidad que hiciese referencia tanto a recursos internos del servidor como externos.

Mitigación de la vulnerabilidad

La solución principal consiste en actualizar urgentemente el software de Ivanti a una de las nuevas versiones parcheadas que corrigen esta vulnerabilidad:

  • Ivanti Connect Secure: 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3,22.6R2.2
  • Ivanti Policy Secure: 9.1R17.3, 9.1R18.4 and 22.5R1.2
  • ZTA gateways: 22.5R1.6, 22.6R1.5 and 22.6R1.7.

Ivanti ha publicado un comunicado con la información oficial y las actualizaciones relativas a esta vulnerabilidad.

Detección de la CVE-2024-22024

La presencia de la vulnerabilidad CVE-2024-22024 puede ser identificada mediante el número de versión.

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.