Security
11 min read
2074 views

Explotación de la cadena VPN de Ivanti: El golpe de dos vulnerabilidades 🥊

IT
InstaTunnel Team
Published by our engineering team
Explotación de la cadena VPN de Ivanti: El golpe de dos vulnerabilidades 🥊

Resumen Ejecutivo

A principios de 2024, la comunidad de ciberseguridad fue testigo de una de las campañas de explotación de VPN más significativas, dirigida a las gateways Ivanti Connect Secure y Policy Secure. La cadena de vulnerabilidades que combina CVE-2024-21887 y CVE-2023-46805 permitió a los actores maliciosos lograr ejecución remota de código sin autenticación, comprometiendo miles de dispositivos en todo el mundo. Este ataque sofisticado demostró cómo vulnerabilidades aparentemente separadas, cuando se encadenan, pueden crear brechas de seguridad devastadoras que afectan infraestructuras críticas en múltiples industrias.

Entendiendo la Cadena de Vulnerabilidades

CVE-2023-46805: La Puerta de Acceso de Bypass de Autenticación

CVE-2023-46805 representa una vulnerabilidad de alto severidad en la omisión de autenticación, con una puntuación CVSS de 8.2. Esta falla existe en el componente web de Ivanti Connect Secure (antes Pulse Connect Secure) y Ivanti Policy Secure, afectando todas las versiones soportadas, incluyendo las versiones 9.x y 22.x.

La vulnerabilidad permite a atacantes remotos omitir controles y acceder a recursos restringidos sin autenticación adecuada. El mecanismo de bypass aprovecha técnicas de traversal de rutas para sortear los mecanismos de control de acceso, abriendo una puerta que debería permanecer cerrada a usuarios no autenticados. Esto establece el paso fundamental para la cadena de explotación, transformando un ataque solo para usuarios autenticados en una compromisión completamente sin autenticación.

CVE-2024-21887: La Potencia de Inyección de Comandos

CVE-2024-21887 tiene una calificación de severidad crítica con una puntuación CVSS de 9.1. Esta vulnerabilidad de inyección de comandos reside en los componentes web de Ivanti Connect Secure y Policy Secure. Normalmente, requiere acceso de administrador autenticado para explotarse, limitando su impacto potencial.

Específicamente afecta el endpoint /api/v1/license/key-status/<path:node_name>. Un administrador autenticado puede enviar solicitudes especialmente diseñadas con cargas maliciosas que el sistema ejecuta como comandos arbitrarios. El conjunto restringido de caracteres y el entorno de ejecución hacen que esto sea particularmente peligroso cuando se combina con el bypass de autenticación.

La Combinación Mortal: RCE sin Autenticación

Cuando se encadenan, estas vulnerabilidades crean lo que los investigadores de seguridad llaman un “golpe de knockout de dos vulnerabilidades”. La secuencia del ataque es la siguiente:

  1. Acceso Inicial: Los atacantes aprovechan CVE-2023-46805 para omitir controles de autenticación, logrando acceso a funciones administrativas sin credenciales.
  2. Elevación de Privilegios: El bypass de autenticación proporciona acceso a endpoints normalmente reservados para administradores autenticados.
  3. Ejecución de Comandos: Usando CVE-2024-21887, los atacantes inyectan comandos maliciosos a través de endpoints API vulnerables.
  4. Compromiso del Sistema: Se ejecuta código arbitrario con privilegios elevados, otorgando control total sobre el dispositivo VPN.

Esta combinación transforma dos vulnerabilidades separadas en un único vector de ataque devastador que no requiere autenticación, interacción del usuario, y permite un compromiso completo del sistema.

Cronología del Descubrimiento y Explotación

Diciembre de 2023: Compromiso Inicial

Los investigadores de seguridad en Volexity detectaron actividad sospechosa el 3 de diciembre de 2023, durante monitoreo rutinario de red para uno de sus clientes de seguridad gestionada. La investigación reveló patrones de movimiento lateral inconsistentes con el comportamiento normal de la red, lo que llevó a un análisis más profundo que finalmente descubrió la explotación zero-day.

10 de enero de 2024: Divulgación Pública

Ivanti, en coordinación con Volexity y Mandiant (la división de investigación de seguridad de Google Cloud), divulgó públicamente ambas vulnerabilidades el 10 de enero de 2024. El anuncio causó impacto en la comunidad de ciberseguridad, ya que las vulnerabilidades afectaban todas las versiones soportadas de soluciones VPN empresariales ampliamente desplegadas.

En el momento de la divulgación, no había parches disponibles. Ivanti lanzó un archivo XML de mitigación a través de su portal de clientes, requiriendo que las organizaciones importaran manualmente la configuración. Esta solución provisional ofreció cierta protección, pero quedó corta frente a una solución integral.

16 de enero de 2024: Inicio de la Explotación Masiva

Tras la publicación de exploits de prueba de concepto el 16 de enero de 2024, los investigadores de seguridad observaron un aumento dramático en los intentos de explotación. En las primeras 24 horas, la actividad de escaneo creció exponencialmente, ya que actores maliciosos en todo el mundo buscaban identificar sistemas vulnerables antes de que estuvieran disponibles los parches.

Cronograma de Lanzamiento de Parches

Ivanti implementó un cronograma escalonado de lanzamiento de parches: - Semana del 22 de enero de 2024: Se lanzó la primera versión del parche - Hasta el 19 de febrero de 2024: Se desplegaron los parches finales para todas las versiones soportadas

Alcance del Compromiso: Números Clave

Estadísticas de Exposición Global

Investigaciones de firmas de ciberseguridad revelaron la extensa superficie de ataque:

  • Más de 28,000 instancias de Ivanti Connect Secure y Policy Secure expuestas a internet en 145 países
  • Más de 1,700 dispositivos confirmados comprometidos a nivel mundial según análisis de Volexity
  • 600+ casos de explotación activa observados por varios proveedores de seguridad
  • 17,000+ instancias vulnerables identificadas mediante búsquedas en Shodan en el pico de la campaña

Impacto en la Industria

El compromiso afectó a organizaciones de diversos sectores:

  • Gobierno Federal: La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió la Directiva de Emergencia 24-01, requiriendo que todas las agencias civiles federales tomen acciones inmediatas.
  • Servicios Financieros: Varias instituciones bancarias reportaron intentos de compromiso.
  • Salud: Redes hospitalarias y centros médicos detectaron intentos de intrusión.
  • Empresas Tecnológicas: Proveedores de software y servicios en la nube encontraron puertas traseras instaladas en sus dispositivos VPN.
  • Manufactura: Redes de sistemas de control industrial enfrentaron amenazas potenciales de movimiento lateral.

Atribución y Tácticas del Actor de Amenaza

UNC5221: El Adversario Principal

Mandiant rastreó al actor de amenaza principal como UNC5221, un grupo de espionaje con presunto nexo con China. Este actor avanzado persistente (APT) demostró una técnica sofisticada que incluyó:

  • Arsenal de malware personalizado: Despliegue de múltiples familias de malware a medida.
  • Técnicas anti-forenses: Modificación de la herramienta Integrity Checker de Ivanti para evadir detección.
  • Mecanismos de persistencia: Instalación de puertas traseras que sobrevivieron a reinicios y actualizaciones del sistema.
  • Recolección de credenciales: Exfiltración de contraseñas en texto claro y hashes NTLM desde Active Directory.

Familias de Malware Desplegadas

Los investigadores de seguridad identificaron varias herramientas de malware personalizadas:

ZIPLINE: Una puerta trasera pasiva que escucha paquetes de red especialmente diseñados, permitiendo a los atacantes establecer comando y control sin conexiones evidentes.

LIGHTWIRE: Una web shell que proporciona acceso persistente a sistemas comprometidos mediante procesos legítimos del servidor web, dificultando su detección.

WARPWIRE: Un recolector de credenciales diseñado para extraer material de autenticación del caché de contraseñas de Ivanti, incluyendo credenciales de Active Directory, claves API y tokens de sesión.

THINSPOOL: Un componente dropper responsable de desplegar cargas útiles adicionales y mantener la cadena de infección.

GLASSTOKEN y GIFTEDVISITOR: Web shells que modificaron componentes JavaScript legítimos para interceptar credenciales durante la autenticación.

Metodología del Ataque

La secuencia típica de ataque observada por los respondedores de incidentes incluyó:

  1. Explotación inicial: Encadenamiento de CVE-2023-46805 y CVE-2024-21887 para acceso sin autenticación.
  2. Exfiltración de base de datos: Archivado del directorio /runtime/mtmp/lmdb que contiene datos de sesión, credenciales y certificados.
  3. Instalación de web shell: Inserción de puertas traseras en archivos CGI legítimos como compcheck.cgi para acceso persistente.
  4. Manipulación de logs: Desactivación de registros y limpieza de logs existentes para ocultar rastros.
  5. Movimiento lateral: Uso de credenciales recolectadas para pivotar hacia redes internas.
  6. Persistencia: Modificación de archivos del sistema y de la herramienta Integrity Checker para mantener acceso.

Respuesta Gubernamental y Directivas de Emergencia

Directiva de Emergencia de CISA 24-01

El 19 de enero de 2024, CISA emitió la Directiva de Emergencia 24-01, una de las advertencias más urgentes en años recientes. La directiva exigió que todas las agencias federales:

  • Desconectaran o aislaran inmediatamente los dispositivos Ivanti afectados.
  • Ejecutaran la herramienta Integrity Checker en todos los dispositivos.
  • Aplicaran las mitigaciones disponibles antes de la fecha límite del 22 de enero de 2024.
  • Reportaran cualquier signo de compromiso a CISA en 24 horas.
  • Se prepararan para restablecimientos de fábrica si se detectaba compromiso.

Guía adicional y actualizaciones

CISA lanzó varias actualizaciones complementarias a medida que avanzaba la investigación:

29 de febrero de 2024: El equipo de investigación de CISA publicó hallazgos que demostraron que la herramienta Integrity Checker no era suficiente para detectar compromisos sofisticados. Sus pruebas de laboratorio demostraron que los actores maliciosos podían mantener persistencia a nivel raíz incluso después de restablecimientos de fábrica y actualizaciones.

Hallazgos clave: Los investigadores de CISA demostraron con éxito toda la cadena de ataque, logrando: - Exfiltración de credenciales de administrador de dominio en texto claro. - Persistencia a nivel raíz que sobrevivió a medidas de seguridad. - Bypass de mecanismos de verificación de integridad. - Reconocimiento interno usando herramientas nativas.

Análisis Técnico: Mecánicas de Explotación

Detalles Técnicos del Bypass de Autenticación

La vulnerabilidad CVE-2023-46805 explota debilidades en traversal de rutas en la lógica de enrutamiento de la aplicación web. Algunas rutas en la aplicación permanecen accesibles sin autenticación, y los atacantes descubrieron que las secuencias de traversal podían redirigir solicitudes desde estos caminos sin autenticación a endpoints administrativos autenticados.

Ejemplo de patrón de explotación:

/api/v1/totp/user-backup-code/../../license/keys-status/

Este URL manipulado usa la secuencia ../ para navegar desde un endpoint sin autenticación (/api/v1/totp/user-backup-code/) hasta una función administrativa autenticada (/license/keys-status/), evitando así los controles de autenticación.

Detalles Técnicos de la Inyección de Comandos

CVE-2024-21887 permite la inyección de comandos mediante solicitudes especialmente diseñadas a endpoints API vulnerables. El parámetro node_name en el endpoint de estado de licencia carece de sanitización adecuada, permitiendo a los atacantes inyectar comandos shell.

La vulnerabilidad acepta comandos dentro de restricciones específicas de caracteres (puntos y números en algunas variaciones), pero atacantes sofisticados encontraron formas de ejecutar código arbitrario a pesar de estas limitaciones mediante:

  • Cadenas ROP (Return-Oriented Programming)
  • Técnicas de codificación Unicode
  • Métodos alternativos de ejecución de comandos
  • Aprovechamiento de utilidades del sistema integradas

Ejemplo de Exploit en el Mundo Real

Los investigadores documentaron intentos reales de explotación donde los atacantes establecían shells reversas:

POST /api/v1/license/keys-status/../../malicious-path

La carga útil ejecutaba comandos para: - Crear conexiones reversas con netcat - Descargar herramientas adicionales desde infraestructura del atacante - Establecer implantes Sliver para comando y control - Ejecutar scripts en Perl para recolectar credenciales cacheadas “`

Desafíos en la Detección y Respuesta

Limitaciones de la Herramienta Integrity Checker

Ivanti lanzó una herramienta Integrity Checker (ICT) para ayudar a los clientes a identificar sistemas comprometidos. Sin embargo, varias firmas de seguridad y la propia investigación de CISA revelaron limitaciones importantes:

  • Técnicas de evasión: Los atacantes sofisticados modificaron la ICT para reportar falsos negativos.
  • Alcance limitado: La herramienta no podía detectar todas las variantes de malware y mecanismos de persistencia.
  • Específico de versión: Diferentes versiones de dispositivos requerían métodos de detección distintos.
  • Falsa confianza: Organizaciones que dependían solo de la ICT pasaron por alto compromisos sofisticados.

Indicadores de Compromiso

Los investigadores de seguridad identificaron varios IOCs para detección:

Modificaciones en el sistema de archivos: - /home/bin/compcheck.cgi con puertas traseras. - /dana-na/auth/lastauthserverused.js modificado. - Archivos sospechosos en directorios /tmp y /runtime. - Componentes web modificados en /home/webserver/htdocs/.

Indicadores de red: - Conexiones salientes inusuales hacia infraestructura del atacante. - Patrones de tráfico beacon que coinciden con comunicación C2. - Transferencias de datos grandes desde ubicaciones de caché de credenciales. - Conexiones SSL/TLS sospechosas desde el dispositivo VPN.

Anomalías en logs: - Funcionalidad de logs desactivada. - Archivos de logs faltantes o truncados. - Gaps en logs de autenticación. - Actividad sospechosa de administradores fuera de horario.

Estrategias de Mitigación y Mejores Prácticas

Acciones Inmediatas Requeridas

Las organizaciones que operan Ivanti Connect Secure o Policy Secure deben:

  1. Aplicar parches inmediatamente: Actualizar a las versiones parcheadas más recientes (9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 o posteriores).

  2. Realizar resets de fábrica: Antes de aplicar parches, restablecer a fábrica los dispositivos como medida preventiva para eliminar mecanismos de persistencia sofisticados.

  3. Reiniciar credenciales: Cambiar todas las contraseñas, rotar claves API y revocar certificados que puedan haber sido expuestos.

  4. Ejecutar herramientas de detección: Utilizar tanto herramientas internas como externas de Integrity Checker, pero sin confiar únicamente en sus resultados.

  5. Buscar IOCs: Investigar en tráfico de red, sistemas de archivos y logs en busca de indicadores de compromiso.

Mejoras de Seguridad a Largo Plazo

Segmentación de red: Aislar los dispositivos VPN de recursos internos críticos usando principios de zero-trust y estrategias de microsegmentación.

Monitoreo avanzado: Implementar registros exhaustivos y gestión de eventos e información de seguridad (SIEM) para detectar comportamientos anómalos.

Autenticación multifactor: Aplicar MFA en todo acceso VPN y funciones administrativas, aunque se debe tener en cuenta que CVE-2023-46805 pudo omitir incluso MFA.

Soluciones alternativas: Considerar soluciones VPN diversas para evitar puntos únicos de fallo o evaluar migrar a soluciones de acceso a redes zero-trust en la nube.

Gestión de vulnerabilidades: Establecer procesos rápidos de despliegue de parches y mantener inventarios de todos los sistemas expuestos a internet.

Lecciones Aprendidas y Futuras Implicaciones

Modelo de Amenaza de la Cadena de Vulnerabilidades

Este incidente demuestra que encadenar vulnerabilidades representa una amenaza crítica para infraestructuras modernas. Los equipos de seguridad deben evaluar los sistemas no solo por vulnerabilidades individuales, sino por combinaciones que puedan crear rutas de ataque imprevistas.

Dispositivo de Borde como Objetivo de Alto Valor

Los dispositivos VPN y otros dispositivos de borde siguen atrayendo a actores de amenazas sofisticados porque: - Se sitúan en el perímetro de la red con acceso tanto a redes externas como internas. - A menudo ejecutan sistemas operativos especializados con herramientas de seguridad limitadas. - Puede que no reciban el mismo escrutinio de seguridad que los servidores tradicionales. - Ofrecen puntos ideales para movimiento lateral.

El Desafío del Brecha de Parcheo

La demora en la disponibilidad de parches creó una ventana peligrosa donde las organizaciones sabían que eran vulnerables pero tenían opciones de mitigación limitadas. Este escenario resalta la importancia de: - La transparencia del proveedor y respuestas rápidas. - Estrategias de mitigación provisional. - Capacidades de aislamiento de red. - Preparación para respuesta a incidentes.

Aceleración de la Actividad de Estados-Nación

La posible participación de actores estatales demuestra que incluso vulnerabilidades zero-day pueden ser descubiertas y almacenadas por adversarios avanzados mucho antes de su divulgación pública. Las organizaciones deben asumir que los atacantes sofisticados ya poseen conocimiento de vulnerabilidades sin parchear.

Vulnerabilidades Subsiguientes de Ivanti: Surge un Patrón

CVE-2025-0282 y CVE-2025-0283 (enero 2025)

Mostrando un patrón preocupante, Ivanti divulgó dos vulnerabilidades críticas adicionales en enero de 2025. CVE-2025-0282, un desbordamiento de búfer en pila sin autenticación, fue explotado activamente por el mismo actor UNC5221 desde mediados de diciembre de 2024.

Esta explotación posterior reveló que: - Los actores continúan atacando la infraestructura de Ivanti de manera agresiva. - El mismo adversario mantiene interés persistente en estos productos. - Las organizaciones enfrentan riesgos continuos que requieren vigilancia constante.

CVE-2025-22457 (abril 2025)

En abril de 2025, surgió otra vulnerabilidad crítica. CVE-2025-22457, inicialmente considerada no explotable, resultó vulnerable mediante técnicas de explotación sofisticadas descubiertas por UNC5221. Esto subraya la peligrosa suposición de que vulnerabilidades complejas con restricciones de caracteres no pueden ser utilizadas por adversarios determinados.

Recomendaciones para Organizaciones

Para Clientes Actuales de Ivanti

  1. Mantener parches vigilantes: Aplicar todas las actualizaciones de seguridad inmediatamente al ser lanzadas.
  2. Monitoreo continuo: Implementar monitoreo 247 de dispositivos VPN para detectar actividad anómala.
  3. Auditorías regulares: Realizar auditorías de seguridad y pruebas de penetración frecuentes.
  4. Planificación de respuesta a incidentes: Desarrollar y probar procedimientos específicos para escenarios de compromiso VPN.
  5. Comunicación con el proveedor: Mantener canales de comunicación activos con soporte y equipos de seguridad de Ivanti.

Para Decisores de Seguridad

  1. Estrategia de diversificación: Evitar depender excesivamente de soluciones de un solo proveedor para infraestructura crítica.
  2. Arquitectura de zero-trust: Implementar principios de zero-trust que asuman brechas y verifiquen continuamente.
  3. Evaluación de riesgos: Revisar regularmente la postura de seguridad de todos los sistemas expuestos a internet.
  4. Inteligencia de amenazas: Suscribirse a fuentes de inteligencia de amenazas específicas para proveedores de infraestructura.
  5. Ejercicios simulados: Realizar ejercicios periódicos simulando compromisos de dispositivos de borde.

Para Investigadores de Seguridad

  1. Divulgación responsable: Continuar coordinando con los proveedores y asegurando conciencia pública.
  2. Desarrollo de herramientas: Crear y compartir herramientas de detección e IOCs con la comunidad de seguridad.
  3. Publicación de investigaciones: Documentar detalles técnicos para avanzar en el conocimiento colectivo.
  4. Colaboración: Trabajar con otros investigadores para identificar cadenas de vulnerabilidades antes que los atacantes.

Conclusión

La cadena de vulnerabilidades CVE-2024-21887 y CVE-2023-46805 representa un momento decisivo en la seguridad empresarial. La compromisión de miles de dispositivos VPN en organizaciones globales demuestra que incluso redes bien defendidas siguen siendo vulnerables a ataques sofisticados y en múltiples etapas.

El incidente refuerza varios principios de seguridad críticos:

La defensa en profundidad sigue siendo esencial: Ningún control de seguridad individual evitó este ataque. Las organizaciones que detectaron compromisos generalmente tenían múltiples capas de monitoreo y detección.

La gestión de parches es innegociable: La ventana entre divulgación y parcheo generó el mayor riesgo. Las organizaciones con procesos de despliegue rápido de parches minimizaron su exposición.

La inteligencia de amenazas impulsa la preparación: Las organizaciones que rastrearon a UNC5221 y actores similares estuvieron mejor preparadas para reconocer y responder a indicadores de compromiso.

La seguridad de dispositivos de borde requiere prioridad: Los dispositivos VPN y similares en la infraestructura de borde merecen la misma inversión en seguridad que los sistemas tradicionales de centros de datos.

A medida que avanzamos en 2025, el patrón de ataques sofisticados contra infraestructura de borde continúa. La evolución de amenazas desde CVE-2024-21887/CVE-2023-46805 hasta CVE-2025-0282 y CVE-2025-22457 demuestra que las organizaciones deben mantener una vigilancia constante, capacidades de respuesta rápida y estrategias de seguridad diversas.

El golpe de dos vulnerabilidades entregado por esta cadena de exploits sirve como un recordatorio contundente de que las amenazas cibernéticas modernas requieren posturas defensivas modernas. Las organizaciones que consideran la seguridad como un proceso continuo en lugar de una implementación puntual serán las que mejor resistirán la tormenta de ataques sofisticados y persistentes dirigidos a infraestructuras críticas que nos conectan a todos.

Recursos adicionales

  • Asesoría CISA AA24-060B: Guía completa sobre la explotación de actores de amenazas en vulnerabilidades de Ivanti
  • Avisos de seguridad de Ivanti: Notificaciones oficiales y detalles de parches
  • Blog de Volexity: Divulgación original y análisis técnico
  • Inteligencia de Mandiant: Atribución detallada del actor de amenazas y compartición de IOCs
  • Investigación de Tenable: Plugins de escaneo de vulnerabilidades y métodos de detección

Última actualización: diciembre de 2024

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Localhost tunnel guideExpose a local app securely with a public URL for QA, demos, mobile testing, and integrations.Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.

Related Topics

#ivanti vpn vulnerability, cve-2024-21887, cve-2023-46805, ivanti exploit chain, ivanti rce attack, ivanti connect secure breach, pulse secure successor vulnerability, unauthenticated rce ivanti, vpn appliance exploitation, perimeter vpn hack, early 2025 ivanti attacks, enterprise vpn compromise, network edge exploitation, vpn zero day chain, privilege escalation ivanti, authentication bypass ivanti, command injection ivanti, mass exploitation ivanti vpn, vpn appliance ransomware, ivanti incident response, critical infrastructure vpn breach, enterprise remote access vulnerability, vpn gateway exploit, network perimeter security failure, vpn device takeover, security appliance exploitation, vpn patch emergency, vulnerability chaining 2025, threat actors exploiting vpn, initial access via vpn, vpn exploitation campaign, cyberattack ivanti devices, government vpn breach, healthcare vpn exploitation, finance sector vpn attacks, rce without authentication, vpn firmware vulnerability, exploit development ivanti, edge security threat, supply chain access via vpn, vpn hardening best practices, vulnerability management vpn, zero trust vpn necessity, exposure management ivanti, security advisory ivanti, active exploitation vpn flaw, cisa advisory ivanti, vpn compromise aftermath, multi industry vpn breach, ivanti remediation steps, vpn exploitation mitigation

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles