Abordando los problemas actuales con Ivanti Connect Secure: un análisis más detallado de los últimos CVE

A medida que la demanda de soluciones de trabajo remoto continúa creciendo, también lo hace la necesidad de servicios de acceso remoto seguros, robustos y eficientes. La fuerza laboral híbrida y las soluciones que facilitan el trabajo híbrido se han convertido en un objetivo principal para los atacantes debido al aumento de la superficie de ataque.

Pulse Secure VPN

Ivanti's VPN, Connect Secure, anteriormente conocido como Pulse Secure, es una plataforma que ha sido ampliamente adoptada. Sin embargo, las vulnerabilidades recientes identificadas en el sistema han generado preocupaciones sobre su seguridad y fiabilidad¹.

Las Últimas Vulnerabilidades: CVE-2023-46805 y CVE-2024-21887

A principios de 2024, se informaron dos vulnerabilidades importantes en Ivanti Connect Secure: CVE-2023-46805 y CVE-2024-21887²³. Estas vulnerabilidades afectan a todas las versiones compatibles de los productos¹.

CVE-2023-46805 es una vulnerabilidad de bypass de autenticación encontrada en el componente web de Ivanti Connect Secure. Este problema permite que un atacante obtenga acceso no autorizado al sistema⁴.

Por otro lado, CVE-2024-21887 es una vulnerabilidad de inyección de comandos en los componentes web de Ivanti Connect Secure e Ivanti Policy Secure. Esto permite que un atacante autenticado ejecute comandos arbitrarios⁵.

Se han reportado varios casos que indican que estas vulnerabilidades ya han sido explotadas por atacantes en cientos de implementaciones de clientes durante más de 8 meses[1].

Descontento de los Usuarios con Ivanti Connect Secure

Si bien estas vulnerabilidades son una preocupación principal, algunos usuarios han expresado su descontento con Ivanti Connect Secure por varias razones.

• Soporte al Cliente Limitado: Los usuarios han reportado tiempos de respuesta lentos y asistencia limitada por parte del equipo de soporte al cliente, lo que ha causado retrasos en la resolución de problemas.
• Problemas de Rendimiento: Ha habido casos de problemas de rendimiento, incluyendo tiempos de conexión lentos y desconexiones frecuentes. Esto puede interrumpir la productividad y generar frustración en los usuarios.
• Sin protección SaaS: Ivanti Connect Secure aún sigue el antiguo modelo de appliance, donde el tráfico de usuario debe pasar a través del appliance para cualquier medida de seguridad. Con la adopción significativa de aplicaciones SaaS y basadas en la nube, las soluciones basadas en appliances han perdido relevancia en los nuevos escenarios de implementación híbrida de TI.
• Falta de Transparencia: Las recientes vulnerabilidades han resaltado una falta percibida de transparencia por parte de Ivanti. Los usuarios esperan actualizaciones regulares sobre posibles amenazas de seguridad y las medidas tomadas para mitigar las mismas.

Avanzando

En respuesta a los últimos CVE, Ivanti ha lanzado actualizaciones de seguridad para abordar estas vulnerabilidades⁶. Estas son soluciones temporales y se espera que el parche final para los problemas de seguridad esté disponible más tarde en 2024[2]. Es crucial que las empresas que usan Ivanti Connect Secure apliquen estas soluciones temporales con rapidez para mitigar los riesgos potenciales o consideren migrar fuera de la plataforma.

Una plataforma a la que muchos clientes de Ivanti han migrado es Cloudbrink, ZTNA de alto rendimiento. Después de probar alrededor de 20 soluciones VPN, SDP y ZTNA, una empresa Fortune 100 descubrió que Cloudbrink superó a otras soluciones de acceso remoto seguro por hasta 30 veces. Algunos de los resultados se pueden ver a continuación.

Una revisión de Ivanti Connect Secure muestra que tiene debilidades de seguridad y graves problemas de rendimiento, mientras que el servicio Cloudbrink, con su defensa de objetivo en movimiento automatizada (AMTD), reduce la superficie de ataque y acelera el rendimiento de la red y las aplicaciones de los usuarios.

¿Por qué Cloudbrink?

• Seguridad reforzada: Cloudbrink ha utilizado solo prácticas de seguridad altamente recomendadas, como los protocolos TLS 1.3, conexiones mutuas TLS en cada segmento, certificados rotativos cada pocas horas, seguridad Dark Cloud para SaaS y aplicaciones privadas, implementaciones de centros de datos compatibles con SDP y capacidades completas de Zero-Trust.
• Rendimiento superior: La infraestructura de Cloudbrink ha sido construida desde cero con un enfoque en el rendimiento y la seguridad. Así que, los clientes no tienen que hacer un compromiso entre rendimiento y seguridad.
• Implementaciones flexibles y fáciles: Los clientes pueden implementar Cloudbrink en pocos minutos porque es una solución completamente basada en software. No es necesario enviar appliances ni realizar cambios en las aplicaciones o redes de los clientes.
• Escalabilidad ágil: Dado que Cloudbrink es completamente un modelo como servicio, los clientes pueden escalar desde unos pocos decenas de usuarios hasta miles de usuarios a su propio ritmo. No es necesario un compromiso inicial ni gastos de capital que los clientes tengan que incurrir para comenzar a migrar a Cloudbrink.
• Preparado para el futuro: A nivel ejecutivo, todas las empresas globales están evaluando soluciones que respalden su negocio durante la próxima década. Las soluciones de Zero-Trust proporcionan la seguridad necesaria y las soluciones de trabajo híbrido que los clientes buscan. Cloudbrink ha estado ganando clientes de manera constante con beneficios superiores de seguridad y rendimiento.

Conclusión:

Con los usuarios buscando trabajar desde cualquier lugar y los equipos de TI implementando aplicaciones donde se ejecuten de manera más eficiente, incluyendo implementaciones multi-nube, las empresas están luchando por encontrar el equilibrio perfecto entre seguridad, rendimiento y simplicidad de gestión de todas estas entidades. La única manera de navegar en una solución tan compleja es tomar la decisión correcta para cada solución y permitir que la solución líder proporcione los mejores resultados para la empresa.

Es importante que las empresas evalúen múltiples opciones y seleccionen la solución más efectiva para una fuerza laboral remota y no caigan en las trampas de plataformas consolidadas o soluciones de bajo costo o paquetes de productos que solo ofrecen productos "me-too". El costo de un incidente de seguridad es tan significativamente alto que cualquier tipo de compromiso no está justificado.

Notas al pie

1. https://www.ivanti.com/blog/security-update-for-ivanti-connect-secure-and-ivanti-policy-secure-gateways ↩ ↩²
2. https://www.volexity.com/blog/2024/01/18/ivanti-connect-secure-vpn-exploitation-new-observations/ ↩
3. https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US ↩
4. https://www.cisa.gov/news-events/directives/ed-24-01-mitigate-ivanti-connect-secure-and-ivanti-policy-secure-vulnerabilities ↩
5. https://www.cvedetails.com/vulnerability-list/vendor_id-17398/Ivanti.html ↩
6. https://www.cisa.gov/news-events/alerts/2024/01/10/ivanti-releases-security-update-connect-secure-and-policy-secure-gateways ↩
7. https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

[1] https://www.darkreading.com/vulnerabilities-threats/third-ivanti-vulnerability-exploited-in-the-wild-cisa-reports

[2] https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US