Un grupo de hackers que podrían trabajar para el Gobierno chino ha aprovechado dos vulnerabilidades graves en los dispositivos VPN de Ivanti para infectar redes de todo el mundo. Estas vulnerabilidades permitirían a los atacantes saltarse la verificación en dos pasos y ejecutar código malicioso en los sistemas que usan Ivanti Connect Secure, una VPN muy popular.
Según la empresa de seguridad Censys, al menos 492 dispositivos VPN de Ivanti estarían infectados, de un total de 26.000 que están conectados a Internet. La compañía afirma que más de una cuarta parte de los dispositivos comprometidos se encuentran en los Estados Unidos.
Ivanti todavía no ha publicado parches para solucionar estas vulnerabilidades, que se conocen como CVE-2023-46805 y CVE-2024-21887. La empresa ha publicado una guía de mitigación y recuperación que recomienda seguir a los usuarios afectados. La Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos ha emitido una directiva que obliga a todas las agencias gubernamentales civiles a tomar medidas correctivas para prevenir la explotación de estas vulnerabilidades.
Gracias a estas vulnerabilidades, los hackers podrían robar datos, modificar archivos, descargar archivos remotos y crear túneles inversos desde los dispositivos VPN, según detalla Censys. También podrían capturar las credenciales de los usuarios que se conecten a la VPN.