Ivanti ha publicado una serie de actualizaciones de seguridad críticas para abordar vulnerabilidades en sus productos, incluyendo Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) y Cloud Services Application (CSA). Estas fallas podrían permitir la ejecución remota de código (RCE) y la escritura de archivos arbitrarios, comprometiendo gravemente la seguridad de los sistemas afectados.
Descripción de las vulnerabilidades
Estas vulnerabilidades afectan a sistemas que utilizan Ivanti para la administración de accesos y seguridad en redes empresariales.
Detalles técnicos
- Software afectado:
- Ivanti Connect Secure (ICS) (versiones < 9.1R14.4 y 9.1R17.2)
- Ivanti Policy Secure (IPS) (versiones < 9.1R14.4 y 9.1R17.2)
- Ivanti Cloud Services Application (CSA) (versiones < 22.5.2)
- Tipo de vulnerabilidad: Ejecución remota de código (RCE) y escritura de archivos arbitrarios.
- Impacto: Control total del sistema afectado por parte de un atacante.
- Vector de ataque: Acceso remoto a la infraestructura de seguridad de Ivanti.
Prueba de concepto (PoC)
⚠️ Advertencia: Esta información es solo con fines educativos y no debe usarse en entornos no autorizados.
Para verificar la versión de Ivanti Connect Secure instalada, usa:
show version
Si la versión es inferior a 9.1R14.4 o 9.1R17.2, es necesario actualizar.
Para buscar intentos de acceso no autorizado en los registros de Ivanti:
grep 'unauthorized request' /var/log/ivanti.log
Si se detectan accesos sospechosos, es posible que la vulnerabilidad haya sido explotada.
Cómo mitigar la vulnerabilidad
1. Aplicar las actualizaciones de seguridad
Ivanti ha lanzado parches de seguridad para corregir las vulnerabilidades en todas las versiones afectadas. Se recomienda actualizar de inmediato:
sudo apt update && sudo apt upgrade ivanti-ics -y
2. Restringir el acceso remoto a Ivanti
Mientras se implementan los parches, limita el acceso remoto con reglas de firewall:
sudo ufw deny from any to <IP_IVANTI> port <PUERTO_AFECTADO>
O con iptables:
sudo iptables -A INPUT -p tcp --dport <PUERTO_AFECTADO> -j DROP
3. Habilitar autenticación fuerte y monitoreo
- Activa autenticación multifactor (MFA) para el acceso a los servicios de Ivanti.
- Monitorea registros de actividad en busca de intentos de explotación.
- Implementa herramientas de detección de intrusos para bloquear accesos sospechosos.
Las vulnerabilidades en productos de Ivanti representan un riesgo grave para redes empresariales que dependen de estas soluciones de seguridad. Se recomienda actualizar de inmediato, restringir accesos y reforzar la seguridad de autenticación para mitigar posibles ataques.
📌 Mantente informado sobre las últimas vulnerabilidades en nuestra sección de noticias sobre seguridad en Linux.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://seguridadenlinux.com/vulnerabilidades-ivanti-rce-acceso-no-autorizado/&media=https://seguridadenlinux.com/wp-content/uploads/2025/02/Vulnerabilidad9.png&description="Se han identificado vulnerabilidades críticas en Ivanti Connect Secure y Policy Secure que permiten ejecución remota de código y accesos no autorizados. Aprende cómo mitigarlas."){kind=link}