CVE-2024-22024: Vulnerabilidad XXE que afecta a productos Ivanti
La CVE-2024-22024 es una vulnerabilidad XML External Entity (XXE) que permite a un atacante remoto acceder a ficheros internos
Se ha revelado información acerca de CVE-2024-22024, una nueva vulnerabilidad alta que afecta al software Ivanti Connect Secure y Ivanti Policy Secure, utilizados para conectar dispositivos a redes privadas virtuales (VPN).
Esta vulnerabilidad CVE-2024-22024 permitiría a un atacante remoto acceder a ficheros internos mediante el envío de ficheros XML maliciosos. La situación se agrava debido a que existe un exploit conocido y accesible para todo el público.
Esta vulnerabilidad es la última de una serie de vulnerabilidades altas y críticas descubiertas en un solo mes (CVE-2024-21893, CVE-2024-21887, CVE-2024-21888). Cabe mencionar que la explotación de estas vulnerabilidades anteriores ha sido detectada instalando puertas traseras en infraestructuras IT, por lo que no se descarta que esta última vulnerabilidad vaya a ser explotada de la misma manera.
Ivanti Connect Secure y Ivanti Policy Secure son soluciones de software de Ivanti orientadas a la gestión y comunicación mediante de redes privadas virtuales (VPN), utilizadas para conectar dispositivos a redes de manera segura. Estas soluciones antes eran desarrolladas por Pulse Secure, compañía que fue adquirida por Ivanti en 2020.
Características principales de la CVE-2024-22024
A continuación, se detallan las características principales de esta vulnerabilidad:
- Identificador CVE: CVE-2024-22024
- Fecha de publicación: 08/02/2024
- Software Afectado: Ivanti Connect Secure / Ivanti Policy Secure
- CVSS Score: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L (8.3 High)
- Versiones afectadas:
- Ivanti Connect Secure: 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, y 22.5R2.2
- Ivanti Policy Secure: 22.5R1.1 y ZTA 22.6R1.3.
- Requisitos de explotación:
- El servicio web debe estar accesible para el atacante.
El recurso vulnerable es /dana-na/auth/saml-sso.cgi y para su explotación sería suficiente con hacer una petición POST que incluyese un parámetro llamado SAMLRequest, y cuyo valor fuese un XML malicioso que tuviese algún tipo de entidad que hiciese referencia tanto a recursos internos del servidor como externos.
Mitigación de la vulnerabilidad
La solución principal consiste en actualizar urgentemente el software de Ivanti a una de las nuevas versiones parcheadas que corrigen esta vulnerabilidad:
- Ivanti Connect Secure: 9.1R14.5, 9.1R17.3, 9.1R18.4, 22.4R2.3, 22.5R1.2, 22.5R2.3,22.6R2.2
- Ivanti Policy Secure: 9.1R17.3, 9.1R18.4 and 22.5R1.2
- ZTA gateways: 22.5R1.6, 22.6R1.5 and 22.6R1.7.
Ivanti ha publicado un comunicado con la información oficial y las actualizaciones relativas a esta vulnerabilidad.
Detección de la CVE-2024-22024
La presencia de la vulnerabilidad CVE-2024-22024 puede ser identificada mediante el número de versión.
Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.