El grupo de amenaza sofisticada WARP PANDA ha intensificado los cibertaques dirigidos a infraestructuras críticas en EE. UU., explotando vulnerabilidades en VMware vCenter y dispositivos relacionados para lograr acceso persistente y movimiento lateral dentro de redes sensibles. Esta campaña demuestra un uso avanzado de malware y técnicas evasivas, centrada en ambientes basados en la nube y virtualización, con intrusiones detectadas desde finales de 2023.
CVE y severidad
| CVE | Componente afectado | Descripción |
|---|---|---|
| CVE-2024-21887 | Ivanti Connect Secure VPN, Ivanti Policy Secure | Bypass de autenticación y ejecución remota de comandos |
| CVE-2023-46805 | Ivanti Connect Secure VPN, Ivanti Policy Secure | Bypass de autenticación y ejecución remota de comandos |
| CVE-2024-38812 | VMware vCenter | Desbordamiento de pila en implementación del protocolo DCERPC |
| CVE-2023-46747 | F5 BIG-IP devices | Vulnerabilidad de bypass de autenticación |
| CVE-2023-34048 | VMware vCenter | Escritura fuera de límites en protocolo DCERPC que permite RCE |
| CVE-2021-22005 | VMware vCenter | Vulnerabilidad crítica en servidores vCenter |
Productos afectados
| Fabricante | Producto | Componente relevante |
|---|---|---|
| VMware | vCenter Server | Protocolos DCERPC, procesos updatermgr, vami-http |
| Ivanti | Connect Secure VPN / Policy Secure | Mecanismos de autenticación remota |
| F5 Networks | BIG-IP devices | Mecanismos de autenticación |
Solución
Aplicar las actualizaciones oficiales que corrigen las vulnerabilidades CVE reportadas en VMware vCenter, Ivanti Connect Secure VPN, y dispositivos F5 BIG-IP correspondientes.
Recomendaciones
Priorizar la instalación inmediata de parches disponibles; realizar auditorías continuas de credenciales y accesos privilegiados; minimizar la exposición de servicios externos y restringir dispositivos en el borde de red para evitar compromisos iniciales.
Referencias
- China-Nexus Hackers Exploiting VMware vCenter Environments to Deploy Web Shells and Malware Implants – Cyber Security News
- CISA Alert – VMware vCenter Vulnerabilities and Exploits (Relacionado)
- BleepingComputer: WARP PANDA explota vulnerabilidades en VMware vCenter
- Dark Reading: WARP PANDA y ataques avanzados en la nube
- Hacker News: Información sobre WARP PANDA y explotación de vCenter