Os hackers começaram a explorar em massa uma terceira vulnerabilidade que afeta o dispositivo VPN empresarial amplamente utilizado da Ivanti, mostram novos dados públicos.
Na semana passada, a Ivanti disse que tinha descobriu duas novas falhas de segurança — rastreado como CVE-2024-21888 e CVE-2024-21893 — afetando o Connect Secure, sua solução VPN de acesso remoto usada por milhares de corporações e grandes organizações em todo o mundo. De acordo com seu site, a Ivanti tem mais de 40 mil clientes, incluindo universidades, organizações de saúde e bancos, cuja tecnologia permite que seus funcionários façam login fora do escritório.
A divulgação ocorreu pouco depois que Ivanti confirmou dois bugs anteriores no Connect Secure, rastreados como CVE-2023-46805 e CVE-2024-21887, que pesquisadores de segurança disseram que hackers apoiados pela China haviam sido explorando desde dezembro para invadir redes de clientes e roubar informações.
Agora, os dados mostram que uma das falhas recentemente descobertas – CVE-2024-21893, uma falha de falsificação de solicitação no servidor – está sendo explorada em massa.
Embora a Ivanti tenha corrigido as vulnerabilidades desde então, os pesquisadores de segurança esperam que haja mais impacto nas organizações à medida que mais grupos de hackers exploram a falha. Steven Adair, fundador da empresa de segurança cibernética Volexity, uma empresa de segurança que acompanha a exploração das vulnerabilidades da Ivanti, alertou que agora o código de exploração de prova de conceito é público, “quaisquer dispositivos não corrigidos acessíveis pela Internet provavelmente foram comprometidos várias vezes. .”
Piotr Kijewski, executivo-chefe da Shadowserver Foundation, uma organização sem fins lucrativos que verifica e monitora a Internet em busca de exploração, disse ao TechCrunch na quinta-feira que a organização observou mais de 630 IPs exclusivos tentando explorar a falha do lado do servidor, que permite que invasores obtenham acesso aos dados em dispositivos vulneráveis.
Esse é um aumento acentuado em comparação com a semana passada, quando Shadowserver disse observou 170 IPs únicos tentando explorar a vulnerabilidade.
Um análise da nova falha do lado do servidor mostra que o bug pode ser explorado para contornar a mitigação original da Ivanti para a cadeia de exploração inicial envolvendo as duas primeiras vulnerabilidades, tornando efetivamente essas mitigações pré-patch discutíveis.
Kijewski acrescentou que o Shadowserver está atualmente observando cerca de 20.800 dispositivos Ivanti Connect Secure expostos à Internet, abaixo dos 22.500 da semana passada, embora tenha observado que não se sabe quantos desses dispositivos Ivanti são vulneráveis à exploração.
Não está claro quem está por trás da exploração em massa, mas os pesquisadores de segurança atribuíram a exploração dos dois primeiros bugs do Connect Secure a um grupo de hackers apoiado pelo governo da China, provavelmente motivado por espionagem.
A Ivanti disse anteriormente que estava ciente da exploração “direcionada” do bug do lado do servidor, visando um “número limitado de clientes”. Apesar dos repetidos pedidos do TechCrunch esta semana, Ivanti não quis comentar os relatos de que a falha está sendo explorada em massa, mas não contestou as descobertas do Shadowserver.
Ivanti começou a lançar patches aos clientes sobre todas as vulnerabilidades, juntamente com um segundo conjunto de mitigações no início deste mês. No entanto, a Ivanti observa em seu comunicado de segurança – atualizado pela última vez em 2 de fevereiro – que está “lançando patches para o maior número de instalações primeiro e depois continuando em ordem decrescente”.
Não se sabe quando a Ivanti disponibilizará os patches para todos os seus clientes potencialmente vulneráveis.
Relatos de outra falha da Ivanti sendo explorada em massa chegam dias depois da agência de segurança cibernética dos EUA A CISA ordenou que as agências federais desconectassem urgentemente todos os dispositivos Ivanti VPN. O alerta da agência fez com que a CISA desse às agências apenas dois dias para desconectar os aparelhos, citando a “séria ameaça” representada pelas vulnerabilidades sob ataque ativo.
