Os hackers começaram a explorar em massa uma terceira vulnerabilidade que afeta o dispositivo VPN empresarial amplamente utilizado da Ivanti, mostram novos dados públicos.
Na semana passada, a Ivanti disse ter descoberto duas novas falhas de segurança – rastreadas como CVE-2024-21888 e CVE-2024-21893 – afetando o Connect Secure, sua solução VPN de acesso remoto usada por milhares de corporações e grandes organizações em todo o mundo. De acordo com seu site, a Ivanti tem mais de 40 mil clientes, incluindo universidades, organizações de saúde e bancos, cuja tecnologia permite que seus funcionários façam login fora do escritório.
A divulgação ocorreu pouco depois de Ivanti ter confirmado dois bugs anteriores no Connect Secure, rastreados como CVE-2023-46805 e CVE-2024-21887, que pesquisadores de segurança disseram que hackers apoiados pela China vinham explorando desde dezembro para invadir redes de clientes e roubar informações. .
Agora, os dados mostram que uma das falhas recentemente descobertas – CVE-2024-21893, uma falha de falsificação de solicitação no servidor – está sendo explorada em massa.
Embora a Ivanti tenha corrigido as vulnerabilidades desde então, os pesquisadores de segurança esperam que haja mais impacto nas organizações à medida que mais grupos de hackers exploram a falha. Steven Adair, fundador da empresa de segurança cibernética Volexity, uma empresa de segurança que acompanha a exploração das vulnerabilidades da Ivanti, alertou que agora que o código de exploração de prova de conceito é público, “quaisquer dispositivos não corrigidos acessíveis pela Internet provavelmente foram comprometidos várias vezes sobre.”
Piotr Kijewski, executivo-chefe da Shadowserver Foundation, uma organização sem fins lucrativos que verifica e monitora a Internet em busca de exploração, disse ao TechCrunch na quinta-feira que a organização observou mais de 630 IPs exclusivos tentando explorar a falha do lado do servidor, que permite que invasores obtenham acesso aos dados em dispositivos vulneráveis.
Esse é um aumento acentuado em comparação com a semana passada, quando Shadowserver disse observou 170 IPs únicos tentando explorar a vulnerabilidade.
Um análise da nova falha do lado do servidor mostra que o bug pode ser explorado para contornar a mitigação original da Ivanti para a cadeia de exploração inicial envolvendo as duas primeiras vulnerabilidades, tornando efetivamente essas mitigações pré-patch discutíveis.
Kijewski acrescentou que o Shadowserver está atualmente observando cerca de 20.800 dispositivos Ivanti Connect Secure expostos à Internet, abaixo dos 22.500 da semana passada, embora tenha observado que não se sabe quantos desses dispositivos Ivanti são vulneráveis à exploração.
Não está claro quem está por trás da exploração em massa, mas os pesquisadores de segurança atribuíram a exploração dos dois primeiros bugs do Connect Secure a um grupo de hackers apoiado pelo governo da China, provavelmente motivado por espionagem.
A Ivanti disse anteriormente que estava ciente da exploração “direcionada” do bug do lado do servidor, visando um “número limitado de clientes”. Apesar dos repetidos pedidos do TechCrunch esta semana, a Ivanti não quis comentar os relatos de que a falha está sendo explorada em massa, mas não contestou as descobertas do Shadowserver.
Ivanti começou a lançar patches aos clientes sobre todas as vulnerabilidades, juntamente com um segundo conjunto de mitigações no início deste mês. No entanto, a Ivanti observa em seu comunicado de segurança – atualizado pela última vez em 2 de fevereiro – que está “lançando patches para o maior número de instalações primeiro e depois continuando em ordem decrescente”.
Não se sabe quando a Ivanti disponibilizará os patches para todos os seus clientes potencialmente vulneráveis.
Relatos de outra falha da Ivanti sendo explorada em massa vêm dias depois que a agência de segurança cibernética dos EUA, CISA, ordenou que as agências federais desconectassem urgentemente todos os dispositivos VPN da Ivanti. O alerta da agência fez com que a CISA desse às agências apenas dois dias para desconectar os aparelhos, citando a “séria ameaça” representada pelas vulnerabilidades sob ataque ativo.