Uma série recente de ataques cibernéticos destacou vulnerabilidades críticas no Ivanti Connect Secure, uma solução SSL VPN projetada para fornecer acesso remoto seguro a recursos corporativos para usuários remotos e móveis. O software permite que os usuários se conectem com segurança à rede corporativa a partir de qualquer dispositivo habilitado para a Internet, proporcionando maior flexibilidade e segurança para o acesso remoto. Os hackers, identificados como sendo da China, exploraram duas vulnerabilidades de dia zero, colocando em risco a segurança dos dados e da rede de várias organizações.
As vulnerabilidades descobertas
As vulnerabilidades em questão, referenciadas como CVE-2023-46805 e CVE-2024-21887, permitem a execução remota de código sem exigir autenticação. A primeira é uma vulnerabilidade de desvio de autenticação, enquanto a segunda é uma vulnerabilidade de injeção de comando. Juntas, elas dão aos hackers a capacidade de roubar dados, modificar arquivos, fazer download de arquivos remotamente e criar túneis reversos a partir do dispositivo VPN.
A investigação e as respostas
As empresas de segurança cibernética, incluindo a Volexity, desempenharam um papel fundamental na descoberta dessas violações. A Volexity detectou atividades suspeitas na rede de um cliente em dezembro de 2023, o que levou à identificação desses ataques. Embora menos de dez clientes tenham sido diretamente afetados, cerca de 15.000 dispositivos Ivanti estão expostos à Internet, o que indica um risco potencialmente maior.
A Ivanti respondeu anunciando um lançamento escalonado de correções, programado para começar na semana de 22 de janeiro. Nesse meio tempo, a empresa forneceu um arquivo de mitigação XML para proteção imediata contra possíveis ameaças.
No entanto, a Ivanti não comentou sobre a exfiltração de dados que ocorreu como resultado dos ataques.
Implicações para as organizações
Esse incidente destaca a importância de as organizações manterem vigilância constante e atualizarem regularmente seus sistemas de segurança. As organizações que usam a VPN da Ivanti receberam suporte da empresa e são incentivadas a aplicar imediatamente o arquivo de mitigação fornecido e a permanecer alertas a qualquer indicação de comprometimento anterior. Além disso, uma análise aprofundada das redes potencialmente afetadas está em andamento no momento.
Perspectivas e precauções
A exploração dessas vulnerabilidades de dia zero por hackers chineses é um lembrete de que as ameaças de computador podem vir de várias fontes e exigem uma abordagem proativa e reativa por parte das empresas.
A colaboração entre as empresas de segurança cibernética e as empresas afetadas é fundamental para combater efetivamente essas ameaças. Também é imperativo que as empresas adotem uma estratégia abrangente de segurança de TI, incluindo monitoramento regular dos sistemas, atualizações de software e treinamento contínuo dos funcionários em práticas recomendadas de segurança.
Conclusão
O incidente com o Ivanti Connect Secure VPN é um lembrete de que a segurança de TI nunca é garantida como 100% segura para sempre. Todos os sistemas podem ser invadidos de uma forma ou de outra.