Vulnerabilidade Zero-Day compromete VPN da Ivanti e afeta milhares de usuários ao redor do mundo.

Hackers exploram vulnerabilidades críticas de zero-day em dispositivos corporativos com VPN da Ivanti

A empresa de cibersegurança Volexity relatou que hackers financiados pelo governo chinês estão explorando duas vulnerabilidades não corrigidas no Ivanti Connect Secure, identificadas como CVE-2023-46805 e CVE-2024-21887, para invadir redes de clientes e roubar informações.

Na época, a Ivanti afirmou estar ciente de "ter menos de 10 clientes" afetados pelas falhas "zero-day", termo utilizado para designar falhas que são exploradas antes que o fornecedor de software tenha tempo para corrigi-las.

Em uma postagem em um blog publicada na segunda-feira, a Volexity afirma agora ter evidências de exploração em massa.

Segundo a Volexity, mais de 1.700 dispositivos Ivanti Connect Secure em todo o mundo foram afetados até agora, impactando organizações nos setores aeroespacial, bancário, defesa, governo e telecomunicações.

"As vítimas estão distribuídas globalmente e variam muito em tamanho, desde pequenas empresas até algumas das maiores organizações do mundo, incluindo várias empresas Fortune 500 em diversos setores", disse a Volexity.

Os pesquisadores da empresa de segurança acrescentaram que os dispositivos com VPN da Ivanti foram "alvo indiscriminado", atingindo vítimas corporativas em todo o mundo.

No entanto, a Volexity observa que o número de organizações comprometidas provavelmente é muito maior. A Shadowserver Foundation, uma organização sem fins lucrativos de rastreamento de ameaças de segurança, possui dados que mostram mais de 17.000 dispositivos com VPN Ivanti visíveis na internet em todo o mundo, incluindo mais de 5.000 dispositivos nos Estados Unidos.

A Ivanti confirmou em seu aviso atualizado na terça-feira que suas próprias descobertas são "consistentes" com as novas observações da Volexity e que os ataques em massa parecem ter começado em 11 de janeiro, um dia após a Ivanti divulgar as vulnerabilidades. Em comunicado fornecido através da agência de relações-públicas MikeWorldWide, a Ivanti disse que observou "um aumento acentuado na atividade de hackers e varreduras de pesquisadores de segurança".

Na última terça-feira, a porta-voz da Volexity, Kristel Faris, disse que a empresa de segurança está em contato com a Ivanti, que está "respondendo os aumentos nas solicitações de suporte o mais rápido possível".

Apesar da exploração em massa, a Ivanti ainda não publicou correções. A Ivanti afirmou que planeja lançar correções de forma "escalada" a partir da semana de 22 de janeiro. Enquanto isso, foram publicadas medidas de mitigação fornecidas pela Ivanti em todos os dispositivos com VPN afetados em suas redes. A Ivanti recomenda que os administradores redefinam senhas e chaves de API, e revoguem e reemitem quaisquer certificados armazenados nos dispositivos afetados.

A Volexity atribuiu inicialmente a exploração dos dois zero-day da Ivanti a um grupo de hackers financiado pela China identificado como UTA0178. A Volexity afirmou ter evidências de exploração já em 3 de dezembro.

A Mandiant, que também está rastreando a exploração das vulnerabilidades da Ivanti, disse que não vinculou a exploração a um grupo de hackers conhecido, mas afirmou que suas descobertas, combinadas com as da Volexity, levam a Mandiant a atribuir os hacks a "uma campanha APT motivada por espionagem", sugerindo envolvimento governamental.

A Volexity disse nesta semana que identificou outros grupos hackers, especificamente um grupo que ela chama de UTA0188, explorando as falhas para comprometer dispositivos vulneráveis, mas se recusou a compartilhar detalhes adicionais sobre o grupo, ou suas motivações.

A Volexity disse ao TechCrunch que não viu evidências de ransomware envolvido nos ataques até o momento. "No entanto, esperamos que isso aconteça se o código proof-of-concept se tornar público", acrescentou Faris.

Pesquisadores de segurança já apontaram a existência de códigos proof-of-concept capazes de explorar o zero-day da Ivanti.

Via - Tech Crunch