Ivanti relatou cinco vulnerabilidades em seu serviço VPN. Eles são rastreados sob CVE-2024-21888, CVE-2024-21893, CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893. Este último é explorado ativamente por vários invasores, uma vez que existe um cenário de ataque disponível publicamente.
Fonte da imagem: Pete Linforth / pixabay.com
Ivanti relatou inicialmente que seu serviço Connect Secure VPN tinha vulnerabilidades CVE-2023-46805 e CVE-2024-21887. Este serviço é utilizado por muitas organizações públicas e privadas em todo o mundo – funcionários de empresas, bancos, instituições educacionais e médicas conectam-se a uma rede virtual e entram nos sistemas internos das organizações enquanto estão fora dos escritórios. Segundo a empresa, estas vulnerabilidades têm sido exploradas desde dezembro por hackers associados às autoridades chinesas para invadir as redes dos seus clientes e roubar dados. Ivanti posteriormente acrescentou que existem mais duas vulnerabilidades do Connect Secure conhecidas como CVE-2024-21888 e CVE-2024-21893.
Especialistas terceirizados em segurança cibernética acrescentaram que há outra vulnerabilidade no serviço Ivanti VPN – ela está registrada sob o número CVE-2024-21893. O desenvolvedor corrigiu todos os erros, mas a vulnerabilidade mais recente continua a ser amplamente utilizada por vários invasores, e o número de incidentes relacionados a ela continuará a crescer, uma vez que o código de exploração está disponível publicamente e nem todos os clientes possuem atualizações instaladas. Na semana passada, a organização sem fins lucrativos Shadowserver Foundation registrou 170 endereços IP a partir dos quais foram feitas tentativas de explorar esta vulnerabilidade, e no dia anterior seu número ultrapassou 630. Além disso, se na semana passada 22.500 dispositivos Ivanti Connect Secure conectados à Internet foram monitorados, atualmente restam 20.800, e não se sabe quantos deles estão vulneráveis a hackers.
Ivanti não comentou relatos de que a vulnerabilidade estava sendo explorada massivamente, mas a empresa também não contestou as descobertas do Shadowserver. Notavelmente, a Ivanti ainda não lançou a atualização para todos os clientes. Alguns dias antes, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) ordenou que todas as agências federais desligassem todos os sistemas de clientes Ivanti dentro de dois dias, citando uma “ameaça séria” associada à vulnerabilidade explorável.