A CISA alertou agências federais dos EUA para protegerem suas redes contra ataques que exploram três vulnerabilidades críticas afetando os aparelhos do Ivanti Endpoint Manager (EPM).
As três falhas (CVE-2024-13159,
CVE-2024-13160
e
CVE-2024-13161
) são devido a fraquezas de travessia de caminho absoluto que podem permitir a invasores remotos não autenticados comprometer totalmente servidores vulneráveis.
Elas foram reportadas em outubro pelo pesquisador de vulnerabilidades da Horizon3.ai, Zach Hanley, e corrigidas pela Ivanti em 13 de janeiro.
Pouco mais de um mês depois, a Horizon3.ai também lançou exploits de conceito que podem ser usados em ataques de retransmissão para coação não autenticada das credenciais da máquina Ivanti EPM.
Na segunda-feira(10), a CISA adicionou as três vulnerabilidades ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, que lista falhas de segurança que a agência de cibersegurança marcou como exploradas na natureza.
Agências do Ramo Executivo Civil Federal (FCEB) agora têm três semanas, até 31 de março, para proteger seus sistemas contra ataques em curso, conforme exigido pela Diretriz Operacional Vinculativa (BOD) 22-01 emitida em novembro de 2021.
"Esse tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a federação federal." A CISA disse.
Embora a BOD 22-01 se aplique apenas às agências FCEB, a CISA insta fortemente todas as organizações a reduzirem sua exposição a ciberataques priorizando a remediação tempestiva das vulnerabilidades do Catálogo como parte de sua prática de gestão de vulnerabilidades.
A Ivanti ainda não atualizou seu aviso de segurança após a CISA marcar as vulnerabilidades como ativamente exploradas em ataques.
Em janeiro, a CISA e o FBI alertaram que atacantes ainda estão explorando falhas de segurança dos Ivanti Cloud Service Appliances (CSA) corrigidas desde setembro para invadir redes vulneráveis.
Múltiplas outras vulnerabilidades da Ivanti foram exploradas como zero-days no último ano em ataques generalizados visando os aparelhos VPN da companhia e ICS, IPS, e portais de ZTA.
Desde o início de 2025, um ator de espionagem com suspeita de conexões com a China (rastreado como UNC5221) também visou os aparelhos VPN Ivanti Connect Secure, infectando-os com os novos malwares Dryhook e Phasejam após ataques bem-sucedidos de execução de código remoto zero-day.
A Ivanti afirma que faz parcerias com mais de 7.000 organizações mundialmente para fornecer soluções de gestão de sistemas e ativos de TI para mais de 40.000 empresas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...