Ivanti corrige vulnerabilidade em gateway VPN que permitia ataques de execução remota de código e negação de serviço
4 de Abril de 2024

A companhia de software de segurança de TI Ivanti lançou correções para múltiplas vulnerabilidades de segurança que afetam seus gateways Connect Secure e Policy Secure.

Atacantes não autenticados podem explorar uma dessas falhas, uma vulnerabilidade de alta gravidade rastreada como CVE-2024-21894, para obter execução remota de código e acionar estados de negação de serviço em aparelhos não atualizados em ataques de baixa complexidade que não necessitam de interação do usuário.

A vulnerabilidade é causada por uma fraqueza de transbordamento de heap no componente IPSec de todas as versões compatíveis dos gateways.

Embora a Ivanti tenha mencionado que os riscos de execução remota de código são limitados a "certas condições", a empresa não forneceu detalhes sobre as configurações vulneráveis.

"Até o momento do anúncio, não temos conhecimento de nenhum cliente que tenha sido explorado por essas vulnerabilidades", acrescentou a Ivanti.

Hoje, a empresa também corrigiu outras três falhas de segurança, afetando os mesmos produtos e que podem ser exploradas por atores de ameaças não autenticados para ataques de DoS:

CVE-2024-22052: Uma vulnerabilidade de desreferência de ponteiro nulo no componente IPSec
CVE-2024-22053: Uma vulnerabilidade de transbordamento de heap no componente IPSec
CVE-2024-22023: Uma vulnerabilidade de expansão de entidade XML ou XEE no componente SAML

A Ivanti forneceu instruções detalhadas neste Artigo da Base de Conhecimento sobre como acessar e aplicar as correções de segurança de hoje.

O Shodan, um motor de busca utilizado para descobrir serviços e dispositivos expostos na Internet, atualmente rastreia mais de 29.000 gateways VPN Ivanti Connect Secure expostos online, enquanto a plataforma de monitoramento de ameaças Shadowserver vê mais de 18.000.

Atores de ameaças de estados-nação têm explorado múltiplas vulnerabilidades no software da Ivanti este ano, e milhares de endpoints Ivanti Connect Secure e Policy Secure ainda estão em risco.

Essas vulnerabilidades de segurança (ou seja, CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 e CVE-2024-21893 ) foram usadas como brechas de zero-day antes de outros atacantes as explorarem em ataques generalizados para espalhar malware personalizado.

Em resposta, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma diretiva de emergência para as agências federais ordenando que protegessem seus sistemas Ivanti contra ataques utilizando as falhas de zero-day.

A diretiva foi posteriormente modificada para exigir que as agências desconectassem os aparelhos VPN Ivanti vulneráveis e os reconstruíssem com software atualizado antes de trazê-los de volta online.

Há três anos, grupos de ameaças suspeitos de serem chineses exploraram outra vulnerabilidade de zero-day do Connect Secure ( CVE-2021-22893 ) para violar dezenas de organizações governamentais, de defesa e financeiras nos Estados Unidos e na Europa.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...