A companhia de software de segurança de TI Ivanti lançou correções para múltiplas vulnerabilidades de segurança que afetam seus gateways Connect Secure e Policy Secure.
Atacantes não autenticados podem explorar uma dessas falhas, uma vulnerabilidade de alta gravidade rastreada como CVE-2024-21894, para obter execução remota de código e acionar estados de negação de serviço em aparelhos não atualizados em ataques de baixa complexidade que não necessitam de interação do usuário.
A vulnerabilidade é causada por uma fraqueza de transbordamento de heap no componente IPSec de todas as versões compatíveis dos gateways.
Embora a Ivanti tenha mencionado que os riscos de execução remota de código são limitados a "certas condições", a empresa não forneceu detalhes sobre as configurações vulneráveis.
"Até o momento do anúncio, não temos conhecimento de nenhum cliente que tenha sido explorado por essas vulnerabilidades", acrescentou a Ivanti.
Hoje, a empresa também corrigiu outras três falhas de segurança, afetando os mesmos produtos e que podem ser exploradas por atores de ameaças não autenticados para ataques de DoS:
CVE-2024-22052: Uma vulnerabilidade de desreferência de ponteiro nulo no componente IPSec
CVE-2024-22053: Uma vulnerabilidade de transbordamento de heap no componente IPSec
CVE-2024-22023: Uma vulnerabilidade de expansão de entidade XML ou XEE no componente SAML
A Ivanti forneceu instruções detalhadas neste Artigo da Base de Conhecimento sobre como acessar e aplicar as correções de segurança de hoje.
O Shodan, um motor de busca utilizado para descobrir serviços e dispositivos expostos na Internet, atualmente rastreia mais de 29.000 gateways VPN Ivanti Connect Secure expostos online, enquanto a plataforma de monitoramento de ameaças Shadowserver vê mais de 18.000.
Atores de ameaças de estados-nação têm explorado múltiplas vulnerabilidades no software da Ivanti este ano, e milhares de endpoints Ivanti Connect Secure e Policy Secure ainda estão em risco.
Essas vulnerabilidades de segurança (ou seja, CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 e
CVE-2024-21893
) foram usadas como brechas de zero-day antes de outros atacantes as explorarem em ataques generalizados para espalhar malware personalizado.
Em resposta, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu uma diretiva de emergência para as agências federais ordenando que protegessem seus sistemas Ivanti contra ataques utilizando as falhas de zero-day.
A diretiva foi posteriormente modificada para exigir que as agências desconectassem os aparelhos VPN Ivanti vulneráveis e os reconstruíssem com software atualizado antes de trazê-los de volta online.
Há três anos, grupos de ameaças suspeitos de serem chineses exploraram outra vulnerabilidade de zero-day do Connect Secure (
CVE-2021-22893
) para violar dezenas de organizações governamentais, de defesa e financeiras nos Estados Unidos e na Europa.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...