Nova Falha de Execução de Código Remoto (RCE) no Ivanti Pode Afetar 16.000 Gateways VPN Expostos
8 de Abril de 2024

Aproximadamente 16.500 gateways Ivanti Connect Secure e Poly Secure expostos na internet estão provavelmente vulneráveis a uma falha de execução remota de código (RCE) que o fornecedor corrigiu no início desta semana.

A falha é rastreada como CVE-2024-21894 e é um overflow de heap de alta severidade no componente IPSec de Ivanti Connect Secure 9.x e 22.x, permitindo potencialmente que usuários não autenticados causem negação de serviço (DoS) ou alcancem RCE enviando solicitações especialmente criadas.

Na divulgação, em 3 de abril de 2024, o motor de busca na internet Shodan mostrou 29.000 instâncias expostas à internet, enquanto o serviço de monitoramento de ameaças Shadowserver reportou cerca de 18.000.

Naquela época, a Ivanti declarou que não havia visto sinais de exploração ativa em nenhum de seus clientes, mas instou os administradores de sistema a aplicarem as atualizações o mais rápido possível.

Dois dias depois, o Shadowserver adicionou o CVE-2024-21894 em suas capacidades de varredura, relatando que cerca de 16.500 instâncias são vulneráveis à falha de RCE.

A maioria dessas instâncias (4.700) está nos Estados Unidos, com Japão (2.000), Reino Unido (1.000), Alemanha (900), França (900), China (500), Países Baixos (500), Espanha (500), Canadá (330), Índia (330) e Suécia (320) também apresentando significativo nível de exposição.

Vulnerabilidades de alto risco em produtos Ivanti frequentemente atuam como ponto de brecha para organizações em todo o mundo.

No início deste ano, foi revelado que atores de ameaças patrocinados por estados exploraram múltiplas falhas em produtos Ivanti, nomeadamente CVE-2023-46805, CVE-2024-21887, CVE-2024-22024 e CVE-2024-21893 , enquanto eram zero-days, o que significa que o fornecedor não sabia sobre as falhas e não havia correções disponíveis.

Essa atividade foi seguida pela exploração generalizada por vários grupos de hackers para implantar web shells personalizados para backdoor em dispositivos.

Um relatório publicado hoje pela Mandiant aprofunda-se nos recentes casos de exploração de falhas de alto perfil direcionados a endpoints Ivanti, focando em hackers chineses de cinco clusters de atividades distintas e uma família de malwares chamada 'SPAWN' usada nesses ataques.

Administradores de sistemas que não aplicaram as mitigações e correções disponíveis para CVE-2024-21894 são aconselhados a seguir as instruções do fornecedor neste artigo de base de conhecimento.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...