Hackers maliciosos começaram a explorar em massa duas vulnerabilidades críticas de dia zero no dispositivo VPN corporativo amplamente utilizado da Ivanti.
Isso é de acordo com a empresa de segurança cibernética Volexity, que relatou pela primeira vez na semana passada que hackers apoiados pelo Estado chinês estão explorando as duas falhas não corrigidas no Ivanti Connect Secure – rastreado como CVE-2023-46805 e CVE-2024-21887 — para invadir redes de clientes e roubar informações. Na altura, a Ivanti disse ter conhecimento de “menos de 10 clientes” afetados pelas falhas de “dia zero”, descritas como tal dado que a Ivanti não teve tempo para corrigir as falhas antes de serem exploradas.
Em uma postagem atualizada do blog publicada na segunda-feiraA Volexity diz que agora tem evidências de exploração em massa.
De acordo com a Volexity, mais de 1.700 dispositivos Ivanti Connect Secure em todo o mundo foram explorados até agora, afetando organizações incluindo os setores aeroespacial, bancário, de defesa, governamental e de telecomunicações.
“As vítimas estão distribuídas globalmente e variam muito em tamanho, desde pequenas empresas até algumas das maiores organizações do mundo, incluindo várias empresas da Fortune 500 em vários setores verticais”, disse Volexity. Os pesquisadores da empresa de segurança acrescentaram que os dispositivos Ivanti VPN foram “alvo indiscriminadamente”, com vítimas corporativas em todo o mundo.
Mas a Volexity observa que o número de organizações comprometidas provavelmente será muito maior. Rastreador de ameaças à segurança sem fins lucrativos Shadowserver Foundation tem dados que mostram mais de 17.000 dispositivos Ivanti VPN visíveis na Internet em todo o mundo, incluindo mais de 5.000 dispositivos nos Estados Unidos.
Ivanti confirmado em seu comunicado atualizado na terça-feira que as suas próprias descobertas são “consistentes” com as novas observações da Volexity e que os ataques em massa parecem ter começado em 11 de janeiro, um dia depois de a Ivanti ter divulgado as vulnerabilidades. Em um comunicado fornecido pela agência de relações públicas MikeWorldWide, Ivanti disse ao TechCrunch que “observou um aumento acentuado na atividade de agentes de ameaças e nas verificações de pesquisadores de segurança”.
Quando contatado na terça-feira, a porta-voz da Volexity, Kristel Faris, disse ao TechCrunch que a empresa de segurança está em contato com a Ivanti, que está “respondendo a um aumento nas solicitações de suporte o mais rápido possível”.
Apesar da exploração em massa, a Ivanti ainda não publicou patches. A Ivanti disse que planeja lançar correções “escalonadas” a partir da semana de 22 de janeiro. os administradores são aconselhados a aplicar medidas de mitigação fornecidas pela Ivanti em todos os dispositivos VPN afetados em sua rede. A Ivanti recomenda que os administradores redefinam senhas e chaves de API e revoguem e emitam novamente quaisquer certificados armazenados nos dispositivos afetados.
Sem ransomware… ainda
A Volexity inicialmente atribuiu a exploração dos dois dias zero da Ivanti a um grupo de hackers apoiado pela China que rastreia como UTA0178. A Volexity disse ter evidências de exploração já em 3 de dezembro.
Mandiant, que é também rastreando a exploração das vulnerabilidades da Ivantidisse que não vinculou a exploração a um grupo de hackers anteriormente conhecido, mas disse que suas descobertas – combinadas com as da Volexity – levam a Mandiant a atribuir os hacks a “uma campanha APT motivada por espionagem”, sugerindo envolvimento apoiado pelo governo.
Volexidade disse esta semana que viu grupos de hackers adicionais – especificamente um grupo chamado UTA0188 – explorarem as falhas para comprometer dispositivos vulneráveis, mas se recusou a compartilhar detalhes adicionais sobre o grupo – ou seus motivos – quando questionado pelo TechCrunch.
A Volexity disse ao TechCrunch que não viu nenhuma evidência de que o ransomware esteja envolvido nos hacks em massa neste momento. “No entanto, prevemos totalmente que isso acontecerá se o código de prova de conceito se tornar público”, acrescentou Faris.
Os pesquisadores de segurança social/@GossiTheDog/111766180284989498" rel="noopener">já apontou para a existência de código de prova de conceito capaz de explorar os dias zero da Ivanti.
