A Ivanti descobriu duas falhas principais em seus serviços VPN, incluindo uma explorada para roubar dados confidenciais. Para atingir seus objetivos, os cibercriminosos utilizam um trio de vírus.
A Ivanti, empresa especializada em soluções de gestão de TI e segurança cibernética, afirma ter descoberto duas falhas dentro de seus serviços VPN. A primeira vulnerabilidade “permite que um invasor não autenticado cause execução arbitrária de código remotamente”alerta o Centro Governamental de Monitoramento, Alerta e Resposta a Ataques Informáticos na França, que transmite o alerta da Ivanti.
De acordo com a empresa sediada em Utah, a violação é um erro crítico de buffer overflow, uma vulnerabilidade que ocorre quando um programa grava mais dados em um espaço de memória do que foi projetado para conter. É considerado crítico.
Leia também: Bug do Android ameaça a privacidade dos usuários de VPN
Um trio de vírus no ataque
Pela admissão da Ivanti, a violação foi explorado por cibercriminosos para espalhar malware. No entanto, o número de vítimas continua limitado, tranquiliza Ivanti. De acordo com investigações de pesquisadores da Mandiant, subsidiária do Google, a vulnerabilidade permitiu que um trio de vírus, nomeadamente Spawn, Dryhook e Phasejam, se espalhasse desde meados de dezembro.
No momento, a Mandiant não consegue vincular a exploração a nenhuma gangue de hackers específica. No entanto, as suspeitas recaem sobre dois grupos de ciberespionagem financiados pela China. Mandiant enfatiza que “ é possível que vários atores sejam responsáveis pela criação e implantação » de diferentes famílias de vírus.
“Os invasores instalam backdoors para manter o acesso aos sistemas comprometidos. Algumas dessas portas podem persistir apesar das atualizações do sistema, por isso a Ivanti recomenda que os clientes afetados realizem uma reinicialização »explica Mandiant em comunicado enviado à 01Net.
Leia também: Um vazamento de dados “pesadelo” – a localização de milhões de smartphones foi comprometida
Roubo de dados
O objectivo dos piratas parece ser roubar bancos de dados armazenados no dispositivo, muitas vezes contendo informações confidenciais, como sessões VPN, cookies de sessão, chaves API, certificados ou outros dados de identificação. Nomes de usuário e senhas também são interceptados e exfiltrados durante os processos de autenticação.
No processo, Ivanti explica ter liberado uma segunda vulnerabilidade de corrupção de memória em suas ferramentas VPN. De alta severidade, requer autenticação para ser utilizada e permite apenas escalonamento de privilégios.
A Ivanti enfatiza que implantou um patch para resolver ambas as vulnerabilidades. Para o patch destinado aos gateways Policy Secure e Neurons for ZTA (Zero Trust Access), no entanto, você terá que esperar até 21 de janeiro de 2025. Esta não é a primeira falha identificada nos produtos Connect Secure da Ivanti. Há alguns meses, a Agência de Segurança Cibernética e de Infraestrutura (CISA) também foi hackeado através de vulnerabilidades em produtos desenhados pela Ivanti. A agência negligenciou a atualização de dois sistemas com os patches.
🔴 Para não perder nenhuma novidade da 01net, siga-nos no Google News e WhatsApp.
Fonte :
Ivanti