Perto de três mil VPNs Ivanti com uma vulnerabilidade crítica que permite a execução remota de código (sendo apenas três no Brasil) podem ser acessadas pela Internet, relata a Shadowserver Foundation com base em sua própria pesquisa. Atualizações para a vulnerabilidade do Ivanti Connect Secure (ICS) estão disponíveis desde 11 de fevereiro, mas muitas organizações ainda não as instalaram.
Leia também
O Ivanti Connect Secure, anteriormente conhecido como Pulse Secure, é uma solução VPN que permite aos usuários acessar a rede de sua organização. A vulnerabilidade crítica, designada CVE-2025-22467, envolve um estouro de buffer baseado em pilha que pode permitir que um invasor remoto execute código. Para explorar a vulnerabilidade, um invasor precisa ser autenticado, mas qualquer usuário será suficiente.
Por exemplo, um invasor pode comprometer as credenciais de um usuário VPN e, assim, explorar a vulnerabilidade no servidor VPN. O impacto da vulnerabilidade foi avaliado como 9,9 em uma escala de 1 a 10. A Ivanti forneceu atualizações em 11 de fevereiro, dizendo que não tem conhecimento de nenhuma exploração da vulnerabilidade. Vulnerabilidades no Ivanti Connected Secure foram usadas em ataques no passado.
A Shadowserver Foundation é uma fundação que se concentra no combate ao crime cibernético e realiza regularmente varreduras on-line em busca de sistemas vulneráveis na Internet. A última verificação procurou por servidores Ivanti VPN que não instalaram a atualização para CVE-2025-22467. Isso resultou em 2.850 endereços IP. A maior parte está localizada nos EUA e no Japão. Com 122 sistemas vulneráveis, a Holanda ocupa o quinto lugar na visão geral.
