O número de endereços IP que escaneiam os sistemas Ivanti Connect Secure e Pulse Secure aumentou em 800% na semana passada, de acordo com a empresa de rastreamento de atividades na Internet GreyNoise. Especialistas explicam que esses surtos geralmente precedem a exploração ativa de vulnerabilidades ou sua divulgação pública.
Leia também
Ivanti corrige vulnerabilidade crítica de RCE
Ivanti corrige zero-day no Connect Secure
Normalmente, o número de endereços IP exclusivos escaneados pelos serviços Ivanti VPN não excede 30 por dia e, às vezes, permanece dentro dos limites de solicitações únicas. No entanto, em 18 de abril, o GreyNoise viu um aumento acentuado: 234 endereços IP estavam escaneando simultaneamente os endpoints do Ivanti. Em comparação, um total de 1.004 endereços IP exclusivos foram observados nos últimos 90 dias, com quase um quarto de toda a atividade nos três meses ocorrendo em um único dia.
Desses 1.004 endereços IP, a GreyNoise classificou 634 como “suspeitos”, 244 como “maliciosos” e apenas 126 como “seguros”. Analistas dizem que o forte aumento na atividade pode indicar um reconhecimento coordenado antes de um possível ataque.
