Hackers combinaram vulnerabilidades da Ivanti em cadeias de exploração, para comprometer dispositivos CSA, revela um relatório assinado pela CISA e pelo FBI: no final de 2024, ataques coordenados exploraram múltiplas vulnerabilidades nos dispositivos Ivanti Cloud Service Appliances (CSA), conforme revelado no relatório. Esses dispositivos, usados para gerenciar remotamente sistemas corporativos como laptops, tablets e smartphones, tornaram-se alvos de ataques sofisticados, com consequências graves para as organizações afetadas.
Leia também
Falha de plataforma permite ownar IoT em nuvem
Risco de grau elevado na indústria automotiva
Entre as falhas exploradas estavam as vulnerabilidades CVE-2024-8963, que permitia acesso a recursos protegidos do sistema, e CVE-2024-8190, que possibilitava a execução de comandos arbitrários. Em outubro de 2024, duas outras falhas críticas foram identificadas: CVE-2024-9379 e CVE-2024-9380, que envolviam injeção de SQL e comandos maliciosos, permitindo roubo de credenciais, execução de código remoto e instalação de web shells para acesso persistente.
Três organizações relataram invasões bem-sucedidas, mas a resposta rápida evitou danos maiores. Em um dos casos, a detecção de contas de usuários criadas de forma anômala alertou administradores, enquanto outra organização identificou scripts maliciosos codificados em Base64. Os indicadores de comprometimento compartilhados entre as organizações ajudaram a identificar a atividade dos invasores.
As vulnerabilidades permitiram que os atacantes executassem comandos remotamente, roubassem dados sensíveis e mantivessem o acesso aos sistemas. A Ivanti lançou atualizações de segurança em setembro e outubro de 2024 para corrigir os problemas. O FBI e a CISA recomendam que as organizações atualizem imediatamente para a versão mais recente do software CSA e utilizem os indicadores fornecidos para monitorar possíveis ameaças.
