Pesquisadores da Shadowserver Foundation identificaram milhares de dispositivos Ivanti VPN expostos à internet, provavelmente afetados por uma vulnerabilidade recentemente divulgada que leva à execução remota de código (RCE). Rastreada como CVE-2024-21894 e pontuação de 8.2 no sistema de pontuação comum de vulnerabilidades (CVSS), a falha é descrita como um bug de heap overflow no componente IPSec do Ivanti Connect Secure — anteriormente chamado de Pulse Connect Secure — e Policy Secure que pode ser explorado por invasores remotos e não autenticados para causar uma condição de negação de serviço (DoS) ou executar código arbitrário.
No dia 2 deste mês, a Ivanti lançou atualizações de software para solucionar essa falha e três outras vulnerabilidades em seus dois dispositivos VPN, incluindo CVE-2024-22053, outro bug de heap overflow de alta gravidade que leva a negação de serviço (DoS).
O problema afeta todas as versões suportadas do Connect Secure e do Policy Secure e a Ivanti pediu a todos os usuários que atualizassem suas instâncias, embora observando que não estava ciente da exploração desses bugs no momento da divulgação.
Veja isso
Ivanti corrige o novo bug de desvio de autenticação em VPNs
Ivanti atrasa cronograma de patch para corrigir dia zero em VPN
Na sexta-feira passada, 5, a ShadowServer, que realiza varreduras diárias na internet para identificar dispositivos vulneráveis e explorados, disse ter identificado mais de 16 mil instâncias do Ivanti VPN potencialmente afetadas pelo CVE-2024-21894. No domingo, 7, os dados da ShadowServer mostravam cerca de 10 mil instâncias Ivanti Connect Secure e Policy Secure acessíveis pela Internet vulneráveis ao CVE-2024-21894.
A Ivanti tem sido alvo de uma série de ataques de dia zero que recentemente desorganizaram suas equipes de resposta de segurança e forçaram o governo dos EUA a emitir instruções de desconexão. A empresa diz que agora está embarcando em uma reforma em toda a organização de segurança cibernética.
