A agência de segurança cibernética dos EUA, CISA, emitiu um alerta sobre uma grave vulnerabilidade no Ivanti Connect Secure (anteriormente Pulse Secure), uma solução VPN amplamente utilizada. A falha permite um estouro de buffer baseado em pilha sem a necessidade de autenticação, possibilitando a execução remota de código em servidores que utilizam o Ivanti Connect Secure. Isso permite que invasores comprometam completamente o servidor VPN.
Leia também
Especialização em IA amplia espaço da mulher em TI
Espiões inventam perfis de devs no GitHub
Após explorar essa vulnerabilidade, os invasores implantam o malware Resurge, que cria um shell web para que possam manter o acesso ao servidor VPN comprometido. O shell permite que os atacantes roubem credenciais de login, criem novas contas, redefinam senhas e aumentem seus privilégios dentro do sistema. Além disso, o malware copia o shell para o disco de inicialização e manipula a imagem do coreboot do sistema, alterando verificações de integridade para garantir que sua presença passe despercebida pelas ferramentas de segurança.
A CISA recomenda que os administradores de sistemas afetados realizem uma redefinição de fábrica dos dispositivos, restaurando-os para o “mais alto nível de confiança”. Embora patches para corrigir a vulnerabilidade tenham sido lançados em janeiro, a exploração do bug já estava ocorrendo antes mesmo das atualizações estarem disponíveis.
Essa vulnerabilidade é um exemplo crítico de como falhas em soluções de acesso remoto podem ser usadas para comprometer redes inteiras, exigindo uma ação imediata por parte das organizações para mitigar os riscos associados.
