Uma vulnerabilidade zero-day recém-descoberta no Ivanti Connect Secure (ICS), solução de VPN corporativa, está sendo ativamente explorada por cibercriminosos, levando a alertas urgentes de autoridades e equipes de segurança. Registrada como CVE-2025-0282, a falha crítica foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA após ataques confirmados que distribuem o malware DslogdRAT.
Análise Técnica da Ameaça
A vulnerabilidade está no componente web do Ivanti ICS (antigo Pulse Secure), permitindo execução remota de código sem autenticação. Cadeias de ataque observadas no Japão mostram uma exploração sofisticada:
- Comprometimento inicial via CVE-2025-0282
- Instalação de web shells para persistência
- Movimento lateral usando credenciais roubadas
- Entrega da carga final, incluindo DslogdRAT
O DslogdRAT possui capacidades avançadas como:
- Keylogging (registro de teclas)
- Captura de tela
- Execução de comandos
- Exfiltração de dados
- Túneis proxy
Resposta e Mitigação
A CISA determinou que todas as agências federais dos EUA corrijam os sistemas afetados até 15 de fevereiro de 2025, mas empresas privadas devem agir com a mesma urgência. A Ivanti publicou orientações recomendando:
- Aplicação imediata de soluções temporárias
- Segmentação de rede para appliances VPN
- Monitoramento reforçado para atividade de web shells
- Troca de credenciais de todas as contas potencialmente expostas
Implicações para a Segurança
Este incidente reforça o padrão preocupante de vulnerabilidades em appliances VPN sendo rapidamente exploradas. A combinação de:
- Comprometimento de dispositivos de perímetro
- Posição privilegiada na rede
- Oportunidades de roubo de credenciais
torna esses ataques especialmente perigosos para empresas. Organizações que usam Ivanti ICS devem presumir comprometimento e realizar investigações profundas, não apenas aplicar patches.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.