A agência de segurança cibernética dos EUA, CISA, ordenou que as agências federais desconectassem urgentemente os equipamentos IvantiVPN porque o equipamento contém múltiplas falhas de software e representa o risco de ser explorado maliciosamente. Em uma atualização de uma diretriz de emergência emitida pela primeira vez na semana passada, a CISA agora exige que todas as agências federais do poder executivo civil (a lista inclui o Departamento de Segurança Interna e a Comissão de Valores Mobiliários) desconectem todos os dispositivos IvantiVPN porque hackers mal-intencionados estão atualmente explorando inúmeras vulnerabilidades de dia zero para representar uma “ameaça séria”.

Embora as agências federais normalmente tenham semanas para corrigir vulnerabilidades, a CISA ordenou que os dispositivos IvantiVPN fossem desconectados em 48 horas.

“As agências que executam os produtos afetados (soluções IvantiConnectSecure ou IvantiPolicySecure) devem executar imediatamente as seguintes tarefas: Desconectar todas as instâncias de produtos da solução IvantiConnectSecure e IvantiPolicySecure da rede da agência o mais rápido possível até às 23h59 de sexta-feira, 2 de fevereiro de 2024”, diz a diretriz de emergência, atualizada na quarta-feira.

Poucas horas antes de a CISA emitir o aviso, Ivanti afirmou ter descoberto uma terceira vulnerabilidade de dia zero que estava sendo explorada ativamente.

Pesquisadores de segurança dizem que hackers apoiados pelo Estado chinês exploraram pelo menos duas vulnerabilidades do IvantiConnectSecure – rastreadas como CVE-2023-46805 e CVE-2024-21887 – desde dezembro. A Ivanti disse na quarta-feira que descobriu mais duas vulnerabilidades – CVE-2024-21888 e CVE-2024-21893, a última das quais foi explorada em ataques “direcionados”. A CISA disse anteriormente que “observou alguns ataques preliminares contra agências federais”.

Steven Adair, fundador da empresa de segurança cibernética Volexity, disse quinta-feira que pelo menos 2.200 dispositivos Ivanti foram comprometidos até agora. Isso representa um aumento de 500 unidades em relação às 1.700 que a empresa rastreou no início deste mês, embora a Volexity tenha observado que “o total é provavelmente muito maior”.

Numa atualização da diretiva de emergência, a CISA informou às agências que, depois de desligarem os produtos vulneráveis ​​da Ivanti, as agências devem continuar a caçar ameaças em quaisquer sistemas ligados aos dispositivos afetados, monitorizar a autenticação potencialmente exposta ou serviços de gestão de identidade e continuar a auditar os níveis de permissão das contas de acesso.

A CISA também forneceu instruções para restaurar equipamentos Ivanti online, mas não deu às agências federais um prazo para restaurar equipamentos Ivanti online.

“A CISA efetivamente orientou as agências federais a adotarem um método para implantar dispositivos VPN [IvantiConnectSecure] que são considerados recém-instalados e corrigidos como um requisito para colocá-los online novamente”, disse Adari. “Se alguma agência quiser ter certeza absoluta de que seus dispositivos estão operando em um estado conhecido e confiável, este pode ser o melhor curso de ação”.

Após um aviso da CISA de que atores mal-intencionados estavam contornando as mitigações lançadas para as duas primeiras vulnerabilidades, a Ivanti forneceu esta semana patches para versões selecionadas de software afetadas pelas três vulnerabilidades exploradas ativamente. A Ivanti também está pedindo aos clientes que redefinam seus dispositivos para a configuração original antes de corrigir, para evitar que hackers obtenham acesso persistente em suas redes.