Uma das organizações comprometidas por uma falha recentemente descoberta nos produtos Ivanti foi, ironicamente, a Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA.
A confirmação da violação veio da própria CISA, bem como de uma fonte anônima “com conhecimento da situação”, com um porta-voz da CISA dizendo ao The Record que a organização “identificou atividade indicando a exploração de vulnerabilidades nos produtos Ivanti que a agência usa”.
“O impacto foi limitado a dois sistemas, que imediatamente colocamos offline. Continuamos a atualizar e modernizar nossos sistemas e não há impacto operacional neste momento”, disse o porta-voz. Como não compartilharam mais detalhes, a publicação conversou com uma fonte anônima familiarizada com o assunto, que alegou que os sistemas violados e posteriormente desligados incluíam o Gateway de Proteção de Infraestrutura (IP) e a Ferramenta de Avaliação de Segurança Química (CSAT).
Os problemas de Ivanti em 2024
O primeiro detém “informações críticas” sobre a interdependência das infra-estruturas dos EUA, enquanto o último detém “planos de segurança química do sector privado”. O CSAT contém “algumas das informações industriais mais sensíveis do país”, afirmou ainda a publicação, dizendo que inclui a ferramenta Top Screen para instalações químicas de alto risco, Planos de Segurança do Local e Avaliação de Vulnerabilidade de Segurança.
Infelizmente, não sabemos se este foi um ataque de ransomware e se os invasores realmente roubaram algum dos dados confidenciais supostamente armazenados nesses endpoints. Além disso, a identidade dos ataques também é desconhecida, mas se foi ransomware, provavelmente é LockBit, BlackCat (ALPHV) ou Cl0p.
As notícias sobre falhas de segurança nos produtos Ivanti surgiram pela primeira vez no início de janeiro de 2024, quando a empresa anunciou a resolução de uma vulnerabilidade crítica em seu software de gerenciamento de endpoint (EPM), permitindo a execução remota de código (RCE). Nas semanas seguintes, Ivanti encontrou um punhado de falhas adicionais, que mais tarde foram consideradas abusadas em massa por diferentes agentes de ameaças que buscavam implantar vários malwares e infostealers.