Por Mia MacGregor
(The Insurer) - Uma vulnerabilidade crítica tem sido ativamente explorada nos dispositivos VPN da Ivanti Connect Secure (ICS) desde meados de dezembro, de acordo com um alerta feito pela empresa de resposta a incidentes digitais Moxfive.
A vulnerabilidade, identificada como CVE-2025-0282, permite a execução remota de código por meio de um estouro de buffer não autenticado, permitindo que os invasores se infiltrem nas redes e implantem malware, de acordo com o alerta.
A Moxfive observou que os indicadores de exploração incluem solicitações HTTP repetidas que sondam versões específicas do dispositivo, implantação de shells da Web para acesso remoto e modificações no sistema, como a desativação do SELinux e a adulteração de registros.
A empresa de segurança observou a atividade de exploração em vários setores em todo o mundo e alertou que "embora setores específicos não tenham sido destacados, as organizações que utilizam dispositivos ICS VPN vulneráveis correm um risco significativo".
De acordo com a Moxfive, os invasores demonstraram a capacidade de realizar reconhecimento, injetar scripts maliciosos, bloquear atualizações do sistema e explorar controles de acesso fracos para se movimentar lateralmente em redes comprometidas.
Para mitigar a ameaça, a Moxfive aconselhou as organizações que usam dispositivos ICS a tomar medidas proativas, incluindo a aplicação de patches de segurança, o monitoramento de indicadores de comprometimento e o fortalecimento dos controles de acesso.