Hackers possivelmente apoiados pela China têm explorado falhas na rede virtual privada (VPN) da Pulse Secure, nos últimos meses, para espionar organizações ligadas à indústria da defesa dos Estados Unidos. O alerta foi dado nessa terça-feira (20) pela controladora da ferramenta.

De acordo com a empresa Ivanti, cibercriminosos usaram uma vulnerabilidade de dia zero desconhecida em dispositivos de VPN do seu pacote Pulse Connect Secure para invadir um “número muito limitado de clientes”.

Segundo a Agência de Segurança Cibernética e de Infraestrutura dos EUA, os ataques cibernéticos, que ainda exploraram outras falhas na ferramenta, tiveram como alvos as agências governamentais do país, entidades de infraestrutura crítica e também organizações do setor privado relacionadas à defesa.

Usuários de VPNs da empresa tiveram as senhas roubadas.Fonte: Unsplash

Detalhes sobre os autores da campanha não foram divulgados pela Ivanti. Porém, a empresa de segurança cibernética Mandiant, que rastreou os ataques, revelou ter encontrado evidências de que pelo menos um dos grupos de atacantes, denominado UNC2630, teria ligação com o governo chinês.

Em busca de informações sigilosas

Conforme a Mandiant, as falhas de segurança na VPN da Pulse Secure permitem aos hackers burlar os sistemas de autenticação de fator único e multifator, que protegem os dispositivos da rede virtual privada. Assim, eles instalam malwares resistentes às atualizações e web shells nas máquinas.

Estes arquivos maliciosos possibilitam acessar os dispositivos remotamente para roubar credenciais de acesso legítimas (nome de usuário e senha) das organizações atacadas, escancarando as portas dos sistemas das empresas, dando acesso total aos criminosos.

A embaixada chinesa rechaçou qualquer ligação do país com os ataques cibernéticos.Fonte: Unsplash

A empresa informou ter rastreado pelo menos 12 famílias de malwares explorando os dispositivos da Pulse Secure a partir da vulnerabilidade intitulada CVE-2021-22893, descoberta este mês e que afetou um número reduzido de clientes, conforme a Ivanti.

No entanto, as falhas descobertas anteriormente e já corrigidas, denominadas CVE-2019-11510, CVE-2020-8243 e CVE-2020-8260, também podem estar sendo exploradas novamente, inclusive por outros grupos de hackers, impactando organizações de defesa, financeiras e governos de mais países que utilizam a VPN da empresa.

Ações para mitigar os riscos

Para reduzir os impactos causados pela falha de dia zero descoberta recentemente, a Ivanti entrou em contato com as organizações afetadas pelo ataque para orientá-las em relação a como mitigar os riscos.

Entre as orientações, está a indicação de uso da ferramenta Pulse Security Integrity Checker, capaz de identificar quaisquer atividades incomuns no sistema. A empresa informou ainda que tem trabalhado em uma solução definitiva para o problema, cuja disponibilidade é prevista para o início de maio.

Organizações americanas são os alvos principais dos ataques.Fonte: Freepik

Quanto às outras brechas também exploradas, a empresa recomendou aos usuários da ferramenta revisar todas as orientações disponibilizadas anteriormente e verificar os patches de segurança já lançados para corrigi-las, além de alterar todas as senhas dos dispositivos, caso haja algum impacto.