Ivanti sofre breach com vulnerabilidades exploradas por hackers

São Paulo — InkDesign News — Em um relatório publicado pela ANSSI em 1º de julho de 2025, a agência francesa de cibernética revelou a atividade de um grupo de cibercrime altamente qualificado, denominado Houken, responsável por uma campanha de ataques sofisticados que exploraram diversas vulnerabilidades zero-day, especificamente as identificadas como CVE-2024-8190, CVE-2024-8963 e CVE-2024-9380, em dispositivos da Ivanti Cloud Service Appliance.

Incidente e vulnerabilidade

O grupo Houken, associado ao ator de ameaça chinês UNC5174, começou suas atividades em setembro de 2024, visando entidades francesas e buscando obter acesso inicial às suas redes. As vulnerabilidades zero-day, que eram desconhecidas para a Ivanti e o público até serem exploradas, possibilitaram que os atacantes executassem códigos remotamente em dispositivos vulneráveis. Durante a investigação, a ANSSI identificou que os hackers empregaram ferramentas complexas, incluindo um rootkit especializado, um módulo de kernel chamado sysinitd.ko, além de um executável de espaço do usuário denominado sysinitd.

Impacto e resposta

Os ataques comprometeram setores sensíveis, como órgãos governamentais, instituições de defesa, prestadoras de telecomunicações, instituições financeiras, veículos de mídia e redes de transporte. A ANSSI suspeita que os hackers do Houken atuam como corretores de acesso inicial, obtendo uma posição vantajosa em sistemas sensíveis, possivelmente para vender acesso a outros grupos interessados em atividades de espionagem mais profundas. Apesar do foco principal em vender acesso para inteligência, um incidente de furto de dados e tentativas de instalação de mineradores de criptomoedas indicam que o grupo também busca ganhos financeiros diretos. “A importância de proteger sistemas expostos na internet é fundamental, especialmente contra vulnerabilidades de execuções remotas de código” (RCE)

“A urgência de proteger sistemas expostos na internet é um ponto crítico.”
(“The urgency of securing internet-facing systems is a critical point.”)

— Garrett Calpouzos, Pesquisador Principal de Segurança, Sonatype

.

Mitigações recomendadas

Como resposta, os especialistas recomendam a implementação imediata de patches de segurança e estratégias para neutralizar as vulnerabilidades mencionadas. Além disso, a adoção de boas práticas de defesa cibernética, como a segmentação de redes e a utilização de monitoramento ativo, devem ser imperativas. O grupo Houken demonstrou uma estratégia astuta ao corrigir as vulnerabilidades que exploraram, dificultando que outros grupos maliciosos utilizassem as mesmas fraquezas, o que os torna ainda mais perigosos, pois buscam uma presença prolongada e indetectável em suas metas.

A continuidade das atividades deste grupo e o impacto global de suas operações demandam uma vigilância exacerbada e um aprimoramento das defesas cibernéticas. As recomendações de segurança incluem a atualização regular dos sistemas e a realização de auditorias de segurança em equipamentos expostos à internet.

Fonte: (Hack Read – Segurança Cibernética)