A agência de cibersegurança dos Estados Unidos, CISA, emitiu um aviso urgente sobre uma vulnerabilidade de alta gravidade que afeta o software Ivanti Endpoint Manager (EPM). Conforme indicado no registo oficial de vulnerabilidades, a falha está a ser ativamente aproveitada em ataques informáticos, o que levou as autoridades a ordenarem a atualização imediata dos sistemas nas agências federais norte-americanas num prazo de três semanas, especificamente até ao dia 23 de março de 2026.
O software Ivanti EPM é uma solução centralizada para a gestão de equipamentos que abrange sistemas como Windows, macOS e Linux, além de plataformas Chrome OS e dispositivos de IoT. A falha de segurança em questão, identificada como CVE-2026-1603, permite que atacantes remotos sem privilégios consigam contornar a autenticação. Este processo ocorre através de ataques de cross-site scripting de baixa complexidade, que não requerem qualquer tipo de interação por parte do utilizador final para o roubo de credenciais.
Detalhes da correção e resposta da Ivanti
Embora a CISA tenha agora sinalizado esta vulnerabilidade como estando a ser explorada no mundo real, a Ivanti já tinha disponibilizado uma correção para o problema há cerca de um mês. A atualização foi incluída na versão Ivanti EPM 2024 SU5, que também resolveu um erro de injeção de SQL que poderia permitir a leitura de dados arbitrários da base de dados por atacantes autenticados.
Apesar do alerta da agência governamental, a empresa informou que não recebeu relatos de exploração ativa por parte dos seus clientes antes da divulgação pública. Segundo a Ivanti, a descoberta foi feita através do seu programa de divulgação responsável de problemas de segurança. No entanto, a inclusão deste bug no catálogo de vulnerabilidades conhecidas e exploradas da CISA serve como um aviso sério, uma vez que estes erros são frequentemente utilizados por cibercriminosos para comprometer infraestruturas empresariais e representam riscos elevados.
Instâncias expostas e riscos acrescidos
Dados recentes da plataforma de monitorização Shadowserver indicam a existência de mais de 700 instâncias do Ivanti EPM expostas diretamente na internet, com a maioria localizada na América do Norte. Atualmente, não existem informações precisas sobre quantas destas instalações permanecem vulneráveis aos ataques baseados na falha CVE-2026-1603.
Historicamente, os produtos da Ivanti têm sido alvos frequentes de grupos de piratas informáticos. No ano passado, as autoridades já tinham alertado para outras três vulnerabilidades no sistema EPM que estavam a ser aproveitadas em ataques reais. A rapidez com que os atacantes exploram este tipo de ferramenta de gestão justifica a urgência na aplicação da correção disponibilizada pela fabricante. Manter uma falha deste calibre num sistema que gere milhares de outros dispositivos pode resultar num acesso total à rede de uma organização.
Nenhum comentário
Seja o primeiro!