# Ivanti > Security vendor · Sede: South Jordan, Utah, EUA · Presença LATAM: Sim ## Mapa de Risco - Produtos, CVEs e Atores ```mermaid graph TB IVANTI["Ivanti"] --> CS["Connect Secure"] IVANTI --> PS["Policy Secure"] IVANTI --> ZTA["Neurons for ZTA"] IVANTI --> CSA["Cloud Service Appliance"] CS --> CVE1["CVE-2024-21887<br/>CVSS 9.1"] CS --> CVE2["CVE-2025-0282<br/>CVSS 9.0"] PS -.->|afetado| CVE1 PS -.->|afetado| CVE2 ZTA -.->|afetado| CVE2 CVE1 --> UNC5221["UNC5221"] CVE1 --> UNC5325["UNC5325"] CVE2 --> UNC5337["UNC5337"] classDef vendor fill:#1a3a5c,color:#fff,stroke:#2980b9 classDef product fill:#2c3e50,color:#fff,stroke:#34495e classDef cve fill:#5a1a1a,color:#fff,stroke:#e74c3c classDef actor fill:#4a3a1a,color:#fff,stroke:#f39c12 class IVANTI vendor class CS,PS,ZTA,CSA product class CVE1,CVE2 cve class UNC5221,UNC5325,UNC5337 actor ``` ## Visão Geral **Ivanti** é uma empresa de software de TI e segurança cibernética, fornecedora de soluções de VPN corporativa, gerenciamento de endpoints e acesso Zero Trust. A empresa tornou-se um dos alvos mais frequentes de ataques sofisticados em 2024-2025, com múltiplas vulnerabilidades zero-day exploradas por grupos de ameaça ligados a operações de espionagem. O produto Connect Secure (anteriormente Pulse Secure) é uma das soluções VPN mais utilizadas globalmente. **Dados do vendor:** - Tipo: Security vendor - VPN corporativa e gerenciamento de acesso - Sede: South Jordan, Utah, EUA - Website: https://www.ivanti.com - Presença no Brasil/LATAM: Sim - presença através de parceiros e revendedores na região - Principais setores atendidos: [[financial]], [[government]], [[technology]], [[healthcare|saúde]] ## Produtos <!-- Static table for Obsidian Publish --> | Produto | Categoria | CVEs | Relevância CTI | |---------|-----------|------|---------------| | [[connect-secure\|Connect Secure]] | vpn | 2 | [[cve-2024-21887\|CVE-2024-21887]], [[cve-2025-0282\|CVE-2025-0282]] - alvo recorrente de zero-days | | [[policy-secure\|Policy Secure]] | gateway | 2 | Afetado por ambas as CVEs catalogadas | | [[neurons-for-zta\|Neurons for ZTA]] | gateway | 1 | Afetado pela [[cve-2025-0282\|CVE-2025-0282]] | | [[cloud-service-appliance\|Cloud Service Appliance]] | cloud | 0 | CVE-2024-8963, CVE-2024-9379 exploradas em 2024 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Produto", product-category AS "Categoria", length(cves-affecting) AS "CVEs" FROM "vendors/ivanti" WHERE type = "product" SORT length(cves-affecting) DESC ``` %% ## Timeline de Vulnerabilidades <!-- Static table for Obsidian Publish --> | CVE | CVSS | Produto | Exploração | Data | |-----|------|---------|------------|------| | [[cve-2025-0282\|CVE-2025-0282]] | 9.0 | [[connect-secure\|Connect Secure]] | Ativa - zero-day desde dez/2024, malware [[RESURGE]] | 2025-01-08 | | [[cve-2024-21887\|CVE-2024-21887]] | 9.1 | [[connect-secure\|Connect Secure]] | Ativa - exploração massiva global, PoC público | 2024-02-01 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", product AS "Produto", exploit-type AS "Exploração" FROM "vulnerabilities" WHERE contains(vendor, "Ivanti") SORT patch-date DESC ``` %% A [[cve-2024-21887|CVE-2024-21887]] é uma vulnerabilidade de injeção de comando que, quando encadeada com [[cve-2023-46805|CVE-2023-46805]] (bypass de autenticação), permite RCE sem autenticação. A CISA emitiu uma diretiva de emergência (ED 24-01) exigindo desconexão dos produtos afetados. A [[cve-2025-0282|CVE-2025-0282]] é um stack buffer overflow explorado como zero-day pelo [[unc5337]], com implantação do malware [[RESURGE]] nos dispositivos comprometidos. ## Uso por Atores de Ameaça A Ivanti tornou-se um dos alvos mais persistentes de grupos de ameaça ligados à China: - [[unc5221]] - grupo de espionagem chinês, primeiro a explorar a cadeia [[cve-2023-46805|CVE-2023-46805]] + [[cve-2024-21887|CVE-2024-21887]] na campanha [[ivanti-connect-secure-exploitation-2024]] - [[unc5325]] - grupo adicional identificado pela [[_intel/sources|Mandiant]] explorando os mesmos vetores no Connect Secure - [[unc5337]] - explorou [[cve-2025-0282|CVE-2025-0282]] como zero-day na [[Ivanti Connect Secure Zero-Day Campaign 2025]] Técnicas predominantes: [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] e [[t1505-003-web-shell|T1505.003 - Web Shell]]. ## Presença LATAM/Brasil O Ivanti Connect Secure é utilizado por organizações brasileiras dos setores [[financial]], [[government]] e [[technology]] como solução de VPN corporativa para acesso remoto seguro. A presença na região ocorre predominantemente através de parceiros e revendedores autorizados. **Setores com maior adoção no Brasil:** - [[financial]] - instituições financeiras com requisitos de acesso remoto seguro - [[government]] - órgãos que utilizam VPN corporativa para trabalho remoto - [[technology]] - empresas de tecnologia com equipes distribuídas **Risco LATAM:** O histórico recorrente de vulnerabilidades zero-day no Connect Secure (2024 e 2025) representa um padrão preocupante para organizações brasileiras. A recomendação da CISA de factory reset antes da aplicação de patches indica a gravidade da persistência dos atacantes. Organizações na região devem avaliar cuidadosamente a continuidade do uso de produtos Ivanti e implementar monitoramento adicional. ## Advisories e Recursos - [Ivanti Security Advisories](https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass) - [Ivanti Blog - Security Updates](https://www.ivanti.com/blog/topics/security-updates) - [CISA - Ivanti Advisories](https://www.cisa.gov/news-events/cybersecurity-advisories) ## Notas Relacionadas **CVEs:** [[cve-2024-21887|CVE-2024-21887]] · [[cve-2025-0282|CVE-2025-0282]] · [[cve-2023-46805|CVE-2023-46805]] · [[cve-2025-22457|CVE-2025-22457]] **Campanhas:** [[ivanti-connect-secure-exploitation-2024]] · [[Ivanti Connect Secure Zero-Day Campaign 2025]] **Atores:** [[unc5221]] · [[unc5325]] · [[unc5337]] **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] · [[t1505-003-web-shell|T1505.003 - Web Shell]]