# Ivanti Connect Secure > VPN / Remote Access · Vendor: [[_ivanti|Ivanti]] ## Visão Geral **Ivanti Connect Secure** (anteriormente conhecido como Pulse Secure) é uma das soluções de VPN SSL corporativa mais amplamente implantadas do mundo. Utilizado por organizações de todos os tamanhos para acesso remoto seguro, o Connect Secure tornou-se um alvo recorrente de grupos de ameaça avançada desde 2021. Em 2024 e 2025, o produto foi afetado por múltiplas vulnerabilidades críticas exploradas como zero-day, motivando a CISA a emitir a diretiva de emergência **ED 24-01**, determinando que agências federais americanas desconectassem ou mitigassem dispositivos vulneráveis imediatamente. **Dados do produto:** - Categoria: VPN / Acesso Remoto - Vendor: [[_ivanti|Ivanti]] - Versão atual: - - Presença no Brasil/LATAM: Moderada - presente em multinacionais e grandes corporações com operações no Brasil ## Vulnerabilidades Conhecidas <!-- Static table for Obsidian Publish (updated by pipeline) --> | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2024-21887\|CVE-2024-21887]] | 9.1 | Injeção de comando (encadeado com CVE-2023-46805) | Sim | 2024-01 | | [[cve-2025-0282\|CVE-2025-0282]] | 9.0 | Stack-based buffer overflow - RCE sem autenticação | Sim | 2025-01 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "Ivanti Connect Secure") SORT patch-daté DESC ``` %% ## Uso por Atores de Ameaça O Connect Secure é alvo prioritário de múltiplos grupos de espionagem alinhados a interesses da China. A [[cve-2024-21887|CVE-2024-21887]] foi explorada em combinação com a CVE-2023-46805 pelo [[unc5221]] para obter execução remota de código sem autenticação, permitindo implantação de webshells e ferramentas de reconhecimento em redes de vítimas nos setores de defesa, governo e saúde. A campanha [[ivanti-connect-secure-exploitation-2024]] documentou atividade coordenada dos grupos [[unc5221]], [[unc5325]] e [[unc5337]], cada qual com ferramentas e TTPs distintos mas compartilhando o mesmo vetor de acesso inicial via Connect Secure. A [[cve-2025-0282|CVE-2025-0282]], divulgada em janeiro de 2025, demonstrou que o produto permanece sob exploração ativa de zero-days, evidênciando um padrão preocupante de vulnerabilidades críticas pré-patch. > [!warning] Alerta CISA > A CISA emitiu a diretiva de emergência **ED 24-01** determinando ação imediata de todas as agências federais americanas. Organizações com Connect Secure devem verificar status de patch e aplicar mitigações imediatamente. > [!latam] Relevância para Brasil e LATAM > O Ivanti Connect Secure está presente em multinacionais com operações no Brasil. O histórico de zero-days explorados por grupos APT alinhados à China - incluindo setores de defesa, governo e saúde - é relevante para organizações brasileiras que operam em setores estratégicos e utilizam este produto para acesso remoto. ## Notas Relacionadas **Vendor:** [[_ivanti|Ivanti]] **CVEs:** [[cve-2024-21887|CVE-2024-21887]] · [[cve-2025-0282|CVE-2025-0282]] **Campanhas:** [[ivanti-connect-secure-exploitation-2024]] **Atores:** [[unc5221]] · [[unc5325]] · [[unc5337]] **Produtos relacionados:** [[policy-secure]] · [[neurons-for-zta]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1133-external-remote-services|T1133 - External Remote Services]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]] **Setores:** [[government]] · [[defense]] · [[healthcare|saúde]] · [[financial]]