# CVE-2017-1182 > [!medium] IBM Tivoli Monitoring - Escalação de Privilégio Local > Vulnerabilidade de elevação de privilégios no IBM Tivoli Monitoring, documentada em conexão com campanhas do **APT10** que visam provedores de serviços gerenciados (MSPs) para alcançar clientes downstream. ## Visão Geral CVE-2017-1182 é uma vulnerabilidade de elevação de privilégios no IBM Tivoli Monitoring (ITM), uma plataforma amplamente utilizada por grandes organizações para monitoramento de infraestrutura de TI. A falha permite que um usuário local com acesso limitado eleve seus privilégios para um nível mais alto no sistema afetado, comprometendo a integridade da plataforma de monitoramento. O contexto operacional mais relevante desta vulnerabilidade está em seu uso documentado em conexão com campanhas do [[g0045-apt10|APT10]], um grupo de ameaça persistente avançada vinculado à China. O APT10 ficou famoso pela operação "Cloud Hopper", que visou provedores de serviços gerenciados (MSPs) que utilizam ferramentas como IBM Tivoli para gerenciar infraestrutura de múltiplos clientes. Ao comprometer o ambiente de monitoramento, o APT10 conseguiu acesso simultâneo a dezenas de organizações-cliente por meio de uma única brecha inicial. A vulnerabilidade em plataformas de gestão como o ITM representa um multiplicador de risco significativo - quem controla o monitoramento controla o ambiente inteiro. ## TTPs Relacionados - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - técnica principal - [[t1199-trusted-relationship|T1199 - Trusted Relationship]] - vetor MSP - [[t1078-003-local-accounts|T1078.003 - Local Accounts]] - uso de contas locais comprometidas - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - exfiltração pós-escalação > [!latam] Relevância para o Brasil > MSPs brasileiros que utilizam IBM Tivoli Monitoring para gerenciar clientes no setor financeiro, governo e indústria devem válidar patches e monitorar acessos privilegiados. A cadeia de ataque MSP-cliente do APT10 foi observada em operações na América Latina, especialmente contra alvos com parceiros de tecnologia americanos ou japoneses. ## Detecção e Defesa - Aplicar patch IBM disponível desde agosto de 2017 - Monitorar [[m1026-privileged-account-management|M1026]] - contas de serviço no Tivoli - Auditar logs de acesso ao ITM para escalonamentos incomuns - Aplicar segmentação de rede para plataformas de monitoramento ## Referências - [IBM Security Bulletin - CVE-2017-1182](https://www.ibm.com/support/pages/node/289293) - [MITRE ATT&CK - APT10 (G0045)](https://attack.mitre.org/groups/G0045/) - [PWC/BAE - Cloud Hopper Report](https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf)