# CVE-2019-11510 > [!critical] Path Traversal Crítico no Pulse Secure - CISA KEV - Amplamente Explorado > CVE-2019-11510 é uma vulnerabilidade de path traversal não autenticado no Pulse Connect Secure (agora Ivanti) com CVSS 10.0 que permite leitura arbitrária de arquivos incluindo credenciais em texto claro, explorada massivamente por APTs e grupos de ransomware entre 2019 e 2022. ## Visão Geral CVE-2019-11510 é uma das vulnerabilidades de VPN mais exploradas da história recente. Afeta o Pulse Connect Secure (agora Ivanti Connect Secure) e permite que qualquer atacante remoto sem autenticação leia arquivos arbitrários do sistema, incluindo o arquivo de cache de senhas `/data/runtime/mtmp/lmdb/dataa-subs/data.mdb`, que contém credenciais de usuários VPN em texto claro. A gravidade é máxima (CVSS 10.0): vetor remoto, sem requisitos de autenticação ou interação do usuário, e impacto total em confidencialidade, integridade e disponibilidade com escopo alterado. Após a divulgação em 2019, a vulnerabilidade foi massivamente explorada por grupos APT (incluindo [[apt33]], [[apt41]]) e grupos de ransomware como [[s0449-maze|Maze]] para comprometimento inicial de redes corporativas. Está listada na CISA KEV desde novembro de 2021 e continua sendo explorada em ataques oportunistas contra sistemas sem patch. Embora o patch tenha sido lançado em abril de 2019, instâncias vulneráveis continuam sendo encontradas em scans públicos, evidênciando o problema de higiene de patch em VPNs legadas — especialmente relevante para LATAM. > [!latam] Relevância para o Brasil > Organizações brasileiras com instâncias Pulse Secure/Ivanti legadas sem atualização continuam vulneráveis. Grupos de ransomware ativos no Brasil utilizaram esta CVE como vetor de entrada em campanhas documentadas entre 2020-2022. A presença no CISA KEV indica exploração ativa contínua - qualquer instância ainda vulnerável deve ser tratada como comprometida até prova em contrário. ## Detecção e Defesa - Aplicar patch imediatamente ou migrar para versão suportada — [[m1051-update-software|M1051 Update Software]] - Se patch não puder ser aplicado imediatamente: bloquear acesso externo e assumir comprometimento — [[t1078-valid-accounts|T1078]] - Rotacionar TODAS as credenciais que passaram pela VPN afetada — [[m1027-password-policies|M1027]] - Verificar persistência: contas admin criadas, chaves SSH adicionadas, tarefas agendadas — [[t1136-create-account|T1136]] - Monitorar requests para `/dana-na/auth/url_default/welcome.cgi` com path traversal — [[t1190-exploit-public-facing-application|T1190]] - Consultar CISA Alert AA20-010A para indicadores de comprometimento — [[m1032-multi-factor-authentication|M1032]] ## Referências - [CISA Alert AA20-010A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-010a) - [CISA KEV - CVE-2019-11510](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2019-11510](https://nvd.nist.gov/vuln/detail/CVE-2019-11510) - [Pulse Secure Security Advisory SA44101](https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101)