# CVE-2023-46805 - Ivanti Connect Secure Authentication Bypass > [!high] > Bypass de autenticação via path traversal no Ivanti Connect Secure e Policy Secure, explorado como zero-day desde dezembro de 2023 por atores nexo China. Frequentemente encadeado com **CVE-2024-21887** para obter execução remota de código completa. ## Visão Geral CVE-2023-46805 é uma vulnerabilidade de **bypass de autenticação** no Ivanti Connect Secure (anteriormente Pulse Connect Secure) e [[ivanti-policy-secure|Ivanti Policy Secure]], explorada como zero-day desde dezembro de 2023. A falha reside num path traversal no componente de verificação de autenticação, permitindo que atacantes não autenticados acessem recursos restritos ignorando os controles de acesso. É frequentemente encadeada com [[cve-2024-21887|CVE-2024-21887]] (injeção de comandos pós-autenticação) para obter RCE completo sobre o appliance VPN. O cluster [[unc5221]], avaliado com moderada confiança como nexo China, foi o primeiro a explorar este zero-day em larga escala, implantando webshells customizados como `LIGHTWIRE`, `FRAMESTING` e o backdoor `ZIPLINE`. Atores secundários, incluindo [[g1045-salt-typhoon|Salt Typhoon]] e [[g1017-volt-typhoon|Volt Typhoon]], também foram observados explorando a cadeia em operações de espionagem direcionadas a telecomúnicações, defesa e governo. A exploração foi detectada inicialmente pela Volexity em janeiro de 2024, já com comprometimento ativo de dezenas de organizações em todo o mundo. A Ivanti inicialmente lançou mitigações via XML antes de patches completos em 31 de janeiro de 2024. A resposta gerou controvérsia pois a ferramenta de verificação de integridade (ICT) da empresa falhou em detectar comprometimentos existentes, levando a CISA a emitir diretiva de emergência e recomendar factory reset dos appliances afetados. O incidente expôs lacunas críticas na capacidade de detecção pós-comprometimento de appliances VPN de borda. > [!latam] > Organizações governamentais e de telecomúnicações no Brasil e América Latina que utilizam **Ivanti Connect Secure** como solução VPN corporativa estavam em risco direto. O setor financeiro brasileiro, que depende de VPNs para acesso remoto seguro, também foi afetado. Clientes de grandes integradores de segurança na região reportaram tentativas de exploração a partir de janeiro de 2024. A CISA emitiu Emergency Directive 24-01 com prazo agressivo que forçou resposta imediata em organizações com operações nos EUA e parceiros internacionais. ## Cadeia de Exploração ```mermaid graph TB ATK["Atacante / UNC5221<br/>Acesso remoto anonimizado"] -->|"Path traversal sem autenticação"| ICS["Ivanti Connect Secure<br/>CVE-2023-46805"] ICS -->|"Bypass do controle de acesso"| REST["Recursos Restritos<br/>API endpoints protegidos"] REST -->|"Encadeamento com CVE-2024-21887"| CMD["Injeção de Comandos<br/>RCE pós-autenticação"] CMD -->|"Deploy de webshells"| WS["LIGHTWIRE / FRAMESTING<br/>Persistência na interface web"] WS -->|"Instalação do backdoor"| BACK["ZIPLINE<br/>Backdoor passivo no appliance"] BACK -->|"Coleta e movimentação"| NET["Rede Interna Alvo<br/>Espionagem / Lateral Movement"] ``` ## Produtos Afetados | Produto | Versões Afetadas | Versão Corrigida | |---------|-----------------|-----------------| | Ivanti Connect Secure (ICS) | < 22.7R2.4 | 22.7R2.4+ | | Ivanti Policy Secure | < 22.7R1.2 | 22.7R1.2+ | | Ivanti Neurons for ZTA | Versões afetadas confirmadas | Patch disponível | ## Detalhes Técnicos A vulnerabilidade reside em como o Ivanti Connect Secure processa URLs na interface de gerenciamento web. O componente de autenticação falha em normalizar corretamente sequências de path traversal (`../`, `%2e%2e/`) antes de verificar permissões de acesso. Isso permite que um atacante não autenticado envie requisições para endpoints da API `/api/v1/` que deveriam exigir autenticação, contornando completamente os controles de acesso. O encadeamento com [[cve-2024-21887|CVE-2024-21887]] (Command Injection no endpoint `/api/v1/totp/user-backup-code/{username}/send-test-mail`) eleva a criticidade para um vetor de exploração totalmente não autenticado com execução de código arbitrário como root. A cadeia foi explorada pelo [[unc5221]] para: - Implantar webshells `LIGHTWIRE` (no componente CSP do ICS) e `FRAMESTING` (no Python package CGI) - Instalar o backdoor passivo `ZIPLINE`, que intercepta tráfego de rede específico sem abrir portas adicionais - Executar ferramentas de reconhecimento e coleta de credenciais na rede interna - Realizar movimento lateral usando credenciais VPN coletadas de sessões ativas **TTPs utilizadas:** - [[t1133-external-remote-services|T1133 - External Remote Services]] - acesso inicial via VPN comprometida - [[t1505-003-web-shell|T1505.003 - Web Shell]] - persistência via webshells customizados - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração da interface web - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais coletadas para movimento lateral ## Mitigação **Patch oficial:** - Atualizar para Connect Secure 22.7R2.4 ou superior - Atualizar para Policy Secure 22.7R1.2 ou superior - **Importante:** Patches não removem webshells e backdoors já instalados **Resposta a incidente (appliances possívelmente comprometidos):** 1. Executar a ferramenta ICT (Integrity Check Tool) mais recente da Ivanti 2. Realizar factory reset completo do appliance antes de aplicar patches 3. Revogar e reemitir todos os certificados de VPN e credenciais de serviço 4. Auditar logs de autenticação VPN retroativamente (mínimo 90 dias) 5. Verificar integridade de outras ferramentas de rede de borda na infraestrutura **Controles preventivos:** - Restringir acesso à interface de gerenciamento do ICS por IP (allowlist) - Implementar monitoramento de anomalias em tráfego de saída de appliances VPN - Segmentar rede interna para limitar movimento lateral pós-comprometimento ## Referências - [NVD - CVE-2023-46805](https://nvd.nist.gov/vuln/detail/CVE-2023-46805) - [Ivanti Security Advisory](https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways) - [Volexity Blog - Zero-Day Exploitation](https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/) - [Mandiant - UNC5221 Analysis](https://www.mandiant.com/resources/blog/ivanti-post-exploitation-lateral-movement) - [CISA Emergency Directive 24-01](https://www.cisa.gov/news-events/directives/ed-24-01-mitigate-ivanti-connect-secure-and-ivanti-policy-secure-vulnerabilities) ## Notas Relacionadas - [[cve-2024-21887|CVE-2024-21887]] - injeção de comandos companion, encadeada com esta CVE para RCE completo - [[unc5221]] - cluster nexo China, primeiro explorador identificado em larga escala - [[g1045-salt-typhoon|Salt Typhoon]] - APT chinês, explorou em operações de espionagem - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês, foco em infraestrutura crítica - [[Ivanti Connect Secure Zero-Day Exploitation 2024]] - campanha de exploração em escala global - [[t1133-external-remote-services|T1133 - External Remote Services]] - acesso inicial via VPN comprometida - [[t1505-003-web-shell|T1505.003 - Server Software Component: Web Shell]] - implantação de webshells - [[government]] - setor alvo prioritário das campanhas UNC5221 - [[telecommunications|telecomúnicações]] - setor alvo prioritário em campanhas de espionagem