# CVE-2025-14174 > [!high] RCE no Ivanti Connect Secure - Explorado pelo UNC6353 > Vulnerabilidade de execução remota de código no Ivanti Connect Secure explorada pelo grupo UNC6353 em campanhas de acesso inicial a redes corporativas, seguindo o padrão estabelecido de exploração massiva de gateways VPN Ivanti. ## Visão Geral A [[cve-2025-14174|CVE-2025-14174]] afeta o **Ivanti Connect Secure** (antigo Pulse Secure), uma das soluções de VPN empresarial mais amplamente deployadas globalmente. O Ivanti Connect Secure tem sido alvo recorrente de atores de ameaça avançados desde 2024, com múltiplas zero-days exploradas por grupos de espionagem e ransomware. O grupo **UNC6353** foi associado à exploração desta vulnerabilidade em campanhas de acesso inicial. A plataforma Ivanti é um alvo de alto valor porque fornece acesso remoto à rede corporativa - comprometer o gateway VPN é equivalente a ter acesso privilegiado à rede interna da organização, bypassando todas as proteções de perímetro. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | RCE autenticado | | Componente | Ivanti Connect Secure - interface de administração | | Vetor | Rede - requer autenticação | | Impacto | Execução de código no gateway VPN | | Contexto de risco | VPN gateway = acesso total à rede interna | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1133-external-remote-services\|T1133]] | Exploração de gateway VPN para acesso remoto | | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do Ivanti Connect Secure | | [[t1078-valid-accounts\|T1078]] | Uso de credenciais VPN comprometidas | | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Movimento lateral pós-acesso VPN | ## Detecção e Defesa **Mitigações:** - Aplicar patch da Ivanti para Connect Secure imediatamente - [[m1051-update-software\|M1051]] - Atualização urgente do firmware/software Ivanti - Forçar reset de senhas de todas as contas VPN após patch - [[m1032-multi-factor-authentication\|M1032]] - MFA obrigatório para acesso VPN - Auditar logs de autenticação VPN para sessões suspeitas > [!latam] Relevância para Brasil e LATAM > O Ivanti Connect Secure é amplamente utilizado por grandes empresas e órgãos governamentais brasileiros para acesso remoto seguro. Comprometer este gateway significa acesso direto às redes corporativas sem passar por controles de perímetro. Dados do CERT.br indicam que gateways VPN são alvos primários em campanhas de ransomware e espionagem no Brasil. ## Referências - [Ivanti Security Advisory](https://www.ivanti.com/blog/security-update) - [NVD - CVE-2025-14174](https://nvd.nist.gov/vuln/detail/CVE-2025-14174)