# CVE-2025-61932 > [!medium] Divulgação de Informações no Ivanti - Bronze Butler na Cadeia de Ataque > Vulnerabilidade de divulgação de informações não autenticada no Ivanti Connect Secure/Policy Secure permite que atacantes remotos obtenham dados sensíveis do sistema. Referenciada na cadeia de exploração do grupo de espionagem japonês **Bronze Butler** (APT). ## Visão Geral [[cve-2025-61932|CVE-2025-61932]] afeta produtos Ivanti de acesso seguro (VPN/ZTNA), permitindo que atacantes não autenticados obtenham informações sensíveis do sistema por meio de requisições HTTP especialmente crafted. Produtos Ivanti têm sido alvo prioritário de múltiplos APTs nos últimos dois anos, especialmente para acesso inicial a redes corporativas. O grupo [[g0060-bronze-butler|Bronze Butler]] (também conhecido como TICK), um APT japonês com foco em espionagem industrial e de defesa, tem histórico de explorar vulnerabilidades em produtos de acesso remoto como vetor de entrada. O uso de falhas em VPNs empresariais permite ao grupo estabelecer acesso persistente antes de se mover lateralmente para sistemas de maior valor. Para organizações brasileiras que utilizam soluções Ivanti para acesso remoto corporativo - especialmente em setores de manufatura, defesa e tecnologia - a monitoração ativa de tentativas de exploração é essencial enquanto patches não estão disponíveis. > [!latam] Relevância LATAM > Empresas brasileiras dos setores de manufatura, tecnologia e defesa que utilizam Ivanti Connect Secure como VPN corporativa devem monitorar ativamente os logs de acesso para padrões anômalos de enumeração e acesso não autenticado às APIs de gerenciamento. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Exposição de Informações Sensíveis (CWE-200) | | Componente | Ivanti Connect Secure / Policy Secure | | Autenticação requerida | Não | | Impacto | Divulgação de dados de sistema e configuração | | Status de patch | Pendente - verificar advisory Ivanti | ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração de aplicação VPN exposta - [[t1133-external-remote-services|T1133]] - Abuso de serviços de acesso remoto - [[t1592-gather-victim-host-information|T1592]] - Coleta de informações do host alvo ## Detecção e Defesa **Mitigação imediata (sem patch disponível):** - Restringir acesso ao portal de gestão Ivanti por IP (whitelist) - Monitorar logs de acesso para requisições anômalas às APIs internas - Aplicar workarounds do advisory oficial Ivanti **Mitigações adicionais:** - [[m1030-network-segmentation|M1030]] - Segmentar interface de gestão do Ivanti - [[m1042-disable-or-remove-feature-or-program|M1042]] - Desabilitar funcionalidades expostas desnecessárias - [[m1051-update-software|M1051]] - Aplicar patch assim que disponível ## Referências - [Ivanti Security Advisory](https://www.ivanti.com/security-advisories) - [CISA - Ivanti vulnerabilities tracker](https://www.cisa.gov) - [Recorded Future - Bronze Butler TTPs](https://www.recordedfuture.com)