# CVE-2025-68461 - Ivanti Connect Secure Buffer Overflow RCE Pré-Autenticado > [!critical] CISA KEV - Exploração Ativa por APTs > Stack-based buffer overflow crítico no Ivanti Connect Secure e Policy Secure permite execução remota de código sem autenticação. CVSS 9.8 e exploração confirmada por grupos de espionagem patrocinados por estado-nação. A CISA ordenou remediação emergêncial para agências federais americanas. ## Visão Geral O Ivanti Connect Secure (anteriormente Pulse Secure) é uma das plataformas de VPN e acesso remoto corporativo mais utilizadas globalmente, presente em milhares de organizações governamentais, financeiras e de infraestrutura crítica. A CVE-2025-68461 é um stack-based buffer overflow no componente de processamento de requisições de autenticação, explorado antes mesmo de qualquer verificação de credenciais, o que classifica esta vulnerabilidade como máxima prioridade operacional. O Ivanti Connect Secure tem sido alvo prioritário de grupos APT desde 2024, quando múltiplas vulnerabilidades zero-day (CVE-2024-21887, CVE-2023-46805) foram exploradas por atores ligados à China e Irã. A CVE-2025-68461 segue este padrão preocupante: dispositivos de borda (edge devices) como VPNs representam alvos particularmente atrativos pois posicionam os atacantes na fronteira da rede corporativa com acesso privilegiado a toda a infraestrutura interna. A exploração desta vulnerabilidade em campanha foi associada a [[unc5337]] (grupo de espionagem chinês) e [[volt-typhoon]], que historicamente alvejam infraestrutura crítica e redes governamentais para pre-positioning estratégico. A adição ao CISA KEV com prazo de remediação emergêncial reflete a gravidade do cenário de exploração ativa. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|--------------------|--------------------| | Ivanti Connect Secure | < 22.7R2.6 | 22.7R2.6 | | Ivanti Policy Secure | < 22.7R1.4 | 22.7R1.4 | | Ivanti Neurons for ZTA Gateways | Verificar advisory | Verificar advisory Ivanti | ## Análise Técnica O buffer overflow ocorre no processo de parsing de pacotes de handshake SSL/TLS inicial no daemon de autenticação do Ivanti Connect Secure. Um atacante pode enviar um pacote especialmente crafted para a porta 443 antes de qualquer autenticação ser processada, sobrescrevendo o stack pointer e redirecionando a execução para shellcode controlado pelo atacante. O primitivo de exploração resulta em execução de código no contexto do processo `web` do appliance, com privilégios suficientes para: - Implantar webshells persistentes (GLASSTOKEN, ZIPLINE - famílias já documentadas em Ivanti comprometidos) - Modificar configurações de VPN para interceptar tráfego autenticado - Criar contas administrativas backdoor - Lateralizar para a rede interna protegida pela VPN **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], [[t1133-external-remote-services|T1133 - External Remote Services]], [[t1505-server-software-component|T1505.003 - Web Shell]], [[t1078-valid-accounts|T1078 - Valid Accounts]] ## Contexto LATAM > [!latam] Impacto na América Latina > Soluções Ivanti Connect Secure são amplamente utilizadas por grandes corporações, bancos e entidades governamentais no Brasil e na América Latina para acesso remoto seguro. O setor financeiro brasileiro - com sua postura de segurança regulada pelo Banco Central e LGPD - possui exposições diretas a esta classe de vulnerabilidade. O histórico de comprometimentos de Ivanti por grupos de espionagem chinesa levanta preocupações específicas para organizações brasileiras com relações comerciais estratégicas ou dados sensíveis de geopolítica regional. Recomenda-se contato com o CTIR Gov para organizações do setor público. ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2025-68461 / Ivanti Connect Secure (TLP:GREEN) > **Artefatos no host:** > - Webshells em `/data/var/dlbi/` ou `/home/webserver/htdocs/dana-na/` > - Processos filhos anômalos de `web` ou `dsagent` > - Modificações em arquivos de configuração `/etc/crontab` ou `/etc/rc.d/` > > **Comportamento de rede:** > - Requisições POST para `/dana-na/auth/` com tamanho de payload incomum (>16KB) > - Conexões de saída para IPs não relacionados ao perfil normal de tráfego > - Tentativas de acesso a `/api/v1/admin/` de IPs externos não esperados > > **Fontes:** [CISA Advisory](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) · [Ivanti Security Advisory](https://forums.ivanti.com/s/article/Security-Advisory) ## Mitigação 1. **Aplicar patch emergêncial** para Connect Secure 22.7R2.6 ou Policy Secure 22.7R1.4 2. Executar a ferramenta de Integrity Checker fornecida pela Ivanti **antes** de aplicar o patch para detectar comprometimento preexistente 3. Se comprometimento for detectado: isolar o appliance, coletar evidências forenses e reconstruir do zero (não confiar em restore de snapshot) 4. Restringir acesso ao portal de administração (porta 8443) por allowlist de IPs de gerência 5. Habilitar autenticação multifator (MFA) para todos os usuários VPN 6. Monitorar [[t1133-external-remote-services|T1133]] e [[t1190-exploit-public-facing-application|T1190]] via regras SIEM nos logs do appliance **Mitigação MITRE:** [[m1030-network-segmentation|M1030 - Network Segmentation]], [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] ## Referências - [NVD - CVE-2025-68461](https://nvd.nist.gov/vuln/detail/CVE-2025-68461) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Ivanti Security Portal](https://forums.ivanti.com/s/article/Security-Advisory) - [Mandiant - Ivanti threat analysis](https://www.mandiant.com/resources/blog)