🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma parte significativa das tentativas de exploração visando uma falha de segurança recentemente divulgada no Ivanti Endpoint Manager Mobile (EPMM) pode ser rastreada até um único endereço IP na infraestrutura de hospedagem à prova de balas oferecida pela PROSPERO.
A empresa de inteligência de ameaças GreyNoise disse que registrou 417 sessões de exploração de 8 endereços IP de origem exclusivos entre 1 e 9 de fevereiro de 2026. Estima-se que 346 sessões de exploração se originaram de 193.24.123[.]42, representando 83% de todas as tentativas.
A atividade maliciosa foi projetada para explorar o CVE-2026-1281 (pontuação CVSS: 9,8), uma das duas vulnerabilidades críticas de segurança no EPMM, junto com o CVE-2026-1340 que pode ser explorado por um invasor para obter execução remota de código não autenticado. No final do mês passado, a Ivanti reconheceu estar ciente de um “número muito limitado de clientes” que foram afetados após a exploração dos problemas no dia zero.
Desde então, várias agências europeias, incluindo a Autoridade Holandesa de Proteção de Dados (AP), o Conselho Judiciário, a Comissão Europeia e a Valtori da Finlândia, divulgaram que foram alvo de ameaças desconhecidas que utilizam as vulnerabilidades.
Uma análise mais aprofundada revelou que o mesmo host tem explorado simultaneamente três outros CVEs através de software não relacionado -
CVE-2026-21962 (Oracle WebLogic) – 2.902 sessões
CVE-2026-24061 (telnetd GNU InetUtils) - 497 sessões
CVE-2025-24799 (GLPI) – 200 sessões
“O IP gira em torno de mais de 300 strings de agentes de usuário exclusivos, abrangendo Chrome, Firefox, Safari e diversas variantes de sistema operacional”, disse GreyNoise. “Essa diversidade de impressões digitais, combinada com a exploração simultânea de quatro produtos de software não relacionados, é consistente com ferramentas automatizadas”.
É importante notar que o PROSPERO está vinculado a outro sistema autônomo chamado Proton66, que tem um histórico de distribuição de malware para desktop e Android, como GootLoader, Matanbuchus, SpyNote, Coper (também conhecido como Octo) e SocGholish.
GreyNoise também apontou que 85% das sessões de exploração foram direcionadas para casa através do sistema de nomes de domínio (DNS) para confirmar que “este alvo é explorável” sem implantar qualquer malware ou exfiltrar dados.
A divulgação ocorre dias depois que a Defused Cyber relatou uma campanha de “sleeper shell” que implantou um carregador de classes Java inativo na memória para instâncias EPMM comprometidas no caminho “/mifs/403.jsp”. A empresa de segurança cibernética disse que a atividade é indicativa de uma negociação inicial de corretagem de acesso, onde os atores da ameaça estabelecem uma base para vender ou ceder o acesso posteriormente para obter ganhos financeiros.
“Esse padrão é significativo”, observou. "Os retornos de chamada OAST [testes de segurança de aplicativos fora de banda] indicam que a campanha está catalogando quais alvos são vulneráveis, em vez de implantar cargas úteis imediatamente. Isso é consistente com as operações de acesso inicial que verificam primeiro a explorabilidade e implantam ferramentas subsequentes mais tarde."
Recomenda-se que os usuários do Ivanti EPMM apliquem os patches, auditem a infraestrutura de gerenciamento de dispositivos móveis (MDM) voltada para a Internet, revisem os logs DNS para retornos de chamada no padrão OAST e monitorem o caminho /mifs/403.jsp nas instâncias do EPMM e bloqueiem o sistema autônomo do PROSPERO (AS200593) no nível do perímetro da rede.
“O compromisso EPMM fornece acesso à infraestrutura de gerenciamento de dispositivos para organizações inteiras, criando uma plataforma de movimento lateral que ignora a segmentação de rede tradicional”, disse GreyNoise. “As organizações com MDM voltado para a Internet, concentradores VPN ou outra infraestrutura de acesso remoto devem operar sob a suposição de que vulnerabilidades críticas enfrentam exploração poucas horas após a divulgação.”
A empresa de inteligência de ameaças GreyNoise disse que registrou 417 sessões de exploração de 8 endereços IP de origem exclusivos entre 1 e 9 de fevereiro de 2026. Estima-se que 346 sessões de exploração se originaram de 193.24.123[.]42, representando 83% de todas as tentativas.
A atividade maliciosa foi projetada para explorar o CVE-2026-1281 (pontuação CVSS: 9,8), uma das duas vulnerabilidades críticas de segurança no EPMM, junto com o CVE-2026-1340 que pode ser explorado por um invasor para obter execução remota de código não autenticado. No final do mês passado, a Ivanti reconheceu estar ciente de um “número muito limitado de clientes” que foram afetados após a exploração dos problemas no dia zero.
Desde então, várias agências europeias, incluindo a Autoridade Holandesa de Proteção de Dados (AP), o Conselho Judiciário, a Comissão Europeia e a Valtori da Finlândia, divulgaram que foram alvo de ameaças desconhecidas que utilizam as vulnerabilidades.
Uma análise mais aprofundada revelou que o mesmo host tem explorado simultaneamente três outros CVEs através de software não relacionado -
CVE-2026-21962 (Oracle WebLogic) – 2.902 sessões
CVE-2026-24061 (telnetd GNU InetUtils) - 497 sessões
CVE-2025-24799 (GLPI) – 200 sessões
“O IP gira em torno de mais de 300 strings de agentes de usuário exclusivos, abrangendo Chrome, Firefox, Safari e diversas variantes de sistema operacional”, disse GreyNoise. “Essa diversidade de impressões digitais, combinada com a exploração simultânea de quatro produtos de software não relacionados, é consistente com ferramentas automatizadas”.
É importante notar que o PROSPERO está vinculado a outro sistema autônomo chamado Proton66, que tem um histórico de distribuição de malware para desktop e Android, como GootLoader, Matanbuchus, SpyNote, Coper (também conhecido como Octo) e SocGholish.
GreyNoise também apontou que 85% das sessões de exploração foram direcionadas para casa através do sistema de nomes de domínio (DNS) para confirmar que “este alvo é explorável” sem implantar qualquer malware ou exfiltrar dados.
A divulgação ocorre dias depois que a Defused Cyber relatou uma campanha de “sleeper shell” que implantou um carregador de classes Java inativo na memória para instâncias EPMM comprometidas no caminho “/mifs/403.jsp”. A empresa de segurança cibernética disse que a atividade é indicativa de uma negociação inicial de corretagem de acesso, onde os atores da ameaça estabelecem uma base para vender ou ceder o acesso posteriormente para obter ganhos financeiros.
“Esse padrão é significativo”, observou. "Os retornos de chamada OAST [testes de segurança de aplicativos fora de banda] indicam que a campanha está catalogando quais alvos são vulneráveis, em vez de implantar cargas úteis imediatamente. Isso é consistente com as operações de acesso inicial que verificam primeiro a explorabilidade e implantam ferramentas subsequentes mais tarde."
Recomenda-se que os usuários do Ivanti EPMM apliquem os patches, auditem a infraestrutura de gerenciamento de dispositivos móveis (MDM) voltada para a Internet, revisem os logs DNS para retornos de chamada no padrão OAST e monitorem o caminho /mifs/403.jsp nas instâncias do EPMM e bloqueiem o sistema autônomo do PROSPERO (AS200593) no nível do perímetro da rede.
“O compromisso EPMM fornece acesso à infraestrutura de gerenciamento de dispositivos para organizações inteiras, criando uma plataforma de movimento lateral que ignora a segmentação de rede tradicional”, disse GreyNoise. “As organizações com MDM voltado para a Internet, concentradores VPN ou outra infraestrutura de acesso remoto devem operar sob a suposição de que vulnerabilidades críticas enfrentam exploração poucas horas após a divulgação.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #83% #das #explorações #epmm #da #ivanti #vinculadas #a #ip #único #em #infraestrutura #de #hospedagem #à #prova #de #balas
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário