Recentemente, os alarmes no mundo da cibersegurança foram ignorados em torno de uma fraqueza crítica em Ivanti Endpoint Manager Mobile (EPMM). Pesquisadores da assinatura de inteligência de rede GreyNoise detectaram centenas de tentativas de exploração direcionadas a esta falha, e o que é notável não foi apenas a quantidade, mas a concentração: a maior parte da atividade maliciosa procedia de um único endereço IP alojada em uma infraestrutura de tipo "bulletproof" associada a PROSPERO. Que um único ator ou uma única plataforma coordene a maioria dos ataques fala de automação em grande escala e de estratégias de reconhecimento muito desenvolvidas. Mais detalhes técnicos e números iniciais foram publicados por GreyNoise em sua análise sobre a exploração ativa de Ivanti: https://www.greynoise.io/blog/active-ivanti-exploitation.
As vulnerabilidades em questão permitem, no pior dos cenários, a execução remota de código sem autenticação, o que eleva seu perigo. Uma delas, identificada como CVE-2026-1281, recebeu uma pontuação CVSS muito alta (9.8), e observou-se que os atacantes provam essas falhas imediatamente após sua divulgação pública. Em ambientes onde a gestão de dispositivos móveis (MDM) está exposta à Internet, uma lacuna no sistema de gestão pode tornar-se uma porta de entrada para comprometer toda a infraestrutura corporativa.
O padrão de atividade descrito por GreyNoise não se limitou apenas a Ivanti: a mesma IP que mostrou um grande volume de tentativas contra EPMM esteve explodindo ao mesmo tempo outras vulnerabilidades em produtos não relacionados. Entre estas estão falhas no Oracle WebLogic, no demônio telnet GNU InetUtils e no GLPI, este último referenciado publicamente na base de dados de vulnerabilidades do NIST: CVE-2025-24799. A simultaneidade na exploração de múltiplos produtos é típica de ferramentas automatizadas que barrem a Internet em busca de objetivos vulneráveis.
Outro dado relevante é a diversidade de marcas do atacante: GreyNoise registrou rotações por mais de 300 cadeias de agente de usuário que emulavam navegadores e sistemas operacionais distintos. Esse mosaico de assinar contribui para camuflar a atividade e sortear regras simples de detecção. Além disso, cerca de 85% das sessões seguiram um padrão de verificação por meio de consultas DNS para verificar se o objetivo era exploável - sem chegar inicialmente a implantar malware ou extrair informações -, uma técnica de sondagem que reduz a exposição do atacante e lhe permite catalogar objetivos susceptíveis de acesso futuro.
Este método se encaixa com o que na indústria se conhece como tradecraft dos "initial access corretos": atores que buscam obter acesso inicial a redes para depois vendê-lo ou transferi-lo para outros grupos com objetivos de extorsão, espionagem ou implantação de cargas maliciosas. Em dias recentes, a empresa Defused Cyber informou sobre uma campanha que deixou uma "sleeper shell" - um carregador Java em memória - em instâncias comprometidas de EPMM, alojada na rota "/mifs/403.jsp". Essa forma de deixar uma porta traseira inativa até sua reativação posterior é precisamente coerente com operações de acesso inicial destinadas a ser monetizadas mais adiante.
A associação da IP apontada com uma rede que se avalia como pertencente a PROSPERO, e a conexão que alguns analistas traçam para outro sistema autônomo com histórico na distribuição de diferentes tipos de malware, destaca a continuidade entre infraestruturas "resilientes" para ataques e atividade criminosa organizada. Embora a mera pertença a uma infra-estrutura não teste a autoria individual de ataques, traz contexto operacional importante para defensores e equipamentos de resposta.
O que deveriam fazer os responsáveis pela segurança que usam Ivanti EPMM? A prioridade é aplicar os adesivos que publica o fabricante e rever qualquer instância de EPMM exposta à Internet. Ivanti mantém um espaço com seus avisos de segurança e atualizações, onde convém consultar as recomendações oficiais e os adesivos disponíveis: https://www.ivanti.com/support/security-advisories. Além do adesivo imediato, é imprescindível auditar a superfície externa, procurar traços de acesso incomum e analisar registros DNS para identificar callbacks que correspondam a padrões de verificação oast (out-of-band application security testing).
Outra medida defensiva razoável é verificar se, nas instâncias de EPMM, aparece a rota /mifs/403.jsp ou qualquer outro sinal de carga persistente em memória, e bloquear no perímetro de rede o sistema autônomo atribuído a PROSPERO (AS200593) quando possível. Essas ações não garantem imunidade total, mas aumentam significativamente o custo para um atacante que trate de explorar facilmente a infraestrutura de gestão de dispositivos.
As consequências de um EPMM comprometido são graves porque permitem a um atacante manipular a gestão de telemóveis e endpoints de toda uma organização, o que abre caminhos internos que podem sortear a segmentação tradicional de redes. Por isso, as equipes de segurança devem agir com a premissa de que as vulnerabilidades críticas são susceptíveis de serem exploradas em questão de horas após sua publicação, e projetar processos de resposta e mitigação acordes a essa velocidade.
Para além dos adesivos e bloqueios, convém aproveitar este incidente como lembrete de práticas mais amplas: limitar a exposição pública de ferramentas de administração, segmentar com rigor os acessos remotos, reforçar a monitorização do tráfego DNS e aplicar detecções baseadas em comportamento que não dependam apenas de assinaturas estáticas. A segurança da gestão de dispositivos é um pilar da resiliência empresarial; falhas nesse elo afetam usuários, dados e continuidade operacional.
O episódio também levanta uma reflexão sobre a economia do cibercrime: a preferência por infra-estruturas que toleram abusos, o emprego de digitalização em massa para catalogar vítimas e a colocação em memória de portas traseiras indicam que muitos atacantes não procuram um impacto imediato, mas uma carteira de acesso que possa ser monetizada no tempo. Para as organizações, a resposta deve ser igualmente paciente e metódica: adesivo, pesquisa, endurecer e, se for caso disso, compartilhar achados com autoridades e comunidade para reduzir o rádio de ação desses operadores.
Se você gerencia EPMM ou gerencia MDM exposto à Internet, prioriza a avaliação e a remediação agora mesmo. A evidência sugere que a exploração é rápida e que os atacantes possuem ferramentas automatizadas que provam múltiplos vetores ao mesmo tempo. Mantenha-se informado através de avisos oficiais do provedor e de análise de inteligência em redes como publicado por GreyNoise, e considera estabelecer controles adicionais para detectar e conter atividade suspeita.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...