Falha de segurança em equipamentos de rede permite acesso remoto não autorizado. Empresa norte-americana publicou correcção em Outubro mas muitos sistemas permanecem desactualizados.
Centenas de empresas que utilizam equipamentos de rede da fabricante norte-americana Cisco permanecem vulneráveis a campanha de pirataria informática atribuída a grupos chineses, segundo alerta divulgado por investigadores de segurança informática. A vulnerabilidade, identificada em Outubro passado, permite a atacantes obter acesso remoto não autorizado a sistemas críticos de rede.
A empresa de segurança informática Volexity reportou ter detectado exploração activa da falha, catalogada como CVE-2024-20418, em pelo menos uma organização governamental não identificada. Investigadores estimam que várias centenas de sistemas corporativos e governamentais em todo o mundo permanecem expostos devido a não aplicação de actualizações de segurança disponibilizadas pela Cisco.
Falha permite execução remota de código
A vulnerabilidade afecta equipamentos da série Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), amplamente utilizados por empresas e organizações governamentais para proteger perímetros de rede. A falha permite que atacante com credenciais administrativas válidas execute código arbitrário nos dispositivos, contornando mecanismos de segurança.
A Cisco classificou a vulnerabilidade como “alta gravidade” na escala de avaliação de riscos Common Vulnerability Scoring System (CVSS), atribuindo-lhe pontuação de 8,6 em 10 pontos possíveis. Empresa publicou correcção de software em 9 de Outubro de 2024, acompanhada de recomendação para actualização imediata dos sistemas afectados.
Segundo análise da Volexity, atacantes exploraram a falha para instalar ferramentas de persistência que permitem manter acesso aos sistemas mesmo após aplicação de correcções. Técnicas utilizadas incluem modificação de ficheiros de configuração e instalação de componentes maliciosos que se mantêm activos após reinicializações dos equipamentos.
Atribuição a grupos chineses
Investigadores atribuem a campanha a grupos de pirataria informática com ligações ao governo chinês, baseando-se em padrões de ataque, infra-estrutura utilizada e alvos visados. Volexity não identificou publicamente grupos específicos mas afirmou que tácticas observadas são consistentes com operações anteriormente documentadas de actores chineses.
A empresa de segurança informática Mandiant, subsidiária da Google, confirmou ter detectado actividade semelhante em múltiplos clientes, embora não tenha divulgado números específicos. Mandiant classificou a campanha como “exploração oportunista de vulnerabilidade conhecida” em vez de ataque direccionado contra alvos específicos.
Autoridades norte-americanas não comentaram oficialmente a campanha. Agência de Segurança Cibernética e Infra-estruturas (CISA), organismo federal responsável por protecção de sistemas críticos, incluiu a vulnerabilidade CVE-2024-20418 no catálogo de falhas conhecidas exploradas, determinando que agências governamentais devem aplicar correcções até 31 de Dezembro de 2025.
Lentidão na aplicação de correcções
Apesar de correcção estar disponível desde Outubro, varreduras de segurança realizadas por investigadores independentes identificaram centenas de sistemas acessíveis pela internet que permanecem desactualizados. Dados da plataforma Shodan, que indexa dispositivos conectados à internet, mostram cerca de 400 equipamentos Cisco ASA e FTD potencialmente vulneráveis em Dezembro.
Especialistas em segurança informática atribuem lentidão na aplicação de actualizações a múltiplos factores, incluindo complexidade de ambientes corporativos, necessidade de testes antes de aplicar correcções em sistemas críticos, e falta de recursos técnicos em organizações menores.
A Cisco recomenda que administradores de sistemas verifiquem versões de software instaladas e apliquem actualizações disponíveis “com máxima urgência”. Empresa disponibilizou ferramenta automatizada para detecção de sistemas vulneráveis e guias técnicos para implementação de correcções.
Representantes da embaixada chinesa em Washington não responderam a pedidos de comentário sobre alegações de envolvimento em campanha de pirataria informática.
Vulnerabilidades em equipamentos de rede
Equipamentos de perímetro de rede, como firewalls e sistemas de prevenção de intrusões, constituem alvos prioritários para grupos de pirataria informática patrocinados por estados devido a posição estratégica nas infra-estruturas corporativas e governamentais. Comprometer estes dispositivos permite interceptar comunicações, aceder a redes internas e estabelecer presença persistente em sistemas críticos.
A Cisco detém aproximadamente 45% do mercado global de equipamentos de rede empresarial, segundo dados da consultora IDC. Empresa fornece infra-estrutura crítica a governos, instituições financeiras, operadores de telecomunicações e grandes empresas em todo o mundo.
Vulnerabilidades em equipamentos Cisco têm sido historicamente exploradas por grupos de pirataria informática ligados à China, Rússia, Irão e Coreia do Norte. Em 2023, agências de segurança norte-americanas alertaram para campanha massiva de exploração de dispositivos de rede não actualizados por grupo chinês denominado “Volt Typhoon”.
Common Vulnerability Scoring System (CVSS) é padrão industrial para avaliação de gravidade de vulnerabilidades informáticas, utilizando escala de 0 a 10 pontos. Vulnerabilidades com pontuação superior a 7,0 são consideradas “altas” ou “críticas” e requerem aplicação prioritária de correcções.
