Threats
Uma campanha coordenada tem visado vulnerabilidades em dispositivos de rede de fabricantes como Cisco, Ivanti e Palo Alto Networks para estabelecer uma presença de longo prazo em redes de telecomunicações e governamentais a nível global
06/09/2025
|
Nos últimos anos, uma campanha coordenada de Ameaças Persistentes Avançadas (APT), atribuída a grupos patrocinados pelo Estado chinês, tem explorado vulnerabilidades críticas em routers de nível empresarial para manter acesso prolongado a redes de telecomunicações e governamentais em todo o mundo. Segundo os analistas, os agentes de ameaça visam sistematicamente dispositivos edge de fornecedor (PE) e edge de cliente (CE) de fabricantes líderes, aproveitando CVE divulgadas publicamente para obter acesso inicial não autorizado. As operações revelam elevada furtividade, encadeando múltiplas explorações para movimento lateral e evasão a ferramentas de deteção. O fluxo típico inicia-se com injeção de componentes web e culmina na captura de pacotes incorporados. Entre as falhas mais exploradas estão a CVE-2024-21887 no Ivanti Connect Secure e a CVE-2024-3400 no PAN-OS GlobalProtect da Palo Alto Networks. Estas vulnerabilidades permitem execução remota de código via pedidos HTTP elaborados, garantindo ao atacante controlo sobre a interface de gestão privilegiada do router. Após o acesso inicial, os agentes exploram também falhas antigas, como CVE-2018-0171 no Cisco IOS Smart Install e CVE-2023-20198 nos módulos de gestão web IOS XE, criando uma cadeia fiável de escalonamento e persistência. A Cyble identificou instrumentalização rápida de código de exploração de prova de conceito, frequentemente adaptado em scripts Python ou Tcl para ambientes específicos de router. Uma vez comprometidos os dispositivos, os grupos APT manipulam listas de controlo de acesso, adicionando IP sob o seu controlo e abrindo portas não standard (32768, 8081) para acesso oculto; exploram o Embedded Packet Capture da Cisco, desviando tráfego TACACS+ e RADIUS para recolher credenciais em texto simples; configuram scripts de arranque para gerar ficheiros PCAP persistentes, exfiltrados periodicamente via túneis GRE encriptados; e alteram a configuração AAA, redirecionando registos e desativando alertas. Estas técnicas transformam os routers comprometidos em plataformas fiáveis para infiltrações empresariais prolongadas, permitindo presença furtiva durante meses ou anos. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
