.
Exclusivo O registro de domínio do Reino Unido, Nominet, está investigando uma possível intrusão em sua rede relacionada às últimas explorações de dia zero da Ivanti.
A Nominet disse aos clientes por e-mail enviado em 8 de janeiro, que foi visto por O Registro: “Tomamos conhecimento de atividades suspeitas em nossa rede no final da semana passada. O ponto de entrada foi através de software VPN de terceiros fornecido pela Ivanti, que permite que nosso pessoal acesse sistemas remotamente.”
Os sistemas de registo e gestão de domínios continuam a funcionar normalmente
“A intrusão não autorizada em nossa rede explorou uma vulnerabilidade de dia zero”, acrescentou o e-mail.
Atualmente, a Nominet disse que não há evidências que sugiram que seus dados tenham sido roubados ou vazados, nem foram identificadas backdoors ou outras formas de acesso não autorizado à sua rede.
“Auxiliada por especialistas externos, nossa investigação continua e implementamos salvaguardas adicionais, incluindo acesso restrito aos nossos sistemas por meio de VPN”, afirmou.
“Os sistemas de registro e gerenciamento de domínios continuam funcionando normalmente.”
O registro de domínio de nível superior cuida de mais de 11 milhões de domínios .uk e outros como .wales, .pharmacy e .career. Anteriormente, ela forneceu o Serviço de Nomes de Domínio Protetor (PDNS) do Centro Nacional de Segurança Cibernética do Reino Unido antes que o contrato fosse concedido à Cloudflare em abril do ano passado.
A Nominet disse que suas investigações em andamento foram agora comunicadas aos clientes, membros e às autoridades relevantes, incluindo o NCSC.
“Iremos atualizá-los quando nossa investigação for concluída ou conforme necessário”, disse aos clientes por e-mail.
Todos os sinais apontam para que a Nominet seja a primeira organização a ser publicamente identificada como vítima da exploração contínua do CVE-2025-0282, a vulnerabilidade de dia zero que afeta Ivanti Connect Secure, Policy Secure e Neurons para gateways ZTA.
Ivanti e Mandiant, a gigante da inteligência ameaçadora convocada para ajudar a gerenciar a análise dos problemas, divulgaram conjuntamente a vulnerabilidade na quarta-feira. A dupla observou que ataques que utilizaram a vulnerabilidade foram observados já em dezembro, mas não especificaram quaisquer vítimas nem os setores em que estavam.
A revelação ocorre quase exatamente um ano depois que um dia zero semelhante atingiu os mesmos produtos Ivanti em janeiro de 2024.
Os investigadores da empresa vincularam as últimas explorações ao cluster de atividades que rastreiam como UNC5337, um grupo com ligações conhecidas com o UNC5221, os culpados pelos ataques do ano passado. A empresa de segurança Volexity disse anteriormente que o UNC5221 parece ter uma ligação com a China, mas a Mandiant disse que não havia dados suficientes para confirmar a atribuição.
A informação comunicada pela investigação da Mandiant é que explorações bem-sucedidas levam à implantação de famílias de malware anteriormente conhecidas (Spawn), bem como novas cepas nunca vistas antes, agora rastreadas como Dryhook e Phasejam.
Mandiant alertou: “Os defensores devem estar preparados para uma exploração generalizada e oportunista, provavelmente visando credenciais e a implantação de shells da web para fornecer acesso futuro”.
Ivanti lançou patches para versões vulneráveis do Connect Secure no momento da divulgação do dia zero, mas Policy Secure e Neurons para ZTA Gateways, ambos também afetados pelas duas novas vulnerabilidades, terão que esperar até 21 de janeiro para suas correções.
O fornecedor foi criticado no ano passado por atrasar o desenvolvimento do patch, deixando os clientes sem uma solução durante semanas, fornecendo apenas uma mitigação que não foi totalmente eficaz em todos os casos.
Acredita-se que a exploração de dia zero tenha afetado milhares de organizações em 2024, incluindo empresas Fortune 500.
“A Ivanti disponibilizou patches para resolver esta vulnerabilidade que estamos implementando”, disse Nominet. “Aqueles que também usam os serviços VPN da Ivanti são incentivados a corrigir seu software imediatamente”. ®
.
