A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) divulgou novos detalhes sobre o malware RESURGE, um implante malicioso utilizado em ataques de dia zero que exploram a vulnerabilidade CVE-2025-0282 para comprometer dispositivos Ivanti Connect Secure. A agência alerta que o malware pode permanecer dormente nos sistemas, dificultando sua detecção e remoção.
O que é o RESURGE e como ele opera
O RESURGE é um backdoor sofisticado projetado para estabelecer acesso persistente e furtivo em dispositivos de gateway Ivanti. Segundo a CISA, o malware foi implantado em campanhas que exploraram ativamente a falha CVE-2025-0282, uma vulnerabilidade crítica no Ivanti Connect Secure (anteriormente conhecido como Pulse Connect Secure) que permite a execução remota de código (RCE).
Uma característica preocupante destacada pela agência é a capacidade do RESURGE de permanecer inativo por períodos prolongados, ativando-se apenas sob condições específicas ou mediante comandos remotos dos atacantes. Essa dormência torna a detecção por ferramentas de segurança convencionais particularmente desafiadora.
Vetor de ataque e exploração ativa
Os ataques documentados pela CISA começam com a exploração da vulnerabilidade CVE-2025-0282 para obter acesso inicial ao dispositivo. Uma vez dentro, os atacantes implantam o RESURGE, que se camufla nos processos legítimos do sistema. O malware é configurado para se comunicar com servidores de comando e controle (C2) externos, recebendo instruções para roubo de credenciais, movimentação lateral na rede e exfiltração de dados.
A exploração ativa desta vulnerabilidade, classificada como um ataque de dia zero no momento de sua descoberta, aumenta significativamente o risco associado. Organizações que não aplicaram os patches de segurança fornecidos pela Ivanti para CVE-2025-0282 permanecem extremamente vulneráveis.
Impacto e alcance
Embora a CISA não tenha divulgado o número exato de vítimas, os dispositivos Ivanti Connect Secure são amplamente utilizados por organizações de médio e grande porte em todo o mundo, incluindo empresas de diversos setores e órgãos governamentais, para fornecer acesso remoto seguro a redes corporativas. A persistência do RESURGE significa que mesmo organizações que acreditavam ter remediado a vulnerabilidade inicial podem ainda estar comprometidas.
O risco se estende a dados sensíveis, credenciais de administrador de rede e acesso a sistemas internos, criando uma ameaça substancial à confidencialidade, integridade e disponibilidade.
Recomendações da CISA e medidas de mitigação
A CISA emitiu um alerta técnico detalhado com indicadores de comprometimento (IOCs) e táticas, técnicas e procedimentos (TTPs) associados ao RESURGE. As principais recomendações para organizações que utilizam Ivanti Connect Secure incluem:
- Aplicar imediatamente todos os patches de segurança mais recentes fornecidos pela Ivanti, especialmente aqueles que corrigem a CVE-2025-0282.
- Realizar uma varredura forense completa nos dispositivos em busca dos IOCs fornecidos pela CISA, indo além das verificações de integridade padrão do fabricante.
- Considerar a restauração de dispositivos a partir de backups limpos e conhecidos, caso seja detectada qualquer atividade maliciosa.
- Monitorar rigorosamente o tráfego de rede em busca de comunicações suspeitas com os domínios e endereços IP dos servidores C2 identificados.
- Implementar autenticação multifator (MFA) forte para todos os acessos aos dispositivos de gateway e sistemas internos.
Contexto das ameaças a dispositivos de borda
Este caso se soma a uma série de incidentes de alta gravidade envolvendo dispositivos de acesso remoto e de borda de rede, como VPNs e gateways SD-WAN. Esses equipamentos, por sua natureza de exposição à internet e alto nível de privilégio, são alvos frequentes de grupos de ciberespionagem e ransomware. A descoberta do RESURGE reforça a necessidade de um modelo de segurança que assuma a violação (assume-breach) e de monitoramento contínuo, mesmo após a aplicação de patches.