Em fevereiro de 2021, a empresa de tecnologia Ivanti identificou que hackers ligados à China haviam comprometido a rede da Pulse Secure, subsidiária responsável pelo fornecimento de soluções de VPN para dezenas de empresas e órgãos governamentais em diversos países. As informações constam em um relatório divulgado pela Bloomberg.
De acordo com a publicação, os invasores exploraram uma porta secreta inserida no software de VPN da Pulse Secure. A falha teria possibilitado o acesso indevido a outras 119 organizações que utilizavam a mesma tecnologia, ampliando o alcance do ataque.
A empresa de segurança cibernética Mandiant também tinha conhecimento das invasões e notificou a Ivanti de que a vulnerabilidade estava sendo usada para atingir contratados militares na Europa e nos Estados Unidos.
O caso, que não havia sido divulgado anteriormente, reforça preocupações sobre como aquisições, demissões e estratégias de redução de custos podem impactar a qualidade e a segurança de tecnologias críticas. Após a aquisição da Ivanti pelo fundo de private equity Clearlake Capital Group em 2017, foram realizadas sucessivas rodadas de cortes de pessoal — especialmente em 2022 — afetando profissionais com conhecimento técnico aprofundado sobre os sistemas e protocolos de segurança da companhia.
A porta-voz da Ivanti, Carrie Laudie, contestou as informações divulgadas e afirmou que nunca existiu uma porta dos fundos implantada por hackers no produto Connect Secure. Já a Mandiant não comentou o caso.
O episódio também relembra a situação da concorrente Citrix, que passou por demissões em larga escala após sua aquisição, em 2022, por Elliott Investment Management e Vista Equity Partners. Assim como a Ivanti, a Citrix enfrentou diversos incidentes de segurança e falhas críticas nos últimos anos.
Desde o ataque inicial, os produtos de VPN da Ivanti estiveram envolvidos em pelo menos outros dois grandes episódios de ciberataques.
No início de 2024, a agência de segurança cibernética dos Estados Unidos, CISA, determinou que todas as agências federais desligassem os dispositivos VPN da Ivanti no prazo de 48 horas, após a identificação de exploração ativa de vulnerabilidades até então desconhecidas pela empresa.
Além disso, a Ivanti também comunicou clientes sobre outra falha grave no Connect Secure que estava sendo utilizada por invasores para comprometer ambientes corporativos.
O caso reforça o alerta sobre riscos em soluções de acesso remoto e a necessidade de investimentos contínuos em segurança digital, especialmente em infraestruturas críticas utilizadas por governos e grandes organizações.
