Boletim semanal de cibersegurança 18-24 junho

Telefónica Tech    24 junio, 2022
Lucian Novosel / Unsplash

Serviços do Microsoft Office 365 e Cloudflare interrompidos globalmente

Ao longo da última terça-feira, vários serviços web foram interrompidos em todo o mundo. A origem desses incidentes residia, por um lado, no Microsoft Office 365 e, por outro, em Cloudflare.

Nas primeiras horas desta terça-feira, vários usuários relataram problemas ao acessar os serviços do Microsoft Office 365, incluindo Exchange, Teams ou SharePoint; A Microsoft informou em sua conta oficial no Twitter sobre esses problemas, bem como que estes estariam no fato de que a infraestrutura de gerenciamento de tráfego não estaria funcionando.

Por outro lado, o Cloudflare também sofreu uma interrupção massiva ontem, afetando sites conhecidos como Amazon, Telegram, Twitch ou Gitlab, entre outros. A origem deste incidente foi causada por uma mudança na configuração da rede emoldurada dentro de um projeto interno para aumentar a resiliência de suas localidades mais movimentadas, resultando em 19 de seus data centers sendo afetados. Atualmente, ambos os incidentes estão resolvidos e todos os serviços estão operando normalmente.

URL: https://blog.cloudflare.com/cloudflare-outage-on-june-21-2022/

* * *

Vulnerabilidade crítica afeta dispositivos NAS da QNAP

A QNAP lançou um aviso de segurança sobre uma vulnerabilidade que afeta seus dispositivos NAS (Network Attached Storage). De acordo com o fabricante, alguns de seus modelos de servidor seriam vulneráveis a possíveis ataques através de uma vulnerabilidade php crítica que remonta a três anos, desde que sua configuração não seja por padrão.

A vulnerabilidade, que foi identificado como CVE-2019-11043 e com um CVSS3 de 9.8, permite a execução remota de código para as versões PHP 7.1.x inferior a 7.1.33, 7.2.x menos que 7.2.24, e 7,3.x menor que 7.3.11. A empresa indica que, para explorar essa vulnerabilidade, tanto o Nginx quanto o PHP-FPM devem ser instalados no servidor NAS.

Caso essas condições sejam atendidas, tal falha afetará as seguintes versões de seus sistemas operacionais: QTS 5.0.X e posteriormente, QTS 4.5.X e posteriores, e aquelas posteriores às seguintes versões QuTS hero h5.0.x, QuTS hero h4.5.X, QuTSCloud c5.0.x. A QNAP também informa aos seus clientes que, no momento, existem patches para os sistemas operacionais QTS 5.0.1.2034 construir 20220515 e posteriormente e QuTS hero h5.0.0.2069 construir 20220614 e posteriores.

URL: https://www.qnap.com/en/security-advisory/QSA-22-20

* * *

Quantum: nova ferramenta para criar arquivos LNK maliciosos

Pesquisadores da Cyble identificaram uma nova ferramenta baseada na criação. LNK malicioso que estaria sendo cada vez mais usado nas fases iniciais de um ataque. O uso de .LNK com código malicioso não é algo novo, pois tem sido usado para manipular ferramentas legítimas do sistema Windows em infecções de malware como Emotet, Bumblebee, Qbot e IcedID.

Com esta nova ferramenta, chamada Quantum, os atacantes podem facilmente executar técnicas como fugir do controle de contas de usuário ou do componente SmartScreen, carregando várias cargas através de um único . LNK, a construção de arquivos HTA e ISO ou a execução de malware de forma atrasada, entre outros.

Da mesma forma, os desenvolvedores desta ferramenta enfatizam que os arquivos gerados são evitados pelas soluções de segurança correspondentes. Finalmente, deve-se notar que algumas versões do Quantum também incluem explorações para a vulnerabilidade «dogwalk», e de Cyble eles estariam ligando seu uso ao conhecido APT Lazarus.

URL: https://blog.cyble.com/2022/06/22/quantum-software-lnk-file-based-builders-growing-in-popularity/

* * *

Cisco anuncia que não corrigirá uma vulnerabilidade em routers Small Business RV

A Cisco alertou os usuários que ainda usam roteadores VR para pequenas empresas que a empresa não planeja corrigir uma nova vulnerabilidade de execução de código remoto, que recebeu um CVSS de 9.8.

A vulnerabilidade, listada como CVE-2022-20825, é o resultado da validação insuficiente de pacotes HTTP em roteadores de pequenas empresas: 110W Wireless-N VPN Firewall, RV130 VPN, RV130W Wireless-N Multifunction VPN e RV215W Wireless-N VPN, desde que a interface web de gerenciamento remoto esteja ativada em conexões WAN.

De acordo com a empresa, apesar da gravidade da falha, nenhum patch ou correção da vulnerabilidade está sendo preparado, pois esses dispositivos estão atualmente sem suporte, e deixou claro que a única mitigação possível é desativar a interface de gerenciamento remoto. Por isso, a empresa recomendou que seus usuários migrassem sua operação para roteadores Cisco Small Business RV132W, RV160 e RV160W.

URL: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v

* * *

Vulnerabilidade crítica no TheHive e Cortex

A empresa de segurança StrangeBee lançou um aviso de segurança para relatar uma vulnerabilidade crítica de desvio de autenticação descoberta no TheHive e no Cortex.

O TheHive é uma plataforma de resposta a incidentes de segurança de código aberto, amplamente utilizada por empresas em todo o mundo, enquanto o Cortex é um mecanismo de análise independente, também desenvolvido pela StrangeBee.

A vulnerabilidade, que foi descoberta por Przemysław Mazurek, permite que qualquer conta na plataforma, incluindo contas de administrador, seja personificada, desde que o módulo de autenticação do Active Directory (AD) seja ativado e usado para autenticar usuários nessas plataformas. Isso ocorre porque o AD aceita conexões anônimas, resultando em se alguém enviar uma solicitação de autenticação para uma conta existente sem senhas usando a API TheHive/Cortex, a resposta da AD à solicitação permite que eles se autenticam como «anônimos».

Essa vulnerabilidade, que ainda não possui um identificador, afeta versões do TheHive 3 a 5 e cortex 3, por isso é recomendável atualizar o mais rápido possível para a versão mais recente.

URL: https://github.com/StrangeBeeCorp/Security/blob/main/Security%20advisories/SB-SEC-ADV-2022-001:%20Authentication%20bypass%20due%20to%20incomplete%20checks%20in%20the%20Active%20Directory%20authentication%20module.md

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *