Boletim semanal de cibersegurança 28 maio-3 junho

Evolução rápida do botnet EnemyBot

Desde sua descoberta em março passado por pesquisadores da Securonix, a botnet conhecida como EnemyBot, focada na realização de ataques DDoS, não deixou de se expandir graças principalmente à incorporação de explorações para vulnerabilidades críticas recentes em servidores web, sistemas de gerenciamento de conteúdo, dispositivos IOT ou dispositivos Android.

Já em abril, as amostras analisadas pela Fortinet mostraram a integração da exploração de mais de 12 vulnerabilidades para explorar falhas na arquitetura dos processadores. Agora, um novo relatório da AT&T Labs relata a detecção de uma nova variante na qual foram adicionadas explorações para 24 vulnerabilidades, a maioria delas críticas e, algumas das quais nem sequer têm um CVE atribuído.

Entre as falhas estão a incorporação de explorações para falhas recentes destacadas como as conhecidas no VMWare May (CVE-2022-22954), Spring (CVE-2022-22947) ou BIG-IP (CVE-2022-1388). Essa ameaça tem sido atribuída ao grupo Keksec, especializado na construção de botnets desde 2016. Além disso, o código do malware foi publicado em um repositório do GitHub tornando-o acessível a outros atores de ameaças.

Graças à sua publicação foi possível confirmar que é uma ameaça construída a partir do código de vários botnets (Mirai, Qbot ou Zbot), o que o torna uma ameaça mais poderosa e ajustável. A rápida evolução do EnemyBot levanta a necessidade de avaliar de perto como outros projetos desse grupo, como Tsunami, Gafgyt, DarkHTTP, DarkIRC ou Necro estão progredindo.

Mais: https://cybersecurity.att.com/blogs/labs-research/rapidly-evolving-iot-malware-enemybot-now-targeting-content-management-system-servers

* * *

Mozilla corrige vulnerabilidades em seus produtos

A Mozilla lançou uma nova atualização de segurança para corrigir várias vulnerabilidades que afetam seus navegadores Thunderbird, Firefox e Firefox ESR [3]. Nenhum dos bugs corrigidos foi identificado com gravidade crítica, mas inúmeras vulnerabilidades classificadas com alta criticidade foram corrigidas.

Deve-se notar que a exploração dessas falhas por um agente de ameaças remotas poderia levar aos seguintes impactos: execução remota de código, evasão de restrições de segurança, divulgação de informações confidenciais, falsificação, negação de serviço e manipulação de dados.

A Mozilla recomenda atualizar para as seguintes versões de seus produtos Firefox 101, Firefox ESR 91.10 e Thunderbird 91.10 para mitigar vulnerabilidades.

Mais: https://www.mozilla.org/en-US/security/advisories/

* * *

Killnet volta a ameaçar entidades italianas

O CSIRT da Itália emitiu um alerta no qual aponta para a existência de riscos de possíveis ataques iminentes contra entidades públicas nacionais, entidades privadas que prestam serviços de utilidade pública ou entidades privadas cuja imagem é identificada com o país da Itália.

Este aviso vem depois que o grupo hacktivista Killnet emitiu uma declaração em seu canal do Telegram no qual incita a realizar ataques massivos e sem precedentes contra a Itália. Não é a primeira vez que o grupo demonstra interesse neste país, contra o qual já realizou ataques de negação de serviço em maio passado.

Para alcançar suas intenções, a Killnet anunciou em 24 de maio a operação Panopticon, na qual eles convocam os usuários a fazer parte do grupo e aqueles que fornecerão ferramentas para realizar os ataques. O nome da operação, como eles indicaram, refere-se a um tipo de construção cujo projeto permite observar a totalidade de uma estrutura de seu interior e de um único ponto.

Em relação ao nome usado, o computador bleeping médio aponta que é possível que o DDoS seja o principal alvo, mas que killnet pode querer esforços para se concentrar em aliviar esse tipo de ataque em vez de remediar outros tipos de ataques cibernéticos, talvez sugerindo algum tipo de vazamento de informações com o nome usado.

Finalmente, ontem a mídia italiana informousobre a interrupção dos serviços de várias páginas de serviços, como a polícia estatal italiana e os Ministérios das Relações Exteriores e da Defesa, embora o grupo não tenha reivindicado a responsabilidade por tais eventos por enquanto.

Mais: https://www.bleepingcomputer.com/news/security/italy-warns-organizations-to-brace-for-incoming-ddos-attacks/

* * *

0-day em Confluence ativamente explorado

A Atlassian publicou um aviso de segurança para alertar sobre a exploração ativa de uma vulnerabilidade de 0-day no Confluence para o qual ainda não há patches disponíveis. Essa vulnerabilidade, listada como CVE-2022-26134 e com um risco crítico, permite a execução remota de código não autenticado no Confluence Server e no Data Center confluence (pendente de confirmação se em todas as versões, mas possivelmente assim).

A exploração dessa vulnerabilidade foi detectada pela equipe da Volexity durante a investigação de um incidente de segurança no último fim de semana, no qual observaram que, após o acesso inicial através da exploração deste 0-day, os atacantes implementaram uma cópia em memória do BEHINDER, um servidor web de código aberto que fornece ao atacante recursos como webshells na memória e suporte integrado para interação com o Meterpreter e Ataque de Cobalto.

Uma vez que o BEHINDER foi implantado, os atacantes usaram o webshell na memória para implantar duas webshells adicionais em disco: CHINA CHOPPER e outro shell de upload de arquivo personalizado. A Atlassian recomenda que os clientes restrinjam o acesso à Internet às instâncias de produtos afetados e desabilitem as instâncias tanto no Confluence Server quanto no Data Center.

Da mesma forma, da Atlassian apontam que aqueles que os clientes que usam Confluência hospedados na Nuvem Atlassian não seriam afetados.

Mais: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html