Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de cibersegurança, 7—13 maioTelefónica Tech 13 mayo, 2022 Vulnerabilidade no BIG-IP explorada para exclusão de informações Em 4 de maio, o F5 corrigiu, entre outros, uma vulnerabilidade que afetou dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), o que poderia permitir que um invasor não autenticado com acesso à rede ao sistema BIG-IP, através de seus próprios endereços IP ou uma porta de gerenciamento, executasse comandos arbitrários, excluísse ou criasse arquivos ou desabilitasse. A gravidade da falha na época levantou a necessidade de uma correção, e vários pesquisadores de segurança começaram a alertar para a possibilidade de provas de conceito serem publicadas sem demora. Apenas alguns dias depois, empresas de segurança como Horizon3 ou Positive Technologies, e security researchers, confirmaram o desenvolvimento de explorações funcionais para a falha. Desde então, a exploração massiva tem sido relatada, principalmente para baixar webshells que permitem acesso inicial às redes, para o roubo de chaves SSH, e para a enumeração de informações dos sistemas. Por outro lado, pesquisadores do SANS Internet Storm Center alertaram para a detecção em seus honey pots de vários ataques que executam o comando rm -rf /* em dispositivos BIG-IP. Este comando está focado na exclusão de todos os arquivos, incluindo arquivos de configuração que permitem que o dispositivo funcione corretamente, uma vez que a exploração concede privilégios raiz ao invasor no sistema operacional Linux dos dispositivos. Esse tipo de ataque também foi confirmado pelo pesquisador de segurança Kevin Beaumont, que alerta para o desaparecimento de múltiplas entradas em Shodan desta classe de dispositivos. URL: https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-vulnerability-exploited-to-wipe-devices/ * * * Microsoft corrige três vulnerabilidades 0-day A Microsoft publicou seu boletim mensal de segurança para o mês de maio, no qual corrigiu um total de 75 bugs, incluindo 3 vulnerabilidades 0-day, uma das quais seriam ativamente exploradas, e 8 vulnerabilidades críticas que poderiam permitir a execução remota de códigos ou elevar privilégios no sistema vulnerável. O 0-day ativamente explorado, categorizado como CVE-2022-26925, é uma vulnerabilidade de falsificação no Windows LSA, que poderia ser explorada por um invasor não autenticado, chamando um método na interface LSARPC e forçando o controlador de domínio a autenticar através do protocolo de segurança do Windows NT LAN Manager (NTLM). De acordo com seu descobridor, o pesquisador de segurança Raphael John, essa falha estaria sendo explorada e parece ser um novo vetor de ataque para PetitPotam, um ataque de relé NTLM descoberto em julho de 2021. As outras duas falhas de 0-day correspondem a uma vulnerabilidade de negação de serviço do Windows Hyper-V (CVE-2022-22713) e um bug no driver Magnitude Simba Amazon Redshift ODBC (CVE-2022-29972, também conhecido como SynLapse). A Microsoft recomenda que você aplique atualizações de segurança o mais rápido possível. URL: https://msrc.microsoft.com/update-guide/releaseNote/2022-May * * * CNPIC alerta para um possível ataque cibernético em infraestruturas críticas O Centro Nacional de Proteção de Infraestruturas Críticas e Cibersegurança (CNPIC) da Espanha teria enviado um aviso de segurança para empresas consideradas infraestruturas críticas no país. Dessa forma, teriam sido alertados sobre o risco de um possível ataque cibernético a empresas de setores críticos como energia, comunicações, financeiras, entre outros. Esse alerta implica que as empresas tomem precauções extremas e mecanismos de proteção dentro de sua infraestrutura de computadores para serem capazes de enfrentar um possível ataque cibernético de forma preventiva e evitar uma possível interrupção dos serviços que possam afetar o funcionamento dos serviços. No momento, o tipo de ameaça específica que poderia causar o possível ataque cibernético é desconhecido, assim como a atribuição, embora o propósito pareça indicar a interrupção dos serviços estratégicos. URL: https://www.lainformacion.com/empresas/alerta-maxima-en-las-infraestructuras-espanolas-por-riesgo-de-ciberataques/2866557/ * * * Base de dados exposta com cerca de 21 milhões de usuários de VPN Pesquisadores da VpnMentor relataram o vazamento no Telegram de um banco de dados Cassandra que conteria 21 milhões de registros exclusivos de usuários de serviços VPN. O arquivo, inicialmente comercializado na dark web durante o ano de 2021, teria sido compartilhado desde 7 de maio gratuitamente através do aplicativo de mensagens. No total são 10 GB de informações onde dados de usuários de serviços gratuitos de VPN conhecidos como GeckoVPN, SuperVPN e ChatVPN estão incluídos. Entre os dados expostos estariam nomes de usuário, e-mails, nomes pessoais, países, detalhes de faturamento, cadeias de senhas geradas aleatoriamente ou o período de validade da conta. Os pesquisadores que analisaram a base de dados destacam dois aspectos: que 99,5% das contas são endereços do Gmail, o que indica que é possível que essa base de dados seja apenas um fragmento dos dados comprometidos;e que as senhas eram hashes, salt ou senhas aleatórias, o que sugere que cada uma delas é diferente e a tarefa de decodificá-las torna-se mais complicada. URL: https://www.vpnmentor.com/blog/vpns-leaked-on-telegram/ * * * Nova campanha de distribuição Nerbian RAT Pesquisadores do Proofpoint detalharam uma campanha de distribuição de um malware que eles chamaram de Nerbian RAT (Remote Access Trojan), para uma referência ao lugar fictício (Nerbia) do romance Don Quixote em uma das funções do malware. É um novo RAT que usa várias bibliotecas escritas em Go, uma linguagem de programação cada vez mais usada para o desenvolvimento de malware, e que inclui vários componentes focados em evitar sua detecção. Na campanha observada, a Organização Mundial da Saúde (OMS) estaria se passando por e-mails malspam contendo supostas informações relacionadas ao COVID-19. Esses e-mails incluem um documento anexado do Word cuja habilitação macro acionará o download de um arquivo .bat que é responsável pela execução de um comando PowerShell para se conectar ao «Comando & Controle». Consequentemente, o executável que atua como dropper do Nerbian RAT será finalmente baixado. A campanha estaria ativa desde 26 de abril e teria sido dirigida principalmente contra entidades na Itália, Espanha e Reino Unido. URL: https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques Quando eu crescer, quero ser… um engenheiro
Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Telefónica Tech Boletim semanal de Cibersegurança 8 – 14 Abril Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads....
Telefónica Tech Boletim semanal de Cibersegurança 25 – 31 Março GitHub expôs sua chave de host RSA SSH por engano O GitHub anunciou na sexta-feira passada que substituiu sua chave de host RSA SSH usada para proteger as operações do...
Telefónica Tech Boletim semanal de Cibersegurança 17 – 24 Março HinataBot: nova botnet dedicada a ataques DDoS A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Março Nova versão do Trojan bancário Xenomorph Pesquisadores do ThreatFabric detectaram uma nova variante do Trojan bancário para Android Xenomorph. Essa família de malware foi detectada pela primeira vez em fevereiro...
