Boletim semanal de cibersegurança, 7—13 maio

Telefónica Tech    13 mayo, 2022
Unsplash

Vulnerabilidade no BIG-IP explorada para exclusão de informações

Em 4 de maio, o F5 corrigiu, entre outros, uma vulnerabilidade que afetou dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), o que poderia permitir que um invasor não autenticado com acesso à rede ao sistema BIG-IP, através de seus próprios endereços IP ou uma porta de gerenciamento, executasse comandos arbitrários, excluísse ou criasse arquivos ou desabilitasse.

A gravidade da falha na época levantou a necessidade de uma correção, e vários pesquisadores de segurança começaram a alertar para a possibilidade de provas de conceito serem publicadas sem demora.

Apenas alguns dias depois, empresas de segurança como Horizon3 ou Positive Technologies, e security researchers, confirmaram o desenvolvimento de explorações funcionais para a falha.

Desde então, a exploração massiva tem sido relatada, principalmente para baixar webshells que permitem acesso inicial às redes, para o roubo de chaves SSH, e para a enumeração de informações dos sistemas.

Por outro lado, pesquisadores do SANS Internet Storm Center alertaram para a detecção em seus honey pots de vários ataques que executam o comando rm -rf /* em dispositivos BIG-IP.

Este comando está focado na exclusão de todos os arquivos, incluindo arquivos de configuração que permitem que o dispositivo funcione corretamente, uma vez que a exploração concede privilégios raiz ao invasor no sistema operacional Linux dos dispositivos.

Esse tipo de ataque também foi confirmado pelo pesquisador de segurança Kevin Beaumont, que alerta para o desaparecimento de múltiplas entradas em Shodan desta classe de dispositivos.

URL: https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-vulnerability-exploited-to-wipe-devices/

* * *

Microsoft corrige três vulnerabilidades 0-day  

A Microsoft publicou seu boletim mensal de segurança para o mês de maio, no qual corrigiu um total de 75 bugs, incluindo 3 vulnerabilidades 0-day, uma das quais seriam ativamente exploradas, e 8 vulnerabilidades críticas que poderiam permitir a execução remota de códigos ou elevar privilégios no sistema vulnerável.

O 0-day ativamente explorado, categorizado como CVE-2022-26925, é uma vulnerabilidade de falsificação no Windows LSA, que poderia ser explorada por um invasor não autenticado, chamando um método na interface LSARPC e forçando o controlador de domínio a autenticar através do protocolo de segurança do Windows NT LAN Manager (NTLM).

De acordo com seu descobridor, o pesquisador de segurança Raphael John, essa falha estaria sendo explorada e parece ser um novo vetor de ataque para PetitPotam, um ataque de relé NTLM descoberto em julho de 2021.

As outras duas falhas de 0-day correspondem a uma vulnerabilidade de negação de serviço do Windows Hyper-V (CVE-2022-22713) e um bug no driver Magnitude Simba Amazon Redshift ODBC (CVE-2022-29972, também conhecido como SynLapse). A Microsoft recomenda que você aplique atualizações de segurança o mais rápido possível.

URL:  https://msrc.microsoft.com/update-guide/releaseNote/2022-May

* * *

CNPIC alerta para um possível ataque cibernético em infraestruturas críticas 

O Centro Nacional de Proteção de Infraestruturas Críticas e Cibersegurança (CNPIC) da Espanha teria enviado um aviso de segurança para empresas consideradas infraestruturas críticas no país.

Dessa forma, teriam sido alertados sobre o risco de um possível ataque cibernético a empresas de setores críticos como energia, comunicações, financeiras, entre outros.

Esse alerta implica que as empresas tomem precauções extremas e mecanismos de proteção dentro de sua infraestrutura de computadores para serem capazes de enfrentar um possível ataque cibernético de forma preventiva e evitar uma possível interrupção dos serviços que possam afetar o funcionamento dos serviços.

No momento, o tipo de ameaça específica que poderia causar o possível ataque cibernético é desconhecido, assim como a atribuição, embora o propósito pareça indicar a interrupção dos serviços estratégicos.

URL:  https://www.lainformacion.com/empresas/alerta-maxima-en-las-infraestructuras-espanolas-por-riesgo-de-ciberataques/2866557/

* * *

Base de dados exposta com cerca de 21 milhões de usuários de VPN

Pesquisadores da VpnMentor relataram o vazamento no Telegram de um banco de dados Cassandra que conteria 21 milhões de registros exclusivos de usuários de serviços VPN. 

O arquivo, inicialmente comercializado na dark web durante o ano de 2021, teria sido compartilhado desde 7 de maio gratuitamente através do aplicativo de mensagens.

No total são 10 GB de informações onde dados de usuários de serviços gratuitos de VPN conhecidos como GeckoVPN, SuperVPN e ChatVPN estão incluídos.

Entre os dados expostos estariam nomes de usuário, e-mails, nomes pessoais, países, detalhes de faturamento, cadeias de senhas geradas aleatoriamente ou o período de validade da conta.

Os pesquisadores que analisaram a base de dados destacam dois aspectos:

  • que 99,5% das contas são endereços do Gmail, o que indica que é possível que essa base de dados seja apenas um fragmento dos dados comprometidos;
  • e que as senhas eram hashes, salt ou senhas aleatórias, o que sugere que cada uma delas é diferente e a tarefa de decodificá-las torna-se mais complicada.

URL: https://www.vpnmentor.com/blog/vpns-leaked-on-telegram/

* * *

Nova campanha de distribuição Nerbian RAT 

Pesquisadores do Proofpoint detalharam uma campanha de distribuição de um malware que eles chamaram de Nerbian RAT (Remote Access Trojan), para uma referência ao lugar fictício (Nerbia) do romance Don Quixote em uma das funções do malware.

É um novo RAT que usa várias bibliotecas escritas em Go, uma linguagem de programação cada vez mais usada para o desenvolvimento de malware, e que inclui vários componentes focados em evitar sua detecção.

Na campanha observada, a Organização Mundial da Saúde (OMS) estaria se passando por e-mails malspam contendo supostas informações relacionadas ao COVID-19.

Esses e-mails incluem um documento anexado do Word cuja habilitação macro acionará o download de um arquivo .bat que é responsável pela execução de um comando PowerShell para se conectar ao «Comando & Controle».

Consequentemente, o executável que atua como dropper do Nerbian RAT será finalmente baixado. A campanha estaria ativa desde 26 de abril e teria sido dirigida principalmente contra entidades na Itália, Espanha e Reino Unido.

URL: https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques

Deja una respuesta

Tu dirección de correo electrónico no será publicada.