Boletim semanal de cibersegurança 10-16 julho

Atualização de incidentes kaseya VSA

Depois de saber em 2 de julho o ataque realizado pelo grupo de ransomware REvil através da Kaseya VSA, no domingo, 11 de julho, Kaseya lançou o patch para seu software VSA (VSA 9.5.7a), disponível para clientes da VSA On-Premise e VSA SaaS. Esta atualização aborda vulnerabilidades categorizadas como CVE-2021-30116, CVE-2021-30119 e CVE-2021-30120, que permitiram vazamento de credenciais, Scripting cross-site (XSS) e evasão de autenticação de duplo fator, respectivamente. Esta nova versão também corrige um bug que permitia o upload de arquivos sem autorização para um servidor VSA, além de usar o indicador de segurança para cookies de sessão de portal do usuário, já que ele não estava sendo usado; melhorias também foram implementadas na segurança das respostas da API. Em relação ao incidente, vale ressaltar, por outro lado, a publicação neste sábado de um artigo na Bloomberg,que inclui depoimentos de vários ex-funcionários da empresa que alegaram que durante anos alertaram sobre problemas graves no software que não teriam sido levados em conta ou resolvidos.

SolarWinds corrige um novo 0-day ativamente explorado

A empresa de software SolarWinds, que no ano passado estava experimentando uma das campanhas de ciberespionagem mais sofisticadas dos últimos tempos, lançou uma atualização para uma vulnerabilidade de zero-day categorizada como CVE-2021-35211,o que estaria afetando seu produto Serv-U. Como relatado pela SolarWinds em seu próprio aviso, os pesquisadores da Microsoft informaram a tecnologia de uma vulnerabilidade remota de execução de código (RCE) que estava sendo explorada ativamente. Se explorado, um ator mal-intencionado pode ter acesso privilegiado ao hosting do produto Serv-U. A empresa não sabe o verdadeiro escopo da decisão, por isso não forneceu mais detalhes. Os produtos afetados são a transferência de arquivos gerenciados Serv-U e o Serv-U Secure FTP de sua versão 15.2.3 HF1 e anterior. O SolarWinds habilitou uma atualização segura na versão 15.2.3 HF2, para a qual é recomendado atualizar.

Após o lançamento da atualização de segurança do SolarWinds, a Microsoft divulgou novos detalhes da investigação realizada onde eles especificaram que detectaram uma exploração usada em ataques direcionados ao produto SolarWinds Serv-U e os atribuíram a um ator de ameaças chamado DEV-0322. De acordo com os pesquisadores, a atividade do grupo estaria localizada na China e empregaria soluções comerciais de VPN, bem como roteadores comprometidos como infraestrutura de ataque. Consequentemente, a Microsoft observou que os alvos da campanha eram entidades dos EUA nos setores de software e defesa.

Vulnerabilidade crítica do RCE no gerenciador de acesso ForgeRock ativamente explorado

As agências de segurança cibernética na Austrália e nos Estados Unidos estão alertando para uma vulnerabilidade crítica de execução de código remoto (RCE) no ForgeRock Access Management, um aplicativo de código aberto usado para gerenciamento de permissões em aplicativos internos, categorizado como CVE-2021-35464. Essa falha foi descoberta e divulgada em 29 de junho por Michael Stepankin, pesquisador de segurança daPortSwigger. ForgeRock indica que esse bug afetaria versões am de gerenciamento de acesso inferiores a 7.0 rodando Java 8. Da empresa recomenda-se aplicar os patches publicados em 29 de junho sem demora, uma vez que a vulnerabilidade é explorada ativamente.

Boletim Mensal da Microsoft

A Microsoft lançou seu boletim de segurança de julho, que inclui correções para 117 vulnerabilidades, treze delas críticas. Entre as falhas estão nove zero-day, quatro dos quais seriam ativamente explorados:

• CVE-2021-34527 (PrintNightmare): Vulnerabilidade de execução remota do gerenciador de impressão do Windows Print Manager
• CVE-2021-33771: Elevação do kernel do Windows da vulnerabilidade do privilégio
• CVE-2021-34448: Vulnerabilidade de corrupção da memória do motor de scripting
• CVE-2021-31979: Elevação do Kernel do Windows da Vulnerabilidade do Privilégio

Além disso, é importante mencionar três vulnerabilidades de execução remota de código (RCE) que estão afetando o Microsoft Exchange Server (CVE-2021-31206),o servidor Windows DNS (CVE-2021-34494) e o kernel do Windows(CVE-2021-34458). A Microsoft recomenda atualizar os ativos afetados.

Distribuição de ransomware   explorando firmware SonicWall

A SonicWall emitiu um aviso de segurança com urgência após a detecção de uma campanha de ransomware  baseada na exploração de uma vulnerabilidade no firmware de alguns de seus produtos. Especificamente, dispositivos vulneráveis seriam os produtos SMA (Secure Mobile Access) 100 series e Secure Remote Access (SRA) que estão executando as versões de firmware 8.x. A partir da assinatura, eles recomendam urgentemente atualizar produtos para a versão 9.x. Se não for possível atualizar, eles propõem as seguintes medidas de mitigação: desconexão imediata de dispositivos SMA e SRA vulneráveis, redefinição de senha e ativação de medidas multifatorial para autenticação (MFA). Apesar do fato de que o aviso SonicWall não fornece os detalhes da vulnerabilidade específica que seria explorada, os pesquisadores de segurança da Crowdstrike, que descobriram e alertaram sobre um bug neste firmware em junho passado, confirmam que seria a mesma vulnerabilidade que eles detalharam em seu artigo há algumas semanas e que identificaram como CVE-2019-7481. Por sua vez, a equipe de resposta a incidentes da SonicWall também publicou um aviso para alertar sobre essa falha, sem sequer associar o identificador que eles vincularam da Crowdstrike em seu artigo, mas concedendo-lhe uma gravidade do CVSSv3 9.8.