Boletim semanal de cibersegurança 14-27 agosto

Vulnerabilidades no Realtek exploradas para distribuir malware

Em meados de agosto, pesquisadores do IoT Inspector Research Lab divulgaram quatro vulnerabilidades em um software SDK distribuído em chipsets Realtek que afetaria milhares de dispositivos inteligentes de pelo menos 65 fornecedores. Entre os quatro bugs descobertos, destacou-se a vulnerabilidade crítica classificada com o identificador CVE-2021-35395 CVSSv3 9.8. A exploração efetiva desses erros permitiria que um agente de ameaça não autenticado comprometesse o dispositivo alvo e executasse código arbitrário. Embora a Realtek tenha lançado patches um dia antes do IoT Inspector publicar suas descobertas, pesquisadores da Rede perfeitas detectaram tentativas de explorar essas vulnerabilidades para espalhar uma variante do malware Mirai. Além disso, e de acordo com as varreduras da Rede Perfeita, os modelos de dispositivos mais comuns atualmente executando o SDK vulnerável da RealTek seriam os seguintes: extensor Netis E1+, roteador Wi-Fi Edimax N150 e N300, roteador Repotec RP-WR5444, recomendando que os proprietários entrem em contato com seus fornecedores para solicitar patches de firmware.

Mais: https://securingsam.com/realtek-vulnerabilities-weaponized/

38 milhões de registros expostos por configuração incorreta do Microsoft Power Apps

A equipe do UpGuard publicou um relatório sobre uma configuração incorreta no Microsoft Power Apps, o que teria resultado na exposição de mais de 38 milhões de registros de dados pessoais. O Microsoft Power Apps permite criar aplicativos personalizados para empresas e instituições, sendo capaz de habilitar a API OData (protocolo de dados aberto) para recuperar dados do usuário das listas de Aplicativos de Energia. Em 24 de maio, o UpGuard detectou que listas com dados de Aplicativos de Energia poderiam ser acessadas anonimamente usando a API Odata, porque o acesso não é limitado por padrão. A pesquisa descobriu milhares de listas acessíveis em centenas de portais, incluindo empresas privadas e administrações públicas; com uma diversidade de dados que vão desde e-mails, consultas de vacinação, nomes e sobrenomes, números de telefone ou números de segurança social. A Microsoft alterou as configurações padrão para resolver esse problema, além de contatar clientes afetados, assim como o UpGuard fez notificando 47 entidades afetadas.

Mais: https://www.upguard.com/breaches/power-apps

Nova exploração do iPhone usada para implantar spyware pegasus

Pesquisadores do Citizen Lab detectaram uma nova exploração de iMessage de zero clique, apelidada de FORCEDENTRY, que teria sido usada para implantar o spyware Pegasus do NSO Group. Indica-se que isso teria sido usado nos iPhones de nove ativistas do Bahrein, incluindo membros do Centro de Direitos Humanos do Bahrein, Waad, Al Wefaq, entre junho de 2020 e fevereiro de 2021. Acredita-se que pelo menos quatro dos ativistas foram comprometidos pela LULU, uma operadora da Pegasus que é creditada com grande confiança ao governo do Bahrein. Além disso, destaca que um dos ativistas comprometidos já estava residindo em Londres quando ele estava envolvido, sendo este, portanto, o primeiro compromisso documentado feito pelo governo do Bahrein de um dispositivo que foi usado por um ativista na Europa. No relatório do Citizen Lab, também é afirmado que os ativistas foram comprometidos usando outra já conhecida exploração de clique zero iMessage apelidada de KISMET 2020. Especialistas recomendam desativar o iMessage e o Face Time para evitar esse tipo de compromisso, embora considerem que a Pegasus tem muitas outras façanhas em seu arsenal.

Mais: https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/

Vulnerabilidade no protocolo Kalay afeta milhões de dispositivos IoT

Pesquisadores da Mandiant descobriram, em coordenação com a Agência de Segurança cibernética e infraestrutura (CISA), uma vulnerabilidade em dispositivos IoT que empregam o protocolo de rede Kalay da fabricante ThroughTek. A vulnerabilidade, classificada como CVE-2021-28372, permite conexão remota não autorizada a dispositivos por um invasor, comprometendo assim sua integridade e permitindo escuta de áudio, visualização de vídeo em tempo real e até mesmo comprometimento de credenciais do dispositivo. O fabricante, por enquanto, não conseguiu determinar o número de dispositivos afetados devido à forma como o protocolo é integrado ao software dos produtos, porém, estima-se que existam pelo menos 85 milhões de dispositivos ativos que empregam esse protocolo. Versões anteriores ao 3.1.10 e 3.4.2.0 são afetadas por essa vulnerabilidade.

Mais: https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html

Vários invasores explorando vulnerabilidades do Exchange ProxyShell

O pesquisador de segurança Kevin Beaumont vem analisando a exploração massiva de vulnerabilidades no Microsoft Exchange Server conhecido como ProxyShell, um conjunto de bugs revelados por Orange Tsai no BlackHat e contendo as seguintes vulnerabilidades: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207. Em sua publicação, Beaumont, além de explicar como identificar possíveis sistemas afetados, também aponta a urgência de corrigir essas vulnerabilidades o mais rápido possível, uma vez que de acordo com uma investigação realizada pela Symantec o grupo de ransomware chamado LockFile estaria aproveitando essas vulnerabilidades nos servidores do Exchange para acessar as redes das vítimas e, em seguida, usar a vulnerabilidade do PetitPotam, que não foi totalmente corrigida, para acessar o controlador de domínio e, posteriormente, se espalhar pela rede. Até o momento, pelo menos 10 empresas afetadas pela campanha foram identificadas, localizadas principalmente nos Estados Unidos e na Ásia. Dada a gravidade da situação, a CISA também publicou um guia para identificar os sistemas afetados e possíveis correções. Por sua vez, a equipe do Microsoft Exchange emitiu um alerta sobre a publicação na semana passada de informações sobre as vulnerabilidades que são conhecidas em conjunto com o nome de ProxyShell. O motivo da publicação é confirmar que, com as atualizações dos boletins de maio e julho, os servidores do Exchange estariam protegidos contra o ProxyShell, além de alertar sobre a necessidade de manter esse tipo de serviços corretamente atualizados. Dentro do artigo, também são fornecidos uma série de pontos, a fim de identificar servidores vulneráveis do Exchange. Da mesma forma, pesquisadores da Huntress publicaram nos últimos dias várias atualizações no post onde estão analisando essas vulnerabilidades, para relatar a detecção de mais de 140 webshells que teriam sido instalados em servidores vulneráveis, pertencentes a empresas de diferentes setores e tamanhos. De acordo com os pesquisadores, algumas das datas em que as configurações teriam sido modificadas datam dos meses de março, abril, junho e julho, para que pudessem estar relacionadas ao ProxyLogon.