Boletim semanal de cibersegurança 16 — 22 julho

Lightning Framework: novo malware direcionado a ambientes Linux

A equipe de pesquisadores da Intezer publicou informações sobre um novo tipo de malware que afeta ambientes Linux e que eles chamaram de Lightning Framework. Embora os pesquisadores não tenham localizado uma amostra completa e alguns detalhes do malware ainda sejam desconhecidos, algumas de suas características foram analisadas.

É um malware avançado que é instalado no sistema da vítima através de um download que baixará todos os seus módulos e plugins. A partir daí, o malware se passa pelo gerenciador de senhas do GNOME para se conectar a um servidor polimórfico de Comando & Controle e baixar mais componentes.

Outras funcionalidades são a manipulação de timestamps e IDs de processos, a criação de um script com o nome «elastisearch» para criar persistência e implantação de um backdoor criando seu próprio servidor SSH. Como apontado pelo Bleeping Computer, o Lightning Framework é o mais recente de uma onda crescente de variantes de malware que atacam sistemas Linux, após detecções recentes de outros casos como OrBit, Symbiote, BPFDoor ou Syslogk.

Ler mais →

* * *

Cisco corrige várias vulnerabilidades

A Cisco liberou patches de segurança para corrigir 45 vulnerabilidades (três críticas, uma categorizada como alta e 41 de média gravidade) que afetaram vários produtos.

Dos bugs corrigidos, três se destacam, catalogados como CVE-2022-20857 CVSS 9.8, CVE-2022-20858 CVSS 9.8 e CVE-2022-20861 CVSS 9.8, que afetou a solução de gerenciamento de data center Cisco Nexus Dashboard e poderia permitir que um invasor remoto não autenticado executasse comandos arbitrários e executasse ações com privilégios raiz ou administrador. 

Ele também destaca outra falha de alta gravidade, catalogada como CVE-2022-20860 CVSS 7.4, na implementação SSL/TLS do Cisco Nexus Dashboard que poderia permitir que um invasor remoto não autenticado alterasse as comunicações interceptando o tráfego em ataques man-in-the-middle.

Embora essas falhas não sejam conhecidas por serem exploradas ativamente, a Cisco insta os usuários de dispositivos afetados a aplicar patches o mais rápido possível.

Ler mais →

* * *

Luna: Novo ransomware voltado para Windows, Linux e ESXi

Pesquisadores de segurança da Kaspersky descobriram em um fórum de ransomware na dark web uma nova família de ransomware baseada na linguagem de programação Rust, apelidada de Luna.

Este novo ransomware parece ter recursos para criptografar dispositivos usando vários sistemas operacionais, incluindo sistemas Windows, Linux e ESXi. De acordo com os especialistas da Kaspersky, a Luna atualmente parece ser um simples ransomware em desenvolvimento e, por enquanto, limitado apenas às opções de linha de comando.  

No entanto, seu esquema de criptografia é incomum, combinando a troca de chaves X25519 segura da curva elíptica Diffie-Hellman, usando o Curve25519 com o algoritmo de criptografia simétrica Advanced Encryption Standard (AES).

Da mesma forma, a tendência de usar uma linguagem multiplataforma como rust, denota a corrente usada pelas bandas de cibercriminosos que desenvolvem ransomware capaz de atingir múltiplos sistemas operacionais, sem fazer grandes esforços e adaptações para cada objetivo.

De acordo com a pesquisa, não se sabe dados sobre possíveis vítimas dessa família ransomware, uma vez que seus operadores acabaram de ser descobertos e sua atividade ainda está sendo monitorada.

Ler mais →

* * *

Atlassian corrige falha crítica em credenciais codificadas de Confluence

A Atlassian lançou uma atualização de segurança na qual corrigiu uma vulnerabilidade crítica em Credenciais Criptografadas no Servidor de Confluence e no Data Center que poderia permitir que invasores remotos não autenticados façam logon em servidores vulneráveis.

Especificamente, a senha criptografada é adicionada após a instalação do aplicativo Perguntas para Confluence (versões 2.7.34, 2.7.35 e 3.0.2) para uma conta com o nome de usuário do sistema desativado, projetado para ajudar os administradores com a migração de dados de aplicativos para a nuvem Confluence.

A conta desativada do sistema é criada com uma senha criptografada e adicionada ao grupo de usuários de confluência, que permite visualizar e editar todas as páginas irrestritas dentro da Confluence por padrão. Portanto, explorar essa vulnerabilidade, classificada como CVE-2022-26138, permitiria que um invasor faça login e acesse qualquer página a que o grupo de usuários de confluência tenha acesso.

No momento, a exploração ativa dessa falha não foi observada e, a partir da Atlassian, afirmam que esse aplicativo, que ajuda a melhorar as comunicações internas, seria instalado em mais de 8.000 servidores de Confluence. Para corrigir este bug, recomenda-se atualizar para as versões corrigidas (2.7.38 ou superior a 3.0.5), ou desativar ou excluir a conta desativada do sistema, uma vez que a desinstalação do aplicativo Perguntas para Confluence não seria suficiente.

Ler mais →

* * *

CloudMensis: Novo malware direcionado ao macOS

Um grupo de pesquisadores da ESET descobriu um novo malware que seria usado para implementar backdoors e extrair informações em dispositivos macOS. Este software malicioso foi inicialmente detectado em abril de 2022 pela equipe da ESET e tem sido referido como CloudMensis.

Um de seus recursos a destacar é o uso de serviços de armazenamento em nuvem, como DropBox, Yandex Disk ou pCloud para comunicação com seus servidores de comando e controle (C2). O CloudMensis também consegue executar código no sistema de destino e obter privilégios de administrador para executar uma segunda fase mais funcional que coleta informações como anexos de e-mail, capturas de tela, extração de documentos, digitações e outros dados confidenciais.

Da mesma forma, no momento não se sabe como ele é distribuído e qual é o vetor de infecção, bem como quem seriam os alvos finais deste malware e do ator de ameaças a que atribuir essa atividade.

Ler mais →