Boletim semanal de cibersegurança 19-25 junho

SonicWall corrige uma vulnerabilidade crítica que tinha sido parcialmente corrigida

Em outubro do ano passado, a SonicWall corrigiu uma vulnerabilidade crítica de estouro de buffer no SonicOS, sob o identificador CVE-2020-5135, afetando mais de 800.000 dispositivos VPN SonicWall. Essa falha permitiu que invasores não autenticados executasse remotamente o código no dispositivo afetado ou causassem uma negação de serviço enviando solicitações HTTP especificamente criadas para o firewall. No entanto, o pesquisador de segurança Craig Young agora revela que esse patch deixou um bug de exposição de informações de memória não mediado, que foi identificado como CVE-2021-20019 e não havia sido corrigido até a versão mais recente do SonicOS.

Zyxel alerta seus clientes sobre ataques contra seus dispositivos

A Zyxel alertou seus clientes, por e-mail, sobre uma série de ataques direcionados contra sistemas VPN, firewalls e balanceadores de carga que a empresa oferece e que permitiram o gerenciamento remoto via SSL-VPN. Especificamente, esses ataques atingiriam dispositivos de rede das séries USG, ZyWALL, USG FLEX, ATP e VPN que executam o  firmware ZLD no local. De acordo com Zyxel, o invasor tenta acessar o dispositivo via WAN e, se bem sucedido, tenta contornar sistemas de autenticação e estabelecer uma conexão VPN através de um túnel SSL com um usuário desconhecido (por exemplo, «zyxel_slIvpn», «zyxel_ts», «zyxel_vpn_test») para manipular a configuração do dispositivo. No momento, não se sabe se o vetor de entrada desses ataques é uma antiga vulnerabilidade presente em dispositivos não reparados ou se é uma nova vulnerabilidade de 0-day. Apesar disso, Zyxel compartilhou uma série de medidas de mitigação contra essa ameaça.

Matanbuchus: nuevo Malware-as-a-Service

Pesquisadores da Unidade 42 de Palo Alto publicaram os detalhes de um novo Malware-as-a-Service (Maas) chamado Matanbuchus Loader. Este MaaS, foi visto pela primeira vez em fevereiro deste ano em fóruns subterrâneos relacionados ao ator de ameaça BelailDemon, que estabeleceu um preço de 2500 dólares para sua aquisição. O vetor de distribuição inicial do artefato é um documento Excel com macros maliciosas, que executará um arquivo baixado de um domínio externo. Matanbuchus tem vários recursos, como executar .exe arquivos ou .dll na memória, aproveitar o serviço de tarefas programado schtasks.exe para alcançar persistência, executar comandos no PowerShell ou usar executáveis do sistema para carregar bibliotecas DLL. De Palo Alto identificaram várias organizações afetadas por esse malware nos Estados Unidos e na Bélgica.

DarkRadiation: novo ransomware voltado para sistemas GNU/Linux com funcionalidades de worm

Pesquisadores da Trend Micro analisaram a operação de um ransomware recentemente descoberto, que foi chamado de DarkRadiation e é destinado a sistemas GNU/Linux. É totalmente implementado no Bash e a maioria de seus componentes são destinados a distribuições Red Hat e CentOS, incluindo, em menor medida, distribuições baseadas em Debian. Este ransomware usa a API do Telegram para se comunicar com o servidor C&C e tem funcionalidades de worm usando o protocolo SSH. Para evitar detecções, faz uso da ferramenta de ofuscação de código aberto «node-bash-ofuscada», com a qual os atacantes obtêm zero detecções no VirusTotal. Pesquisadores observaram que esse ransomware está em desenvolvimento contínuo, com várias versões pertencentes a diferentes campanhas.