Boletim semanal de cibersegurança 24-30 abril

BadAlloc – Vulnerabilidades críticas em dispositivos industriais de IoT e OT

Pesquisadores de segurança da Microsoft descobriram 25 vulnerabilidades críticas de execução de código remoto (RCE), que foram nomeadas conjuntamente como BadAlloc, afetando uma ampla gama de dispositivos, desde IoT do setor médico e de consumo até sistemas de tecnologia operacional de controle industrial (OT). Um invasor pode explorar falhas para contornar controles de segurança e executar códigos maliciosos em dispositivos ou causar uma falha no sistema. As vulnerabilidades estariam presentes em sistemas operacionais em tempo real (RTOS), amplamente utilizados em setores industriais, kits de desenvolvimento de software embarcado (SDKs) e até implementações de biblioteca padrão C (libc). As descobertas foram compartilhadas com os fornecedores para atualizarem seus sistemas. A lista completa de vulnerabilidades pode ser encontrada no site do Departamento de Segurança Interna dos EUA.

Mais informações: https://msrc-blog.microsoft.com/2021/04/29/badalloc-memory-allocation-vulnerabilities-could-affect-wide-range-of-iot-and-ot-devices-in-industrial-medical-and-enterprise-networks/

Vulnerabilidade crítica identificada em Homebrew para MacOS e Linux

Um pesquisador de segurança japonês chamado RyotaK relatou em 18 de abril uma vulnerabilidade no repositório oficial do Homebrew Cask que poderia ser explorada pelos invasores para executar código arbitrário em máquinas de usuário que tinham o Homebrew instalado. Homebrew é um sistema gratuito e de gerenciamento de pacotes de software de código aberto que permite a instalação de software no sistema operacional macOS da Apple, bem como no Linux. O Homebrew Cask amplia a funcionalidade para incluir fluxos de trabalho de linha de comando para aplicativos, fontes, plugins e outros softwares de código aberto baseados em MACOS. O bug relatado, para o qual um PoC foi publicado e que foi corrigido logo no dia seguinte após seu relatório, estava na forma como as alterações de código foram tratadas em seu repositório do Github, o que poderia resultar em uma solicitação maliciosa que foi automaticamente revisada e aprovada. O Homebrew também teria removido a ação «automerge» do GitHub, bem como o GitHub «review-cask-pr» de todos os repositórios vulneráveis.

Mais detalhes: https://brew.sh/2021/04/21/security-incident-disclosure/

Bug do MacOS permite distribuição de malware  Shlayer

A Apple lançou um patch para o sistema operacional macOS Big Sur, onde corrige uma vulnerabilidade para a qual não foram transferidos mais detalhes de sua parte, mas que alguns pesquisadores descrevem como a pior vulnerabilidade para os sistemas operacionais da Apple em anos. Apesar de sua gravidade, há um primeiro passo necessário para sua exploração que poderia ter limitado o impacto de uma certa forma, e para explorá-lo, o usuário deve ser persuadido a baixar ou executar um aplicativo que não está na Apple Store ou que não seria permitido pela Apple. Uma vez que esse primeiro acesso é alcançado, os invasores conseguem implantar malware mal classificado pelo sistema operacional da Apple, graças a um erro lógico no código macOS. Esse malware pode contornar todas as verificações realizadas pelos mecanismos de segurança da Apple, projetados para impedir a execução de aplicativos perigosos não aprovados. Os pesquisadores do Jamf nomearam esse malware de Shlayer,e confirmaram que ele estaria sendo distribuído pelo menos desde janeiro deste ano. O bug foi relatado à Apple pelo pesquisador de segurança Cedric Owens em meados de março. Porta-vozes da Apple confirmaram que a empresa abordou o problema no macOS 11.3 e atualizou o XProtect, sua detecção de malware, para bloquear um malware usando essa técnica. De acordo com meios especializados, a vulnerabilidade estaria sendo explorada para a distribuição de malware contra computadores Mac pelo menos desde janeiro.

Más informações: https://www.forbes.com/sites/thomasbrewster/2021/04/26/update-your-mac-now-the-worst-hack-in-years-hits-apple-computers/?sh=540dd6b85da0

Vulnerabilidade crítica no Citrix ShareFile

A equipe da Citrix lançou uma atualização de segurança para corrigir uma vulnerabilidade crítica de controle de recursos em seu software Citrix ShareFile. A falha (CVE-2021-22891) está localizada no controlador da zona de armazenamento Citrix ShareFile e pode permitir que um invasor remoto não autenticasse esse driver. No entanto, o agente de ameaça deve ter pré-acesso à rede do controlador para explorar essa falha. As versões afetadas por essa vulnerabilidade são 5.7 antes de 5.7.3, 5.8 antes de 5.8.3, 5.9 antes de 5.9.3, 5.10 antes de 5.10.1 e 5.11 antes de 5.11.18. Citrix recomenda atualizar o software para uma versão que corrija este bug o mais rápido possível.

Toda a informação: https://support.citrix.com/article/CTX310780

Vulnerabilidade de autenticação em BIG-IP APM AD

Os pesquisadores da Silverfort revelaram uma nova vulnerabilidade de evasão (CVE-2021-23008 CVSSv3 8.1) no recurso de segurança do Kerberos Key Distribution Center (KDC) que afetaria o Gerenciador de Políticas de Acesso BIG-IP (APM). Essa vulnerabilidade permite que um invasor contorne a autenticação do Kerberos para o APM (BIG-IP Access Policy Manager, gerente de políticas de acesso a IP), contorne as políticas de segurança e, em alguns casos, impeça a autenticação no Console de Gerenciamento BIG-IP. A F5 Networks lançou patches para corrigir a vulnerabilidade com correções introduzidas nas versões 12.1.6, 13.1.4, 14.1.4 e 15.1.3. Um patch semelhante é esperado para a versão 16.x em breve.

Mais detalhes: https://support.f5.com/csp/article/K51213246