Boletim semanal de cibersegurança, 27 agosto — 2 setembro

Vulnerabilidade crítica no Servidor Bitbucket Atlassian e data center

A Atlassian alertou recentemente seus usuários sobre uma nova vulnerabilidade crítica que afeta o software do Servidor Bitbucket Server e Data Center, que deve ser corrigido de forma imediata. A falha, CVE-2022-36804, tem um CVSS v3 de 9.9 de acordo com a Atlassian, e permite a injeção de comando através de solicitações http especialmente trabalhadas, que abrem caminho para execução remota de código.

A exploração da vulnerabilidade não é complexa e não requer privilégios elevados. O invasor só precisaria de direitos de leitura em repositórios públicos ou privados e nunca precisaria interagir com o usuário. As versões do Bitbucket Server e data centers afetadas pela falha são todas de 6.10.17 para 8.3.0, e patches já foram publicados para as versões 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 e 8.3.1. As versões 6.X não serão corrigidas.

Para todos os usuários que não podem corrigir esse problema no momento, a Atlassian recomenda fechar temporariamente os repositórios públicos. Enquanto isso, Max Garret, o pesquisador que encontrou essa vulnerabilidade e relatou à Atlassian, prometeu entregar um PoC em 30 dias , e alegou que o patch da Atlassian não deve ser muito difícil de contornar.

Ler mais →

* * *

Intellexa oferece uma exploração de 0-day para iOS e Android

Um documento da empresa israelense Intellexa foi recentemente vazado, enviado no Twitter pelo perfil da VX-underground, mostra uma oferta comercial de um spyware por um preço de 8 milhões de euros.

O spyware funciona na versão 15.4.1 do iOS e na versão 12 do Android e, por se trata de um 0-day, é improvável que seja corrigido e não funcione em nenhuma das novas versões desses sistemas operacionais. Essa exploração permite acesso remoto aos dados dos dispositivos impactados. O vetor de ataque de infecção, de acordo com o documento, seria um link que precisa ser clicado para injetar a carga no dispositivo.

Além disso, a oferta inclui uma garantia de um ano, uma plataforma para analisar os dados extraídos, bem como dez tipos de infecções simultâneas e um catálogo de centenas de outras infecções bem-sucedidas como exemplos.

Ler mais →

* * *

Uso de vulnerabilidades log4j contra alvos em Israel

A Microsoft publicou detalhes de uma investigação recente realizada em seu Centro de Inteligência de Ameaças (MSTIC), que informa sobre uma onda de ataques do MuddyWater (apelidado de Mercury pela Microsoft) ator de ameaças contra alvos em Israel.

De acordo com os pesquisadores, este ator tem usado a popular vulnerabilidade Log4shell para comprometer o software sem retch. Desta vez, os ataques foram direcionados principalmente ao SysAid, um programa de gerenciamento de TI, em vez de atacar o software WMware, como tem sido tradicionalmente usado nesses ataques.

MuddyWater explorou as vulnerabilidades como ponto inicial de entrada no sistema da vítima, no qual eles então executariam web shells para executar diferentes comandos maliciosos, criar usuários com privilégios administrativos, roubar credenciais via Mimikatz e mover-se lateralmente através de ferramentas como RemCom ou Windows Management Instrumentation.

Para evitar esses ataques, a Microsoft recomenda a aplicação dos patches para este conjunto de vulnerabilidades, já disponíveis desde janeiro de 2022.

Ler mais →

* * *

Mais de 1.000 aplicativos para iOS encontrados expondo credenciais AWS criptografadas

Pesquisadores da equipe de Threat Hunting da Symantec detectaram cerca de 2.000 aplicativos móveis contendo credenciais AWS (Amazon Web Services) criptografadas. A maioria dos aplicativos (1.856) corresponde ao sistema iOS, enquanto apenas 37 pertencem ao Android. 77% dos aplicativos foram confirmados para incluir tokens de acesso AWS válidos que poderiam ser usados para acessar diretamente serviços privados em nuvem.

Além disso, esses tokens AWS válidos podem ser usados por um invasor para acessar instâncias de nuvem onde bancos de dados de serviços ativos contendo milhões de registros, incluindo detalhes de contas de usuário, comunicações internas e outros dados confidenciais, estão localizados, dependendo do tipo de aplicativo.

A pesquisa da Symantec tem o objetivo de alertar os desenvolvedores de aplicativos móveis sobre os perigos de excesso de confiança ou práticas inseguras que expõem as credenciais da AWS, o que poderia tornar a cadeia de fornecimento de aplicativos móveis vulnerável, bem como abrir a porta para atores mal-intencionados para bancos de dados privados, levando a possíveis violações de dados e exposição de dados pessoais dos usuários finais

Ler mais →

* * *

Google corrige 24 vulnerabilidades no Chrome

O último boletim de segurança do Google corrigiu 24 vulnerabilidades, incluindo uma falha crítica (CVE-2022-3038), e adicionou o sistema de desinfetante para proteger os usuários de ataques de injeção XSS. A maioria das vulnerabilidades corrigidas foi devido a problemas de gerenciamento de memória, com falhas de estouro de buffer sem uso e buffer que impactaram complementos como WebUI e Captura de tela.

O Google também corrigiu várias políticas de segurança e vulnerabilidades de implementação incorretas. Vale ressaltar que, embora não haja evidências de que essas vulnerabilidades estão sendo ativamente exploradas, há uma grave vulnerabilidade não recorrida que afeta a área de transferência do sistema operacional através de navegadores baseados em Chromium, e que ela pode ser explorada sem autorização ou interação do usuário.

O Google também recomenda a instalação da versão mais recente do navegador para corrigir essas falhas.

 Ler mais →