Boletim semanal de cibersegurança 28 agosto – 3 setembro

PoC disponível e varreduras detectadas para RCE na Confluence

Na última quarta-feira, 25 de agosto, a Confluence publicou um aviso de segurança para alertar sobre uma vulnerabilidade no Confluence Server e data center em versões anteriores a 6.13.23, 7.4.11, 7.11.6, 7.12.5 e 7.13.0. Em sua nota, a empresa esclareceu que a decisão não afetou os clientes da Confluence Cloud. A vulnerabilidade, que recebeu o identificador CVE-2021-26084 e um CVSS de 9.8, é especificamente uma vulnerabilidade de injeção OGNL(Object-Graph Navigation Language) que permitiria a um usuário autenticado e, em alguns casos, até mesmo um usuário não autenticado, executar código arbitrário em uma instância do Confluence Server ou data center. Apenas alguns dias depois, no domingo, 29 de agosto, alguns pesquisadores de segurança anunciaram que tinham conseguido executar o código remotamente sem autenticar relativamente facilmente, mas eles ainda não divulgaram os detalhes do PoC, fato que eles atrasaram alguns dias até ontem, 1º de setembro. Apesar de não tornar o PoC público inicialmente, em 31 de agosto já estava começando a ser alertado para a detecção de varreduras maciças de servidores vulneráveis da Confluence.

ChaosDB – Vulnerabilidade Crítica no Microsoft Azure Cosmos DB

Os pesquisadores de segurança do Wiz encontraram uma vulnerabilidade crítica no Azure, a plataforma de nuvem da Microsoft, que permitiria a aquisição remota, de direitos de administrador, da conta do banco de dados Cosmos DB. Devido à gravidade da vulnerabilidade, os pesquisadores não publicaram todos os detalhes técnicos e os meios para explorá-la, embora detalhem que o ChaosDB seria produzido a partir da exploração acorrentada de uma série de vulnerabilidades encontradas na função De Caderno Jupyter da Cosmos DB. Ao explorar essas vulnerabilidades, um ator mal-intencionado poderia obter credenciais relacionadas ao alvo Cosmos DB, Jupyter Notebook e Jupyter Notebok Storage. Com essas credenciais, o invasor já poderá visualizar, modificar e excluir dados na conta Cosmos DB. Em seu artigo, Wiz teria incluído um vídeo no qual eles mostram a exploração das falhas indicadas. Por parte da Microsoft, corrigiu a falha em 12 de agosto, menos de 48 horas após ser alertado do Wiz, e alguns dias depois, em 26 de agosto, notificado através de um aviso enviado a aproximadamente 30% dos clientes da Cosmos DB sobre a possível violação de segurança. Em seu aviso, a Microsoft indicou que não tinha registro da exploração da vulnerabilidade, mas aconselhou a regenerar as chaves primárias como medida de segurança.  Por sua vez, a Wiz indica que o volume de clientes potencialmente afetados em sua opinião é maior do que o que a Microsoft teria avisado, e eles recomendam que todos os clientes adotem as medidas de segurança recomendadas..

ProxyToken – Nova vulnerabilidade no Microsoft Exchange

Pesquisadores de segurança da Iniciativa Zero Day divulgaram detalhes técnicos sobre uma grave vulnerabilidade no Microsoft Exchange Server chamada ProxyToken. A falha, catalogada com o identificador CVE-2021-33766 e que recebeu um CVSSv3 de 7.3, é especificamente uma vulnerabilidade de divulgação de informações que poderia revelar as informações pessoais das vítimas ou dados confidenciais da empresa, entre outros. O Microsoft Exchange usa dois sites da Web: o front-end, ao qual os usuários se conectam para acessar e-mails, e que funciona em grande parte como um proxy para o back-end, para o qual ele passa solicitações de autenticação. O problema atualmente identificado surge em uma função chamada DelegatedAuthModule, onde o front–end passa solicitações de autenticação, que contêm um cookie SecurityToken que os identifica, diretamente para o back-end.  Quando o front-end recebe uma solicitação de autenticação com o cookie SecurityToken, ele sabe que o back-end é o único responsável por autenticar essa solicitação. No entanto, o back-end não está completamente ciente de que precisa autenticar algumas solicitações recebidas com base no cookie SecurityToken, já que o DelegatedAuthModule não está carregado em instalações que não foram configuradas para usar o recurso de autenticação delegado especial. O resultado final é que as solicitações podem passar, sem serem submetidas à autenticação no front-end ou back-end.    A Microsoft abordou o problema como parte de suas atualizações de julho, e recomenda que todos os administradores de servidores do Exchange que não instalaram os patches correspondentes priorizem essa tarefa.

BrakTooth: Vulnerabilidades que afetam dispositivos Bluetooth

A equipe de pesquisadores do ASSET publicou um total de 16 avisos de segurança, abordando 20 vulnerabilidades que afetam a pilha de software Bluetooth de placas System-on-Chip (SoC) de onze fornecedores diferentes. Estima-se que os dispositivos afetados seriam em torno de bilhões, entre os quais estariam dispositivos móveis, equipamentos de computador ou tablets, entre outros. De acordo com os pesquisadores, a exploração dessas falhas de segurança poderia permitir que ataques de negação de serviço ou código malicioso fossem executados, embora o impacto fosse diferente dependendo do modelo de placa SoC e da pilha de software Bluetooth utilizada. Entre as vulnerabilidades identificadas está o CVE-2021-28139, que permite que o código remoto seja executado em dispositivos com placas SoC Espressif Systems ESP32 através de pacotes Bluetooth LMP. Até agora, apenas três dos fornecedores afetados lançaram patches: Espressif Systems, Infineon e Bluetrum. Outros, como a Intel, continuam a trabalhar nesta questão e alguns como a Texas Instruments indicaram que ele não vai resolver esse problema ou a Qualcomm, que só funcionará em uma parte delas.