Boletim semanal de cibersegurança, 30 abril — 6 maio

TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya

Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya.

Especificamente, as vulnerabilidades são causadas por uma falha de design semelhante às vulnerabilidades do TLStorm, também descobertas pela Armis no início deste ano, o que poderia permitir que um ator mal-intencionado executasse código remotamente em dispositivos, afetando potencialmente milhões de dispositivos de infraestrutura de rede em nível corporativo.

A causa do problema deve-se ao fato de que o código utilizado pelos provedores não está em conformidade com as diretrizes da biblioteca NanoSSL, de modo que em Aruba pode causar transbordamentos de dados devido às vulnerabilidades rastreadas como CVE-2022-23677 e CVE-2022-23676, com CVSS de 9,0 e 9,1, respectivamente.

Por outro lado, na Avaya, a implantação da biblioteca apresenta três falhas, um estouro de remontagem do TLS (CVE-2022-29860 e CVSS de 9,8), estouro de análise de cabeçalho HTTP (CVE-2022-29861 e CVSS de 9,8) e um estouro no manuseio de solicitações http post, sem CVE atribuído.

Além disso, se as vulnerabilidades forem exploradas de forma satisfatória, poderá produzir desde vazamentos de informações, a apreensão completa do dispositivo até o movimento lateral e o cancelamento das defesas de segmentação da rede.

Armis destaca que a própria infraestrutura de rede está em risco e explorável pelos invasores, o que significa que a segmentação da rede não pode mais ser considerada uma medida de segurança suficiente.

URL:  https://www.armis.com/blog/tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in-common-switches/

* * *

Milhões de dispositivos IoT afetados por um erro fatal do sistema DNS

A equipe do Nozomi Networks Labs descobriu uma vulnerabilidade não reparada que afeta diretamente o sistema de nomes de domínio (DNS) de vários roteadores e dispositivos IoT, implantados em vários setores de infraestrutura crítica.

Especificamente, a falha detectada está localizada em duas bibliotecas C (uClibc e uClibc-ng) de uso muito comum em produtos IoT, usados por distribuições Linux como Embedded Gento, e amplamente utilizados por grandes provedores como Netgear, Axis e Linksys.

De acordo com a pesquisa, um ator de ameaças poderia usar envenenamento por DNS ou falsificação de DNS para redirecionar o tráfego de rede para um servidor sob seu controle direto e, assim, roubar ou manipular informações transmitidas pelos usuários e realizar outros ataques contra dispositivos para comprometê-los completamente.

Nozomi estima que mais de 200 fornecedores poderiam ser afetados por essa vulnerabilidade, sem um identificador CVE no momento, e tendo em conta que atualmente não há nenhum patch para corrigi-lo, os detalhes técnicos específicos sobre sua exploração não foram publicados até que novas versões de firmware estejam disponíveis para corrigir o problema.

URL:  https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-DNS-bug-in-popular-c-standard-library-putting-iot-at-risk/

* * *

Vulnerabilidades graves no AVAST e AVG

A equipe do SentinelOne descobriu em dezembro de 2021 duas vulnerabilidades graves catalogadas como CVE-2022-26522 e CVE-2022-26523, no antivírus Avast e AVG.

Essas vulnerabilidades estariam presentes para exploração nos produtos desde 2012 e afetaram o sistema «Anti Rootkit» de ambos os produtos. As falhas permitiram que atores mal-intencionados explorassem a conexão do soquete no driver do kernel para escalar privilégios e, assim, desativar produtos de segurança, possibilitando sobregravar componentes do sistema, corromper o sistema operacional e/ou realizar operações maliciosas sem obstáculos, como injetar código, realizar movimentos laterais, instalar backdoors, etc.

Ambas as vulnerabilidades foram corrigidas com a versão 22.1 do antivírus Avast (AVG foi adquirida pela própria Avast em 2016), lançada em 8 de fevereiro. Por fim, deve-se notar que, apesar do tempo em que essas vulnerabilidades existiram, não foram detectados sinais de exploração.

URL: https://www.sentinelone.com/labs/vulnerabilities-in-avast-and-avg-put-millions-at-risk/

* * *

Vulnerabilidade em várias famílias de ransomware pode evitar a criptografia de informações

O pesquisador de segurança John Page (hyp3rlinx) mostrou que várias das famílias de ransomware mais ativas estão vulneráveis a uma falha do tipo «sequestro de DLL» que impediria o propósito final de criptografar as informações de suas vítimas.

Os detalhes de sua pesquisa foram publicados através do projeto Malvuln, criado pelo próprio pesquisador, onde ele cataloga vulnerabilidades detectadas em amostras de malware. A exploração da falha detectada consiste em um sequestro de DLL, um tipo de vulnerabilidade que geralmente é usada para execução arbitrária de código e propósitos de escalada de privilégios.

Neste caso, ao criar um arquivo DLL especialmente criado que se passa pelo DLL necessário para a execução do malware, os processos de ransomware seriam interceptados e encerrados, impedindo assim a criptografia das informações.

No momento, Malvuln publicou algumas provas de conceito (PoC) que afetam as famílias de ransomware Conti, REvil, Loki Locker, Black Basta, AvosLocker, LockBit e WannaCr famílias de ransomware, sem descartar que a falha também é perfeitamente explorável em outros ransomwares.

URL: https://www.malvuln.com/