Boletim semanal de cibersegurança 1–8 Abril

Vulnerabilidade crítica no GitLab permite acesso a contas de usuários

O GitLab lançou uma atualização de segurança que aborda um total de 17 vulnerabilidades, incluindo uma vulnerabilidade crítica que afeta tanto o GitLab Community Edition (CE) quanto o Enterprise Edition (EE).

Especificamente, é a falha de segurança CVE-2022-1162, pontuada com um CVSS de 9.1, que reside no estabelecimento de uma senha criptografada para contas registradas em um provedor OmniAuth, permitindo que atores mal-intencionados assumam o controle das contas de usuário usando essas senhas criptografadas.

No momento, é indicado que nenhuma evidência do comprometimento de qualquer conta que explora essa falha de segurança tenha sido detectada. No entanto, o GitLab publicou um script para ajudar a identificar quais contas de usuários seriam afetadas e recomenda que os usuários atualizem, o mais rápido possível, todas as instalações do GitLab para as versões mais recentes (14.9.2, 14.8.5 ou 14.7.7) para evitar possíveis ataques.

Novas técnicas do Deep Panda: Log4Shell e rootkits fire chili assinados digitalmente

Os pesquisadores da Fortinet identificaram que o grupo APT Deep Panda estaria explorando a vulnerabilidade do Log4Shell nos servidores VMware Horizon para implantar um backdoor e um novo rootkit em máquinas infectadas.

O objetivo do grupo seria roubar informações de vítimas pertencentes às indústrias financeira, acadêmica, cosmética e de viagens. Primeiro, os pesquisadores mostram que a cadeia de infecções se aproveitou da falha de execução de código remoto Log4j em servidores VMware Horizon vulneráveis para gerar uma cadeia de estágios intermediários e, finalmente, implementar o backdoor chamado Milestone. Este backdoor também seria projetado para enviar informações sobre as sessões atuais no sistema para o servidor remoto.

Por outro lado, foi detectado o uso de um rootkit de kernel chamado Fire Chili, que é assinado digitalmente com certificados roubados de empresas de desenvolvimento de jogos, permitindo que eles evitem a detecção, bem como ocultar operações de arquivos, processos, adições de chaves de registro e conexões de rede.

Os pesquisadores também atribuíram o uso do Fire Chilli ao grupo conhecido como Winnti», indicando que é possível que os desenvolvedores dessas ameaças tenham recursos compartilhados, como certificados roubados e infraestrutura de Comando&Controle (C2).

Campanha de phishing se aproveita de mensagens de voz do WhatsApp

Pesquisadores do Armorblox relataram uma campanha de phishing que usa como isca o envio de mensagens de voz da plataforma de mensagens WhatsApp, a fim de implementar malware nos dispositivos das vítimas.

De acordo com a pesquisa, o ataque começa com a distribuição de e-mails de phishing que fingem ser uma notificação do WhatsApp contendo uma «mensagem privada» de áudio, para a qual os atores mal-intencionados incluem um botão «Play» incorporado no corpo do e-mail junto com a duração do áudio e sua data de criação.

No momento em que o usuário-alvo pressiona a opção «Jogar», eles são redirecionados para um site que oferece uma mensagem de permissão/bloqueio que, através de técnicas de engenharia social, acabará instalando o Trojan JS/Kryptic e a carga necessária para finalmente implementar um malware ladrão.

O Armorblox destaca que o envio de e-mails maliciosos é feito a partir de contas legítimas anteriormente violadas, o que dificulta muito sua possível detecção pelas diferentes ferramentas de segurança ativas na máquina de destino.

O objetivo final da campanha é principalmente o roubo de credenciais armazenadas em navegadores e aplicativos, bem como em carteiras de criptomoedas, chaves SSH e até arquivos armazenados nos computadores das vítimas.

Cicada: nova campanha de espionagem

A equipe de investigadores da Symantec publicou pesquisas relatando uma sofisticada campanha de espionagem de longa duração realizada pelo grupo de cibercriminosos apelidado de Cicada (também conhecido como APT10).

Segundo especialistas, essa campanha estaria ativa de meados de 2021 a fevereiro deste ano, tendo focado suas operações contra entidades governamentais e ONGs na Ásia, América e Europa. No entanto, outros setores como telecomunicações, pessoas jurídicas e farmacêuticas também foram impactados.

Estima-se que o vetor de entrada seria a exploração de uma vulnerabilidade conhecida em servidores Microsoft Exchange não retched, sem especificar nenhum em particular. Após o compromisso inicial, a Cicada implanta softwares maliciosos como o Backdoor Sodamaster, uma ferramenta associada a este ator e que permitiu sua atribuição, um carregador personalizado através do legítimo leitor de VLC que inclui um DLL malicioso, fazendo uso da técnica DLL de carregamento lateral, Mimikatz para obter credenciais, WinVNC para controle remoto ou WMIExec para execução de comando.

Novas vulnerabilidades críticas no Wmware

A VMware divulgou um boletim abordando vulnerabilidades críticas, de alta e média gravidade para seus produtos VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manager. As vulnerabilidades mais críticas são as seguintes:

• CVE-2022-22954 CVSSv3 9.8: Vulnerabilidade de injeção de modelo do lado do servidor que pode levar à execução remota de código.

• CVE-2022-22955/22956 CVSSv3 9.8: Vulnerabilidades que permitem evitar a autenticação na estrutura OAuth2 ACS.

• CVE-2022-22957/22958 CVSSv3 9.1: Vulnerabilidades de execução remota de código através de um JDBC URI malicioso e exigindo acesso ao administrador.

Outras vulnerabilidades de alta criticidade (CVE-2022-22959 CVSSv3 8.8 e CVE-2022-22960 CVSSv3 7.8) e média (CVE-2022-22961 CVSSv3 5.3) também foram corrigidas. De acordo com a empresa, nenhuma evidência foi detectada de que alguma dessas vulnerabilidades estão sendo ativamente exploradas. Além disso, a VMware publicou uma série de medidas que os usuários podem tomar para mitigar o impacto dessas vulnerabilidades nos casos em que a atualização do software não é possível.