Boletim semanal de cibersegurança 12 – 18 Fevereiro

Telefónica Tech    18 febrero, 2022

Vulnerabilidade crítica em Magento e Adobe Commerce

A equipe de segurança ofensiva da Positive Technologies desenvolveu uma Prova de Conceito (PoC) para a vulnerabilidade CVE-2022-24086 CVSSv3 9.8, garantindo que ele permitiria obter o controle do sistema com permissões de servidor web. No entanto, os pesquisadores comunicaram que não pretendem publicar essa façanha, seja pública ou privadamente, para outros analistas do setor. Essa vulnerabilidade crítica que afeta o Adobe Commerce e o Magento Open Source foi corrigida pela Adobe no último domingo em uma atualização de segurança. Tirar vantagem dessa falha permitiria que um invasor não autenticado executasse código arbitrário remotamente, embora valha a pena mencionar que, embora não exija autenticação, ele só pode ser explorado por um invasor com privilégios de administrador. O bug afeta as versões Magento Open Source e Adobe Commerce 2.4.3-p1 e 2.3.7-p2 e anteriores, exceto para versões anteriores ao Adobe Commerce 2.3.3. Além disso, ontem, a Adobe atualizou este boletim de segurança para adicionar um novo bug, CVE-2022-24087, também do tipo de Validação de Entrada Inadequada, que também tem uma pontuação CVSSv3 de 9.8 e permitiria que um invasor não autenticado executasse código arbitrário remotamente. Recomenda-se instalar patches para ambas as vulnerabilidades críticas o mais rápido possível.

0 days no Chrome sendo ativamente explorado

Na segunda-feira, o Google publicou correções para oito falhas de segurança no navegador Google Chrome, incluindo uma vulnerabilidade de alta crítica que seria ativamente explorada. Essa vulnerabilidade pós-uso reside no componente de animação, foi identificada como CVE-2022-0609 e, se explorada com sucesso, permitiria que um invasor executasse código arbitrário remotamente, bem como alterasse informações legítimas. O Google também abordou outras 4 vulnerabilidades com alta criticidade do tipo de uso, após o livre de uso que afetam a API do gerenciador de arquivos, ANGLE, GPU e Webstore, bem como uma vulnerabilidade do tipo heap buffer overflow em Tab Groups e uma implementação inadequada na API do Gamepad. O Google recomenda atualizar o Google Chrome para a versão 98.0.4758.102 para corrigir esses bugs.

Campanha Ta2541 persistente ao longo do tempo

Pesquisadores da Proofpoint publicaram um novo artigo no qual atribuem ao grupo TA2541 uma campanha de ataques, persistente ao longo do tempo e que teria como alvo setores como aviação, aeroespacial, transporte, manufatura e defesa, nas regiões da América do Norte, Europa e Oriente Médio. A atividade desse grupo remonta a 2017 e, desde aquele ano, eles têm utilizado TTPs que foram mantidos ao longo do tempo. O vetor de entrada usual identificado são campanhas de phishing em inglês que usam temas relacionados à aviação, transporte ou viagens, em vez de aproveitar temas atuais como outros grupos costumam fazer, embora, ocasionalmente, eles também tenham misturado seus temas habituais com os atuais, como o COVID-19. Esses e-mails incluem anexos que já baixam as payloads de diferentes RATS, principalmente famílias que podem ser facilmente adquiridas em fóruns de crimes cibernéticos, destacando-se acima dos demais AsyncRAT, NetWire e WSH RAT. Nos últimos tempos, o grupo teria incorporado uma melhoria em suas campanhas e não estaria mais enviando payloads em anexos, mas em links incluídos nos e-mails que se conectam com serviços em nuvem.

Informações confidenciais dos EUA extraída por atores russos

A CISA publicou um aviso de segurança onde alerta para uma campanha de espionagem cibernética que remonta pelo menos até janeiro de 2020. Especificamente, eles expõem, que atores de ameaça de origem russa teriam comprometido e extraído informações de empreiteiros de defesa autorizados pelos Estados Unidos (CDC), entidades privadas que têm autorização para acessar informações altamente confidenciais a fim de poder licitar contratos, acessar informações das áreas de inteligência, armas, aeronaves, computação, entre outras. Entre as técnicas utilizadas como vetor de entrada, os atacantes teriam usado campanhas de spearphishing, coleta de credenciais, técnicas de força bruta, pulverização de senhas ou exploração de vulnerabilidades. Uma vez que as empresas foram comprometidas, os invasores teriam conseguido estabelecer persistência em algumas delas por pelo menos seis meses, permitindo assim que a Rússia obtenha informações estratégicas com as quais poderia ter estabelecido prioridades militares, planos estratégicos, além de acelerar a evolução do software, entre outros.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *