Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de cibersegurança 13-19 novembroTelefónica Tech 19 noviembre, 2021 Emotet retorna à atividade Pesquisadores de segurança da Cryptolaemus identificaram o que parece ser a reaparição do popular malware Emotet, cuja infraestrutura permaneceu inativa desde janeiro, após uma intervenção conjunta das forças de segurança em todo o mundo para frustrar suas operações. As novas amostras usavam o mesmo mecanismo de propagação tradicionalmente vinculado a esta botnet: Malspam com anexos em Excel ou Word ou arquivos ZIP protegidos com senhas, remetentes falsificados e informações roubadas de threads de e-mail de vítimas antigas. A única diferença notável está no uso de comunicações criptografadas com o servidor C2 via HTTPS. Embora tenha sido apenas um dia desde a detecção da campanha de spam, outros pesquisadores começaram a alertar sobre essa nova atividade Emotet e sua entrega como segunda carga útil pelo malware Trickbot. Operadores deste mesmo malware, Trickbot, que são conhecidos pelo pseudônimo de ITG23, foram recentemente vistos participando de várias campanhas junto com o ator de ameaças Shathak (TA551), na tentativa de entregar seu malware como uma etapa anterior de um compromisso com o ransomware Conti. https://isc.sans.edu/diary/28044 0-Day em FatPipe VPN ativamente explorado O FBI emitiu uma declaração alertando sobre uma ameaça persistente avançada (APT) abusando de uma vulnerabilidade de 0-day em dispositivos FatPipe VPN desde pelo menos maio do ano passado. Especificamente, a análise forense do FBI afirma que os atacantes poderiam ter acessado a função de upload de arquivo no firmware do dispositivo e instalado um webshell com acesso a raiz, levando a privilégios elevados nas redes internas das organizações alvo. A vulnerabilidade de 0-day descrita afeta os dispositivos FatPipe MPVPN, IPVPN e WARP (Virtual Private Network (VPN) e ainda não está identificada com um número CVE ou criticidade. O FatPipe já liberou um caminho e um aviso de segurança (FPSA006). O aviso do FBI também contém regras e indicadores da YARA para identificar atividades relacionadas nos sistemas. https://www.ic3.gov/Media/News/2021/211117-2.pdf ChainJacking: novo ataque da cadeia de suprimentos de software A empresa de segurança Intezer, juntamente com a Checkmarx, publicou um artigo sobre um novo ataque da cadeia de suprimentos contra provedores de softwares que poderia colocar em risco várias ferramentas de gerenciamento de uso comum. Conhecido como «ChainJacking«, o ataque consiste na modificação ou corrupção do GitHub, Go Package Manager ou NPM pacotes de código aberto que são incluídos por padrão nas ferramentas de gerenciamento. No caso do GitHub, um invasor poderia reivindicar a propriedade de um nome de usuário abandonado e começar a entregar códigos maliciosos para qualquer um que baixe o pacote, aproveitando a confiança adquirida pelo antigo proprietário do nome de usuário. Explorando isso em um repositório de pacotes Go, poderia levar a uma reação em cadeia que amplificaria a disseminação do código malicioso e infectaria uma ampla gama de produtos, causando um dano comparável ao incidente do SolarWinds do ano passado ou ao do ataque de Kaseya deste ano. Até agora, nenhuma exploração ativa deste ataque foi relatada, mas isso não pode ser negligenciado dada a recente tendência de ataques da cadeia de fornecimento de software que são difíceis de detectar, ter um enorme impacto e dar aos agentes de ameaças novas mudanças de infecção. https://www.intezer.com/blog/malware-analysis/chainjacking-supply-chain-attack-puts-popular-admin-tools-at-risk/ Vulnerabilidade de 0-day no ManageEngine ServiceDesk Pesquisadores da IBM descobriram uma falha de 0-day no motor ManageEngine ServiceDesk. Trata-se de uma plataforma de gerenciamento de help desk amplamente utilizada que inclui aplicativos para a gestão de projetos e serviços de TI. A vulnerabilidade, CVE-2021-37415, poderia ser explorada para conceder acesso a um invasor não autorizado em um subconjunto de descanso de API de um aplicativo, que é responsável pela recuperação das informações dos tickets existentes dentro do referido aplicativo. Além disso, após a exploração bem-sucedida, um agente de ameaças poderia acessar dados confidenciais através da Internet, incluindo informações sobre os patches a serem aplicados ou a estrutura de rede interna de uma organização, entre outros. Além disso, isso poderia levar a um ataque da cadeia de suprimentos, devido ao uso generalizado deste produto e à natureza da vulnerabilidade. O ManageEngine emitiu a versão 11302 para corrigir a falha e que deve ser aplicada o mais rápido possível. https://securityintelligence.com/posts/zero-day-discovered-enterprise-help-desk/ Desafios de segurança cibernética no setor de varejo onlineO papel do Threat Hunting como um acelerador na resposta a incidentes de ransomware
Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Telefónica Tech Boletim semanal de Cibersegurança 8 – 14 Abril Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads....
Telefónica Tech Boletim semanal de Cibersegurança 25 – 31 Março GitHub expôs sua chave de host RSA SSH por engano O GitHub anunciou na sexta-feira passada que substituiu sua chave de host RSA SSH usada para proteger as operações do...
Telefónica Tech Boletim semanal de Cibersegurança 17 – 24 Março HinataBot: nova botnet dedicada a ataques DDoS A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Março Nova versão do Trojan bancário Xenomorph Pesquisadores do ThreatFabric detectaram uma nova variante do Trojan bancário para Android Xenomorph. Essa família de malware foi detectada pela primeira vez em fevereiro...
