Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de cibersegurança, 13—20 maioTelefónica Tech 20 mayo, 2022 VMware corrige vulnerabilidades críticas em vários de seus produtos A VMware lançou um aviso de segurança para abordar uma vulnerabilidade de desvio de autenticação crítica que afeta vários de seus produtos. Identificada como CVE-2022-22972 e CVSSv3 9.8, a falha consiste em um bypass de autenticação que afeta os usuários no domínio local e permitiria que um invasor com acesso à rede à interface do usuário obtenha acesso ao administrador sem a necessidade de autenticar. A VMware também lançou patches para uma segunda vulnerabilidade grave de escalada de privilégios locais (CVE-2022-22973 – CVSSv3 7.8) que poderiam permitir que um ator de ameaças aumentasse suas permissões para “root”. Ambos os bugs afetam os produtos VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manage. Além disso, a publicação dessas falhas fez com que entidades como a CISA emitissem diretivas de emergência para vários órgãos federais esta semana, instando-as a atualizar ou remover urgentemente os produtos VMware de suas redes antes da próxima segunda-feira, devido ao aumento do risco de ataques. Por sua vez, a VMware forneceu links de download de patches e instruções de instalação em seu site base de conhecimento, bem como soluções alternativas se não for possível atualizar imediatamente. URL: https://www.vmware.com/security/advisories/VMSA-2022-0014.html * * * Nova campanha contra servidores SQL A equipe de Inteligência de Segurança da Microsoft compartilhou através de seu perfil no Twitter uma nova campanha que eles teriam descoberto recentemente, que estaria afetando os servidores SQL e se destacaria pelo uso de sqlps de lolBin.exe. Para acesso inicial ao servidor SQL, eles observaram o uso de ataques de força bruta. Além disso, como eles descrevem, uma vez que o servidor é comprometido, o ator de ameaças usa sqlps.exe, uma ferramenta do Windows usada para iniciar e usar o PowerShell em relação às instâncias SQL, para alcançar persistência, executando comandos de reconhecimento e modificando o modo de inicialização do servidor para o LocalSystem. Os atacantes também usam sqlps.exe para assumir o controle do servidor criando uma nova conta com permissões de administrador, permitindo que eles injetem cargas no sistema. URL: https://twitter.com/MsftSecIntel/status/1526680337216114693 * * * Aumento da atividade do malware XorDDoS Pesquisadores da Microsoft publicaram uma análise do Trojan direcionado contra sistemas Linux conhecidos como XorDDoS, onde expõem que teriam detectado um aumento na atividade durante os últimos 6 meses. O XorDDoS, ativo desde pelo menos 2014, deve seu nome à criptografia XOR usada para suas comunicações com o servidor Command & Control, bem como seu tipo de ataque mais característico, sendo estas as negações distribuídas de serviço (DDoS). Para isso, o XorDDoS geralmente concentra sua atividade no engajamento de dispositivos de Internet das Coisas (IoT) com os quais gerar sua botnet para emitir ataques DDoS. Dentro de sua análise, a Microsoft especifica que eles observaram que, dispositivos infectados com XorDDoS, são posteriormente comprometidos com o backdoor tsunami, que por sua vez implanta o cryptominer XMRing. Entre os TTPs utilizados pelo XorDDoS, destaca-se o uso de força bruta contra serviços SSH acessíveis como principal vetor de entrada para obter permissões radiculares na máquina comprometida. Além disso, possui módulos projetados para a evasão de sistemas de segurança, escondendo sua atividade, o que dificulta a detecção. Da Microsoft, eles fornecem recomendações para tentar combater essa ameaça. URL: https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/ * * * CISA expõe os vetores de entrada mais usados A CISA, em conjunto com autoridades dos Estados Unidos, Canadá, Nova Zelândia, Holanda e Reino Unido, emitiu um aviso sobre controles de segurança e práticas que são comumente usados como acesso inicial durante compromissos com potenciais vítimas. Os cibercriminosos geralmente se aproveitam de configurações de segurança ruins (desconfiguradas ou desprotegidas), controles fracos e outras práticas erradas como parte de suas táticas para comprometer sistemas. Algumas das táticas, técnicas e procedimentos (TTPs) mais utilizadas seriam: exploração de um aplicativo exposto ao público [T1190], serviços remotos externos [T1133], phishing [T1566], alavancando uma relação de confiança [T1199] ou explorando contas válidas [T1078]. Para evitar essas técnicas, o edital resume uma série de práticas recomendadas para proteger os sistemas desses possíveis ataques, destacando o controle de acesso, reforço de credenciais, estabelecendo o gerenciamento centralizado de log, o uso de antivírus, ferramentas de detecção, operando serviços expostos com configurações seguras, além de manter o software atualizado. URL: https://www.cisa.gov/uscert/ncas/alerts/aa22-137a Boletim semanal de cibersegurança, 30 abril — 6 maioBoletim semanal de cibersegurança, 21—27 maio
Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Telefónica Tech Boletim semanal de Cibersegurança 8 – 14 Abril Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads....
Telefónica Tech Boletim semanal de Cibersegurança 25 – 31 Março GitHub expôs sua chave de host RSA SSH por engano O GitHub anunciou na sexta-feira passada que substituiu sua chave de host RSA SSH usada para proteger as operações do...
Telefónica Tech Boletim semanal de Cibersegurança 17 – 24 Março HinataBot: nova botnet dedicada a ataques DDoS A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Março Nova versão do Trojan bancário Xenomorph Pesquisadores do ThreatFabric detectaram uma nova variante do Trojan bancário para Android Xenomorph. Essa família de malware foi detectada pela primeira vez em fevereiro...