Boletim semanal de Cibersegurança 14 – 20 Janeiro

Telefónica Tech    20 enero, 2023

Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de buffer e bypass de autenticação que permitiria a execução remota de código. O pesquisador que os descobriu, Brendan Scarvell, publicou um PoC para ambos.

Os modelos de roteadores afetados são Netcomm NF20MESH, NF20 e NL1902 executando versões de firmware anteriores aR6B035. Por outro lado, o CERT/CC detalhou duas vulnerabilidades que afetam os roteadores TP-Link WR710N-V1-151022 e Archer-C5-V2-160201, o que pode causar divulgação não autorizada de informações (CVE-2022-4499) e execução remota de código (CVE-2022-4498). 

Ler mais

* * *

PoC para múltiplas vulnerabilidades em plugins WordPress

Pesquisadores da Tenable publicaram detalhes de três novas vulnerabilidades em plugins para a plataforma WordPress, incluindo provas de conceito (PoCs) para todas elas.

O primeiro, catalogado como CVE-2023-23488 com uma pontuação CVSS de 9,8, é uma vulnerabilidade de injeção de SQL sem autenticação no plug-in Paid Membership Pro. O segundo, identificado como CVE-2023-23489 com a mesma pontuação e do mesmo tipo que o anterior, afeta o plug-in Easy Digital Downloads. E o terceiro e último, CVE-2023-23490 com uma pontuação CVSS de 8,8 e uma vulnerabilidade de injeção de SQL, afeta o plug-in do Survey Maker.

Os autores dos plugins teriam sido notificados em dezembro de 2022 e teriam lançado atualizações de segurança corrigindo esses problemas, de modo que as versões mais recentes disponíveis não seriam mais vulneráveis.

Ler mais

* * *

Hook: novo trojan bancário direcionado a dispositivos Android

Pesquisadores da ThreatFabric descobriram um novo trojan bancário Android chamado Hook. De acordo com os pesquisadores, ele teria sido lançado pelo mesmo desenvolvedor do trojan bancário Android Ermac, embora tenha mais recursos do que seu antecessor.

O ThreatFabric afirma que o Hook compartilha grande parte de seu código-fonte com o Ermac, por isso também deve ser considerado um trojan bancário. O aspecto mais notável do Hook é que ele inclui um módulo VNC (computação de rede virtual) que permite assumir o controle da interface comprometida em tempo real. 

Vale a pena notar que a Espanha é o segundo país com o maior número de pedidos bancários ameaçados por Hook depois dos Estados Unidos, de acordo com o relatório ThreatFabric.

Ler mais

* * *

Malware descoberto escondido em pacotes de repositório PyPI

Pesquisadores da Fortinet descobriram três pacotes no repositório PyPI (Python Package Index) contendo código malicioso destinado a infectar os sistemas dos desenvolvedores com malware do tipo infostealer.

Os três pacotes, que foram carregados na plataforma pelo mesmo usuário com o apelido Lolip0p, são chamados de Colorslib, httpslib e libhttps, respectivamente. A Fortinet destaca que, como uma grande novidade nesse tipo de ataque à cadeia de suprimentos, o agente de ameaças não tentou incorporar malware em cópias maliciosas de pacotes legítimos, mas criou seus próprios projetos, investindo muito esforço para fazê-los parecer confiáveis.

A Fortinet descobriu que o arquivo de instalação para todos os três pacotes é idêntico e tenta executar um PowerShell que baixa um arquivo mal-intencionado. De acordo com as estatísticas do PyPI, juntos esses três pacotes foram baixados 549 vezes até agora.

Ler mais

* * *

NortonLifeLock relata incidente com gerenciador de senhas

A Gen Digital, a empresa proprietária do NortonLifeLock, começou a enviar uma declaração a um número não revelado de seus usuários informando-os de que um terceiro não autorizado conseguiu acessar suas contas do Norton Password Manager e exfiltrar nomes, sobrenomes, números de telefone e endereços de e-mail.

Na notificação oficial enviada à Procuradoria Geral de Vermont, Norton explica que seus sistemas não foram comprometidos ou abusados, e que o incidente se deve ao invasor reutilizar nomes de usuário e senhas disponíveis em um banco de dados para venda na dark web.

Essa alegação é apoiada pelo fato de que, no final de dezembro, a Norton detectou um aumento substancial e incomum no número de tentativas de login com falha em seus sistemas, indicando que os invasores estavam tentando obter acesso testando senhas comprometidas em outro serviço. O incidente novamente destaca a necessidade de uma política de senha adequada com senhas exclusivas para cada serviço online.

Ler mais