Boletim semanal de Cibersegurança 18 – 24 Fevereiro

Telefónica Tech    24 febrero, 2023

Fortinet corrige vulnerabilidades críticas no FortiNAC e FortiWeb

A Fortinet emitiu um comunicado de segurança abordando duas vulnerabilidades críticas que afetam seus produtos FortiNAC e FortiWeb.

Especificamente, essas falhas de segurança foram registradas como CVE-2022-39952, com um CVSSv3 de 9.8, que afeta o FortiNAC e pode permitir que um invasor não autenticado execute código ou comandos não autorizados por meio de uma solicitação HTTP especialmente criada.

Além disso, a outra vulnerabilidade identificada como CVE-2021-42756, com um CVSSv3 de 9.3, afeta o FortiWeb e sua exploração pode permitir que um invasor remoto não autenticado execute código arbitrário por meio de solicitações HTTP projetadas para tais fins.

Deve-se notar que a Fortinet recomenda que os usuários afetados atualizem, por um lado, o FortiNAC para as versões 9.4.1, 9.2.6, 9.1.8 e 7.2.0. e, por outro lado, no que diz respeito à FortiWeb, atualize para 7.0.0, 6.3.17, 6.2.7, 6.1.3 e 6.0.8 ou posterior.

Ler mais

* * *

Credenciais de acesso expostas de dois grandes operadores de data center

A equipe de Resecurity publicou uma investigação sobre a venda de credenciais de acesso de duas operadoras de data center na Ásia, a saber, GDS Holdings Ltd. (China) e ST Telemedia Global Data Centers (Cingapura).

Os incidentes de segurança, dos quais ainda não foi esclarecido como ocorreram, ocorreram em 2021, no entanto, eles não foram conhecidos publicamente até agora, quando em 20 de fevereiro os dados roubados foram publicados em um fórum subterrâneo.

Entre os dados exfiltrados estariam credenciais, e-mails, números de telefone ou referências de carteira de identidade, estimando um comprometimento de mais de 3.000 registros no total. Indiretamente, além disso, grandes corporações globais que utilizavam esses data centers foram comprometidas, expondo logins de empresas como Apple, BMW, Amazon, Walmart, Alibaba, Microsoft ou Ford Motor, entre outras.

Deve-se notar que ambos os data centers forçaram seus clientes em janeiro passado a alterar senhas, embora a Resecurity tenha confirmado várias tentativas de acessar diferentes portais de clientes.

Finalmente, deve-se notar que os investigadores também não foram capazes de atribuir esses ataques a nenhum grupo específico.

Ler mais

* * *

Aplicativos falsos do ChatGPT usados para distribuir malware

Os pesquisadores da Kaspersky alertam para a existência de uma versão falsa do ChatGPT para desktop do Windows usada para distribuição de malware.

Aproveitando a crescente popularidade do chatbot OpenAI, os autores desta campanha estariam usando contas nas redes sociais anunciando a plataforma e incluindo um link para o suposto site de download. 

Alguns dos perfis identificados pela Kaspersky também ofereceram contas de teste para aumentar o interesse de suas potenciais vítimas. Uma vez que o download é feito, uma mensagem de erro é exibida avisando de um problema na instalação, enquanto, na realidade, um Trojan com recursos de infostealer que eles chamaram de «Fobo» teria sido baixado. 

A equipe de inteligência da Cyble também investigou essa mesma campanha distribuindo outras famílias de malware, como os stealers Lumma e Aurora. O pesquisador de segurança Dominic Alvieri também publicou sobre outros casos de campanhas que distribuem o stealer RedLine.

Ler mais

* * *

Vulnerabilidades nos produtos VMware

A VMware emitiu dois avisos de segurança alertando sobre duas vulnerabilidades críticas que afetam vários produtos VMware:

  1. A falha de segurança mais crítica foi registrada como CVE-2023-20858, com um CVSSv3 de 9,1 de acordo com o fabricante, o que afeta o Carbon Black App Control.
    • A exploração desta vulnerabilidade pode permitir que um agente mal-intencionado use uma entrada especialmente criada no console de administração do Controle de Aplicativos que permita o acesso ao sistema operacional do servidor.
  2. Outra vulnerabilidade registrada como CVE-2023-20855 foi publicada, com um CVSSv3 de 8.8 de acordo com o fabricante, o que afeta os produtos vRealize Orchestrator, vRealize Automation e Cloud Foundation.
    • Nesse caso, um agente mal-intencionado pode usar entradas especialmente criadas para ignorar restrições de análise XML que encerram o acesso a informações confidenciais ou permitem o escalonamento de privilégios nos sistemas afetados.

Ler mais

* * *

Campanha de phishing via PayPal

Pesquisadores da Avanan relataram uma nova campanha de phishing enviada da plataforma PayPal.

Os agentes mal-intencionados estão aproveitando a facilidade de criar contas PayPal gratuitas, que oferecem a capacidade de criar e enviar faturas para vários destinatários de uma só vez.

Dessa forma, as mensagens recebidas pelas vítimas vêm diretamente do domínio PayPal, contornando possíveis detecções de segurança.

Na campanha detectada, foram observadas várias mensagens em que as vítimas são informadas de que a sua conta foi debitada e que, caso não tenha sido autorizada, devem ligar para um número de telefone. Esse número de telefone não está associado a PayPal e, ao ligar para ele, os invasores obtêm o número de telefone das vítimas e outros detalhes pessoais, que podem ser usados em futuros ataques.

Devido à dificuldade de implementar medidas de segurança para bloquear esses e-mails, os pesquisadores recomendam pesquisar o número de telefone na Internet para ver se ele está ou não relacionado a PayPal.

Ler mais