Boletim semanal de Cibersegurança 25 Fevereiro – 3 Março

Vulnerabilidades no WordPress Houzez

Um pesquisador de segurança da Patchstack descobriu recentemente duas vulnerabilidades críticas no Houzez, um tema e seu plugin WordPress que permite gerenciar listas de forma fácil e transparente para o cliente.

• A primeira vulnerabilidade, identificada como CVE-2023-26540 e CVSS 9.8, refere-se a um bug de configuração que afeta a versão 2.7.1 e anterior e pode ser explorada remotamente sem autenticação para escalar privilégios.
• Por outro lado, o bug identificado como CVE-2023-26009 e CVSS 9.8, afeta o login do Houzez nas versões 2.6.3 e anteriores.

Nos ataques observados pelo Patchstack, os agentes de ameaças distribuíram um backdoor capaz de executar comandos, injetar anúncios no site e redirecionar para sites maliciosos, por isso os pesquisadores recomendam a atualização o mais rápido possível.

Ler mais →

* * *

Digital Smoke: Fraude de Investimento Mundial

A equipe da Resecurity identificou uma rede de fraude de investimento, que teria operado de 2015 até o início de 2023.

Os atores maliciosos por trás dessa rede, que tem sido chamada de «Digital Smoke», operavam se passando por corporações mundialmente famosas, como Verizon, BackRock, Ferrari, Shell ou Barclays, entre outras, para que as vítimas, localizadas em todo o mundo, fizessem investimentos em produtos de investimento falsos. A Digital Smoke desenvolveu uma grande rede de recursos da web e aplicativos móveis hospedados em diferentes provedores de hospedagem e jurisdições.

O modus operandi consistia em registrar domínios semelhantes aos legítimos das empresas personificadas, colocando os links para o registro de novas vítimas em aplicativos de mensagens como WhatsApp e outras redes sociais.

Uma vez que as vítimas se registraram no site ou aplicativo criado pelos agentes mal-intencionados, elas foram solicitadas a fazer um pagamento pelo suposto investimento.

Deve-se notar que os investigadores compartilharam todas as informações disponíveis com o Centro de Coordenação de Crimes Cibernéticos da Índia e as autoridades dos EUA no final de 2022, com a operação sendo descontinuada no início de 2023.

Ler mais →

* * *

Aruba corrige seis vulnerabilidades críticas

A Aruba emitiu um comunicado de segurança informando sobre seis vulnerabilidades críticas que afetam várias versões do ArubaOS.

Os produtos afetados são Aruba Mobility Conductor, Aruba Mobility Controllers e WLAN Gateways e SD-WAN Gateways.

• As vulnerabilidades identificadas como CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 e CVE-2023-22750,  todas com CVSSv3 9.8, resultam em uma falha de injeção de comando.
• As vulnerabilidades CVE-2023-22751 e CVE-2023-22752, também ambas com CVSSv3 9.8, são erros de estouro de buffer.

Essas vulnerabilidades podem ser exploradas por um invasor não autenticado para enviar pacotes para o Aruba Access Point Management Protocol (PAPI) pela porta UDP 8211, permitindo que códigos arbitrários sejam executados como usuários privilegiados no ArubaOS.

Ler mais →

* * *

APT-C-36: nova campanha maliciosa contra o Equador e a Colômbia

A equipe de pesquisadores da BlackBerry publicou uma investigação na qual revela a existência de uma nova campanha do APT-C-36, um grupo também conhecido como BlindEagle, contra alvos geolocalizados no Equador e na Colômbia.

Especificamente, nesta campanha, atores mal-intencionados se passaram pela Direção Nacional de Impostos e Alfândegas da Colômbia e pela Receita Federal do Equador com o objetivo de lançar campanhas de phishing direcionadas a indústrias-chave em ambos os países, incluindo saúde, finanças e governo.

Esta informação surge na sequência de outra descoberta feita em janeiro pela empresa Check Point que alertou para uma campanha levada a cabo pelo referido ator e da qual indicou estar interessada em obter ganhos monetários.

No entanto, a BlackBerry indicou que, durante os incidentes mais recentes, os objetivos eram o roubo de informações e a espionagem de suas vítimas.

Ler mais →

* * *

Campanha de cryptojacking contra bancos de dados Redis

Pesquisadores do Cado Labs descobriram uma campanha de cryptojacking que tem como alvo servidores de banco de dados Redis mal configurados. 

A campanha é realizada por meio do transfer.sh, um serviço de transferência de arquivos de código aberto que vem sendo violado desde 2014. O vetor de acesso ocorre explorando uma implementação insegura do Redis, salvando o banco de dados em um diretório cron que leva à execução de comandos arbitrários.

Como o principal objetivo do malware é minerar criptomoedas com o XMRig, ele realiza uma série de medidas para garantir sua eficácia. 

Entre estes, ele libera memória no sistema, remove todos os criptomineradores que possam existir e instala um scanner de rede para encontrar outros servidores Redis vulneráveis e espalhar a infecção.

Ler mais →