Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de cibersegurança, 30 de julho – 5 de agostoTelefónica Tech 5 agosto, 2022 Possível ligação entre o malware Raspberry Robin e as infecções da Evil Corp A equipe do Microsoft Threat Intelligence Center (MSTIC) publicou novas informações sobre o malware Raspberry Robin, detectado pela equipe da Red Canary em setembro de 2021 [1]. O principal método de propagação associado a esta família é através de dispositivos USB infectados, e uma de suas principais características é o uso de dispositivos QNAP NAS como servidores Command & Control (C2). Em sua atualização, os especialistas da Microsoft teriam descoberto que o Raspberry Robin, em estágios mais avançados, está implementando em redes infectadas o malware FakeUpdates, tradicionalmente ligado ao ator DEV-0206. No entanto, a atividade observada uma vez que o FakeUpdates é distribuído leva a ações que tradicionalmente foram vinculadas às realizadas pelo DEV-0243 (Evil Corp) antes de suas infecções por ransomware. Quanto à afetação, deve-se notar que ele alerta para a detecção de atividade desse malware em centenas de organizações em uma infinidade de setores. [1] https://redcanary.com/blog/raspberry-robin/ URL: https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0206-DEV-0243 Aviso de segurança crítica da VMware A VMware emitiu um aviso de segurança crítico (VMSA-2022-0021) relatando dez vulnerabilidades recentemente detectadas e corrigidas. Estes incluem uma vulnerabilidade crítica descoberta pelo pesquisador de Segurança VNG Petrus Viet e listada como CVE-2022-31656 com um CVSSv3 de 9,8. É uma vulnerabilidade de desvio de autenticação que afeta os usuários de domínio locais e pode permitir que um invasor não autenticado obtenha privilégios de administrador. Em relação ao resto das vulnerabilidades, seis delas foram catalogadas com um risco «significativo» (CVE-2022-31658, CVE-2022-31659, CVE-2022-31660, CVE-2022-31661, CVE-2022-31664, CVE-2022-31665, CVE-2022-31665), CVE-2022-31665) e três com risco «moderado» (CVE-2022-31657, CVE-2022-31662, CVE-2022-31663), incluindo execução remota de código, escalonamento de privilégios e erros de scripting cross-site (XSS), entre outros. Esses bugs afetam o VMware Workspace ONE Access (Access), O VMware Workspace ONE Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manager. Embora a VMware esteja pedindo que as manchas sejam implementadas o mais rápido possível, deve-se notar que nenhuma exploração ativa foi detectada até agora. URL: https://www.vmware.com/security/advisories/VMSA-2022-0021.html Vulnerabilidades no Servidor APACHE HTTP Várias vulnerabilidades foram descobertas no Apache HTTP Server afetando versões anteriores ao 2.4.54. Um invasor remoto poderia explorar algumas dessas vulnerabilidades para desencadear uma condição de negação de serviço, divulgação de informações confidenciais, scripting entre sites (XSS) ou evasão de restrições de segurança no sistema de destino. Das vulnerabilidades encontradas, a catalogada como CVE-2022-31813 [1] destaca-se por ter um CVSSv3 de 9.8 e cuja exploração permitiria a evasão do controle de autenticação baseado em IP por não enviar, sob certas condições, cabeçalhos X-Forwarder-*. Além disso, note que essas falhas afetam muitos produtos que fazem uso do servidor Apache, como IBM [2] ou F5 [3] e, portanto, é recomendável atualizar o Apache HTTP Server o mais rápido possível seguindo as instruções do provedor. [1] https://nvd.nist.gov/vuln/detail/CVE-2022-31813[2] https://www.ibm.com/support/pages/node/6595149[3] https://support.f5.com/csp/article/K21192332URL: https://httpd.apache.org/security/vulnerabilities_24.html Vulnerabilidade de execução remota de código em roteadores DrayTek A equipe do Trellix Threat Labs detectou uma grande vulnerabilidade de execução remota de código que afetaria roteadores do fabricante DrayTek. A exploração da vulnerabilidade, rastreada como CVE-2022-32548 – CVSSv3 10.0 [1], permitiria a execução de ataques que não requerem interação do usuário, desde que a interface de gerenciamento do dispositivo seja configurada para serviços de rede. Em caso de sucesso, o invasor seria capaz de acessar os recursos internos do dispositivo, comprometê-lo completamente e até mesmo lançar ataques dentro da LAN a partir da configuração padrão do próprio dispositivo. O bug afeta o modelo Vigor 3910, juntamente com outros 28 modelos DrayTek que compartilham a mesma base de código e já foi devidamente corrigido pela empresa. Da mesma forma, a Trellix publicou um vídeo [2] detalhando o processo de exploração dessa vulnerabilidade, por isso recomenda-se não expor a interface de administração à Internet, redefinir as senhas e atualizar o software dos dispositivos afetados para a versão mais recente. [1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32548 [2] https://youtu.be/9ZVaj8ETCU8 URL: https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/rce-in-dratyek-routers.html RapperBot: nova botnet voltada para sistemas Linux Pesquisadores de segurança da Fortinet descobriram uma nova botnet, chamada RapperBot, que tem como alvo especificamente sistemas Linux. Este novo malware é supostamente baseado no código-fonte original da botnet Mirai, mas é notável por ter recursos exclusivos que são raros neste tipo de malware, como seu próprio protocolo de Comando & Controle (C2). Também ao contrário do Mirai, o RapperBot se concentra em usar técnicas de força bruta para acessar servidores SSH em vez de Telnet, lançando testes em listas de credenciais baixadas pelo malware a partir de seus próprios recursos. Se ele conseguir ter acesso ao servidor, o bot adiciona uma nova chave SSH e cria uma tarefa do Cron que reassenta o usuário a cada hora no caso de um administrador descobrir a conta e excluí-la. Atualmente não se sabe qual pode ser o principal propósito do RapperBot, já que seus autores mantiveram suas funções Boletim semanal de cibersegurança 16 — 22 julhoBoletim semanal de cibersegurança, 27 agosto — 2 setembro
Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Telefónica Tech Boletim semanal de Cibersegurança 8 – 14 Abril Apple corrige duas novas vulnerabilidades de 0-day exploradas ativamente A Apple lançou novos avisos de segurança sobre duas novas vulnerabilidades de 0-day exploradas ativamente que afetam iPhones, Macs e iPads....
Telefónica Tech Boletim semanal de Cibersegurança 25 – 31 Março GitHub expôs sua chave de host RSA SSH por engano O GitHub anunciou na sexta-feira passada que substituiu sua chave de host RSA SSH usada para proteger as operações do...
Telefónica Tech Boletim semanal de Cibersegurança 17 – 24 Março HinataBot: nova botnet dedicada a ataques DDoS A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Março Nova versão do Trojan bancário Xenomorph Pesquisadores do ThreatFabric detectaram uma nova variante do Trojan bancário para Android Xenomorph. Essa família de malware foi detectada pela primeira vez em fevereiro...