Boletim semanal de cibersegurança, 30 de julho – 5 de agosto

Possível ligação entre o malware Raspberry Robin e as infecções da Evil Corp

A equipe do Microsoft Threat Intelligence Center (MSTIC) publicou novas informações sobre o malware Raspberry Robin, detectado pela equipe da Red Canary em setembro de 2021 [1]. O principal método de propagação associado a esta família é através de dispositivos USB infectados, e uma de suas principais características é o uso de dispositivos QNAP NAS como servidores Command & Control (C2). Em sua atualização, os especialistas da Microsoft teriam descoberto que o Raspberry Robin, em estágios mais avançados, está implementando em redes infectadas o malware FakeUpdates, tradicionalmente ligado ao ator DEV-0206. No entanto, a atividade observada uma vez que o FakeUpdates é distribuído leva a ações que tradicionalmente foram vinculadas às realizadas pelo DEV-0243 (Evil Corp) antes de suas infecções por ransomware. Quanto à afetação, deve-se notar que ele alerta para a detecção de atividade desse malware em centenas de organizações em uma infinidade de setores.

[1] https://redcanary.com/blog/raspberry-robin/

URL: https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0206-DEV-0243

Aviso de segurança crítica da VMware

A VMware emitiu um aviso de segurança crítico (VMSA-2022-0021) relatando dez vulnerabilidades recentemente detectadas e corrigidas. Estes incluem uma vulnerabilidade crítica descoberta pelo pesquisador de Segurança VNG Petrus Viet e listada como CVE-2022-31656 com um CVSSv3 de 9,8. É uma vulnerabilidade de desvio de autenticação que afeta os usuários de domínio locais e pode permitir que um invasor não autenticado obtenha privilégios de administrador. Em relação ao resto das vulnerabilidades, seis delas foram catalogadas com um risco «significativo» (CVE-2022-31658, CVE-2022-31659, CVE-2022-31660, CVE-2022-31661, CVE-2022-31664, CVE-2022-31665, CVE-2022-31665), CVE-2022-31665) e três com risco «moderado» (CVE-2022-31657, CVE-2022-31662, CVE-2022-31663), incluindo execução remota de código, escalonamento de privilégios e erros de scripting cross-site (XSS), entre outros. Esses bugs afetam o VMware Workspace ONE Access (Access), O VMware Workspace ONE Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manager. Embora a VMware esteja pedindo que as manchas sejam implementadas o mais rápido possível, deve-se notar que nenhuma exploração ativa foi detectada até agora.

URL: https://www.vmware.com/security/advisories/VMSA-2022-0021.html

Vulnerabilidades no Servidor APACHE HTTP

Várias vulnerabilidades foram descobertas no Apache HTTP Server afetando versões anteriores ao 2.4.54. Um invasor remoto poderia explorar algumas dessas vulnerabilidades para desencadear uma condição de negação de serviço, divulgação de informações confidenciais, scripting entre sites (XSS) ou evasão de restrições de segurança no sistema de destino. Das vulnerabilidades encontradas, a catalogada como CVE-2022-31813 [1] destaca-se por ter um CVSSv3 de 9.8 e cuja exploração permitiria a evasão do controle de autenticação baseado em IP por não enviar, sob certas condições, cabeçalhos X-Forwarder-*. Além disso, note que essas falhas afetam muitos produtos que fazem uso do servidor Apache, como IBM [2] ou F5 [3] e, portanto, é recomendável atualizar o Apache HTTP Server o mais rápido possível seguindo as instruções do provedor.

[1] https://nvd.nist.gov/vuln/detail/CVE-2022-31813
[2] https://www.ibm.com/support/pages/node/6595149
[3] https://support.f5.com/csp/article/K21192332
URL: https://httpd.apache.org/security/vulnerabilities_24.html

Vulnerabilidade de execução remota de código em roteadores DrayTek

A equipe do Trellix Threat Labs detectou uma grande vulnerabilidade de execução remota de código que afetaria roteadores do fabricante DrayTek. A exploração da vulnerabilidade, rastreada como CVE-2022-32548 – CVSSv3 10.0 [1], permitiria a execução de ataques que não requerem interação do usuário, desde que a interface de gerenciamento do dispositivo seja configurada para serviços de rede. Em caso de sucesso, o invasor seria capaz de acessar os recursos internos do dispositivo, comprometê-lo completamente e até mesmo lançar ataques dentro da LAN a partir da configuração padrão do próprio dispositivo. O bug afeta o modelo Vigor 3910, juntamente com outros 28 modelos DrayTek que compartilham a mesma base de código e já foi devidamente corrigido pela empresa. Da mesma forma, a Trellix publicou um vídeo [2] detalhando o processo de exploração dessa vulnerabilidade, por isso recomenda-se não expor a interface de administração à Internet, redefinir as senhas e atualizar o software dos dispositivos afetados para a versão mais recente.

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32548

[2] https://youtu.be/9ZVaj8ETCU8

URL: https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/rce-in-dratyek-routers.html

RapperBot: nova botnet voltada para sistemas Linux

Pesquisadores de segurança da Fortinet descobriram uma nova botnet, chamada RapperBot, que tem como alvo especificamente sistemas Linux. Este novo malware é supostamente baseado no código-fonte original da botnet Mirai, mas é notável por ter recursos exclusivos que são raros neste tipo de malware, como seu próprio protocolo de Comando & Controle (C2). Também ao contrário do Mirai, o RapperBot se concentra em usar técnicas de força bruta para acessar servidores SSH em vez de Telnet, lançando testes em listas de credenciais baixadas pelo malware a partir de seus próprios recursos. Se ele conseguir ter acesso ao servidor, o bot adiciona uma nova chave SSH e cria uma tarefa do Cron que reassenta o usuário a cada hora no caso de um administrador descobrir a conta e excluí-la. Atualmente não se sabe qual pode ser o principal propósito do RapperBot, já que seus autores mantiveram suas funções