Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Nova versão do nosso SIEM Attack Framework, agora com 7 fabricantesÁrea de Inovação e Laboratório ElevenPaths 16 octubre, 2020 Há já algum tempo, na equipa de Inovação e Laboratório da ElevenPaths, temos vindo a trabalhar em diversos projectos e investigações relacionadas com os aspectos de segurança do SIEM (Security Information and Event Management). Um dos projetos que lançamos é uma ferramenta gratuita de código aberto chamada SIEM Attack Framework para a análise de segurança dessas tecnologias, e que nos permite detectar fragilidades na configuração de alguns produtos como Splunk, GrayLog e OSSIM. No ano passado, apresentamos ela no BlackHat Arsenal 2019, 8dot8 e EkoLabs, onde ela ganhou o prêmio por melhor laboratório da EkoParty2019. A ferramenta ainda está viva e faz parte do nosso conjunto de ferramentas à disposição da comunidade. Durante 2020, dissemos como é a estrutura de desenvolvimento e como temos adicionado a descoberta de novos SIEMs dentro do framework em um capítulo de nosso CodeTalks4Devs. Nele ajudamos a comunidade a entender como o desenvolvimento foi planejado, como contribuir ou modificar módulos para fins específicos e também antecipar que em breve haveria surpresas. O que adicionamos nesta atualização? Alguns dias atrás, também lançamos uma atualização da ferramenta em nosso repositório adicionando mais três SIEMs ao framework de ataque para tentar facilitar o trabalho das equipes Red Team e Pentesting. Nesta última atualização, incorporamos os seguintes fabricantes: QRadar, para o qual implementamos um módulo de teste de força bruta para detectar a senha do administrador. Como o usuário é sempre administrador, é necessário apenas obter a senha para acessar o ambiente web, embora seja um ataque muito lento devido a algumas proteções. Porém, o número de tentativas não é controlado na API, portanto é possível realizar um ataque de força bruta para detectar a API-Key e então extrair a configuração completa da configuração do SIEM e dos usuários de acesso ao banco de dados. dados internos chamados ARIEL.McAfee SIEM, neste nós implementamos um ataque de dicionário para detectar a senha do usuário que vem por padrão chamada “NGCP”. Devido a certas configurações de restrição este ataque pode ser lento, por isso estamos procurando outra forma de obter essas credenciais, então implementamos um novo módulo aproveitando o fato de que o sistema habilita o serviço SSH por padrão e que é possível acessar com o usuário root, mas que além disso compartilha a mesma senha do usuário NGCP. Uma vez obtidos esses dados, é possível usar três outros ataques que nos permitem obter informações de configuração, serviços de serviço, proteções configuradas e extrair o arquivo shadow do sistema, e com ele todos os usuários dele.SIEMonster, onde implementamos um módulo de ataque de dicionário semelhante ao mencionado no caso anterior, visto que este SIEM possui o mesmo usuário configurado para acesso SSH e para acesso WEB, denominado «deploy», para o qual é possível obter acesso administrativo a ambos os ambiente da web conforme console. Além disso, dois ataques foram gerados para obter dados de configuração do sistema e o arquivo shadow para ter todos os usuários dele.ElasticSIEM, também implementamos um módulo de força bruta para SSH já que o sistema operacional recomendado para sua instalação habilita o serviço por padrão. Por sua vez, para implementações locais, ele não gera um controle de acesso ao serviço da web por padrão, e requer a implementação de uma série de configurações para que um mecanismo de autenticação possa ser integrado. Por sua vez, geramos um módulo que nos permite aproveitar esta configuração possível e acessar o sistema por console , para obter mais dados de configuração, embora muitas vezes comprometer este SIEM requer apenas identificá-lo dentro da rede. Além disso, nesta nova versão, foram feitas alterações em: A validação dos dados inseridos pelo analista foi modificadaAdiciona-se a possibilidade de especificar uma porta de forma simples diferente daquela que é detectada pela instalação do SIEM, para que possa ser detectada mesmo que tenha sido publicada em outra porta da própria ferramenta sem ter que recorrer a outras ferramentas para isto.Baterias de teste foram adicionadas para otimizar o desempenho.Foram feitas modificações que permitem aos usuários ver quais dados podem ser obtidos em alguns dos ataques e comparar com os resultados obtidos. Com todas essas mudanças e melhorias, a versão 0.2 da ferramenta oferece a possibilidade de analisar sete SIEMs diferentes de maneiras diferentes. Em alguns deles podemos detectar e tirar proveito de fragilidades na configuração padrão, em outros no uso da API de gerenciamento e em outros serviços expostos, mas sempre oferecendo a possibilidade de avaliar a segurança do sistema. Redefinindo a segurança na nuvem com SASEO futuro das assinaturas digitais para proteger o seu dinheiro está na criptografia de limiar
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...