Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Uma revisão sobre as melhores técnicas de hacking na internet (Parte 2)ElevenPaths 1 abril, 2019 Na semana pasada publicamos a primeira parte do ranking de melhores técnicas de hacking de 2018 e hoje continuamos o trabalho. Para recordar, se trata de uma classificação semelhante ao OWASP Top 10, mas focada em ressaltar técnicas associadas as aplicações web publicadas durante 2018. A segurança na internet está em constante evolução. Todos os dias são publicadas novas falhas em frameworks, bibliotecas e aplicações conhecida, muitas delas não chegam a merecer a publicação de um CVE e algumas dessas vulnerabilidades são utilizadas para melhorar técnicas de hacking já existentes. 5.- Attacking ‘Modern’ Web Technologies O investigador Fran Rosen apresentou uma palestra na conferência AppSec Europe, organizada pela OWASP, em que reviu as técnicas de exploração em novas capacidades daquilo que chamado de internet moderna, baseada principalmente em APIs de persistência e websockets. Uma palestra que não deixará você tranquilo, sobretudo porque vai te fazer entender que estamos em uma nova era onde as injeções clássicas ou inclusões de arquivos locais se tornaram antiquadas (ainda não tenham caído em desuso). 4.- Prototype pollution attacks in NodeJS applications Nesse caso de uso, Olivier Arteau encontra uma forma interessante de executar código de maneira arbitrária em aplicações NodeJS, que nos leva para “dentro” do servidor através da exploração da propriedade proto do objeto predefinido “object” na linguagem JavaScript, algo que até agora só era considerado no lado do cliente. 3.- Beyond XSS: Edge Side Include Injection Nessa pesquisa, Louis Dion-Marcil nos mostra o exploit ESI (Edge Side Include), uma linguagem baseada em XML que permite indicar aos proxys cache se partes de uma página devem ou não ser “cacheadas”. A técnica permitiu ao pesquisador executar ataques SSRF (Server Side Requests Forgery), evadindo a proteção HTMLOnly que impede a manipulação de cookies com JavaScript. 2.- Practical Web Cache Poisoning: Redefining ‘Unexploitable A vice-campeã da nossa lista vem de James Kettle, empregado da PortSwigger e, ainda que em um primeiro momento ele próprio a tenha descartado, a comunidade decidiu que sua qualidade era merecedora da classificação (abrindo uma exceção à regra de impedir empregados da empresa de participar do próprio ranking). Ele conseguiu descobrir uma maneira de explorar o cache web (isso mesmo, o mesmo do item 3) para compromete-la, injetando conteúdo arbitrário em hosts terceiros. Uma técnica ímpar que tem grande impacto na arquitetura de soluções web atuais. 1.- Breaking Parser Logic: Take Your Path Normalization off and Pop 0days Out! A técnica vencedora desse ano foi apresentada na DEF CON do ano passado por Orange Tsai. A nova técnica de exploração está baseada na normalização de rotas que, ainda que tenham o objetivo de adequar o uso de URLs e evitar explorações, se torna ineficiente por sua complexidade e implementações múltiplas. Desde frameworks e bibliotecas até linguagens de programação, cada implementação particular da normalização de rotas esconde um potencial problema de segurança. Em alguns casos, se aproveitar da falha é um processo simples, que causam impactos que vão desde a evasão de restrições e controles até a execução remota de códigos. Não perca de vista todo o trabalho do Orange Tsai, que também ganhou a edição 2017 desse ranking. Esse é a nossa revisão das melhores técnicas de 2018 em segurança para web. Como pudemos ver, as técnicas estão cada vez mais complexas, acompanhando o grau de evolução vertiginoso das aplicações para a internet. Tanto para um pesquisador de segurança, quanto para um auditor ou devops, que tenha se comprometido a defender qualquer infraestrutura, é crucial estar atualizado com estes tipos de técnicas, porque é certo que elas serão utilizadas em algum momento contra sistemas e aplicações. Uma revisão sobre as melhores técnicas de hacking na internet de 2018 – Parte 1A ElevenPaths cria um add-on para que o Firefox seja compatível com o recurso Certificate Transparency
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...
Telefónica Tech Boletim semanal de Cibersegurança 3 – 9 dezembro Nono 0-day do ano no Chrome O Google lançou o Chrome 108.0.5359.94 para Mac e Linux, e o 108.0.5359.94/.95 para Windows, que corrige uma vulnerabilidade de 0-day, a nona detectada...
Telefónica Tech Boletim semanal de Cibersegurança 28 outubro – 4 novembro Uso de Raspberry Robin em cadeias complexas de infecção Pesquisadores da Microsoft relataram nos últimos dias novas descobertas sobre o malware Raspberry Robin. De acordo com sua análise, esse software...
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...