Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Teletrabalho e pandemia: uma análise prática da vulnerabilidade BlueKeep na Espanha e na América LatinaAndrés Naranjo 12 noviembre, 2020 Não é a espécie mais forte que sobrevive, nem a mais inteligente, mas a que melhor responde à mudança.Charles Darwin Uma das maiores e mais rápidas mudanças na história recente da humanidade é esse “novo normal” que a pandemia Covid-19 trouxe desde março passado. Nesta mudança, a maioria das empresas teve de conceber uma forma de manter a sua actividade a qualquer preço, pelo menos na medida do possível. Isso, que não é fácil, também sabemos que é fundamental quando falamos em empresas de tecnologia: vemos muitas empresas cujo sucesso e solidez anterior não lhes serviram de forma alguma para enfrentar o mercado atual ou o cenário financeiro. Eles passaram do maior dos sucessos (sua força anterior) ao mais retumbante dos fracassos. Não se adaptar à mudança pode significar ser condenado à morte ou a uma longa agonia . Lembremos o caso da Nokia, por exemplo: no início do século, confortavelmente sentada no trono hegemônico da telefonia móvel tanto pela produção quanto pela reputação; hoje, apenas uma pequena sombra do que era, após a chegada dos smartphones . Mas voltando a março de 2020, como dissemos, as empresas na maioria dos países que sofreram confinamento tiveram que ter meios para manter sua atividade. E muitas vezes esses processos muito urgentes nunca levam em consideração as medidas de proteção necessárias. Em grande medida, essa adaptação significou viabilizar a possibilidade do teletrabalho , que, de acordo com os movimentos dos diferentes governos para regulamentar essa modalidade de trabalho, veio para ficar. Mas, como demonstraremos, essa capacidade de gerenciar remotamente e / ou habilitar o teletrabalho significou um maior número de ativos expostos a vulnerabilidades conhecidas. A vulnerabilidade BlueKeep O estudo apresentado é baseado na vulnerabilidade CVE-2019-0708, uma vulnerabilidade batizada de BlueKeep, para execução remota de código nos Serviços de Área de Trabalho Remota (anteriormente conhecidos como Serviços de Terminal) quando um invasor não autenticado se conecta ao sistema de destino usando RDP e envia solicitações especialmente criadas. Essa execução remota de código pode significar total controle e comprometimento do sistema. A razão para estudar exatamente essa vulnerabilidade é porque o protocolo RDP permite o acesso remoto facilmente, bastando abrir a porta 3389 para a máquina desejada. Mas cada porta aberta, como sabemos, é um vetor de entrada, principalmente no caso em que as medidas básicas de proteção dos sistemas não tenham sido tomadas. Além disso, não é uma vulnerabilidade particularmente recente (datada de maio de 2019) e também devemos ter em mente que ela afeta sistemas operacionais obsoletos do Microsoft XP, Vista, Windows Server 2008 que não são devidamente atualizados. Colaborou no estudo César Farro , que já em maio do ano passado publicou o primeiro estudo de exposição sobre o BlueKeep. Ferramentas públicas como masscan e rdpscan, ambas escritas por Robert Graham , foram usadas para este propósito. Estudio de la vulnerabilidad BlueKeep – Mayo 2019 A metodologia para este trabalho é simples: A faixa de IP’s para cada país foi escaneada usando fontes públicas onde são publicadas as faixas IPv4 atribuídas a cada um, como Lacnic e RIPE .As ferramentas descritas acima foram usadas para analisar se o ativo exposto na porta aberta 3389 é vulnerável. Ressalta-se que a análise não é determinante e há uma série de ativos não diagnosticáveis, que são detalhados como “ desconhecidos ”.Estabelecemos uma comparação entre janeiro de 2020 e agosto de 2020 para comparar o número de ativos com a porta aberta e tirar conclusões quanto ao nível de exposição. Vejamos, por exemplo, os dados da Espanha antes e depois da pandemia: Tomando as porcentagens como dados, vemos uma evolução clara: No caso da Espanha, podemos tirar as seguintes conclusões: Enquanto o número de ativos com a porta 3389 quase dobrou, a porcentagem de ativos objetivamente vulneráveis a esta vulnerabilidade caiu claramente de 11% para 4% dos ativos expostos.Os dispositivos 3745 ainda podem ser considerados um número muito alto de máquinas facilmente acessíveis e, portanto, vulneráveis a uma violação de segurança publicada há mais de um ano.O aumento de casos rotulados como desconhecidos deve-se principalmente a uma correção nos métodos de consulta de IPs desconhecidos , devendo ser atribuído a uma melhor configuração. Isso pode ser feito, por exemplo, limitando os acessos RDP a IPs específicos, o que resulta em um acesso mais seguro. Você pode consultar todos os dados relativos aos 12 países em estudo resumidamente na tabela a seguir: Em resumo A nova normalidade imposta pela pandemia obrigou inúmeras empresas e organizações a habilitar recursos de acesso remoto para manter suas atividades. Mas, como qualquer mudança, isso deve ser feito mantendo nossa estratégia de segurança para também garantir a continuidade dos negócios. O uso de RDP ou outros métodos de acesso remoto deve ser sempre planejado e executado desde o projeto de segurança para que nossa adaptação a esta mudança seja realizada sem colocar nossa entidade em risco. A título de dica, é conveniente ter nossa lista de ativos corretamente inventariada com suas respectivas versões de sistemas operacionais e softwares e / ou serviços executados, garantindo sempre que os mesmos se mantenham atualizados em relação às atualizações de segurança. ZoomEye: expandindo o TheTHE com mais pluginsRansomware em pandemia ou pandemia de ransomware?
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...