Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Usando bibliotecas de desenvolvimento para implantar malwareDiego Samuel Espitia 1 diciembre, 2020 Os cibercriminosos buscam estratégias para atingir seus objetivos: em alguns casos, são informações do usuário; em outros, conexões; outras vezes, eles geram redes de computadores sob seu controle (botnets), etc. Qualquer usuário é uma vítima em potencial, mas se ele também puder fazer com que outros distribuam seu código malicioso sem saber, estamos falando de um ganho inestimável para os criminosos. É por isso que eles perceberam que infiltrar código malicioso em pacotes que os desenvolvedores usam para gerar seus projetos é uma forma muito eficaz de espalhar para o maior número possível de vítimas, além de se beneficiar do anonimato. Desta forma, cada vez que um desenvolvedor, em qualquer lugar do mundo, utilizar o pacote corrompido que vazou dentro da biblioteca em qualquer tipo de código, ele vai distribuir o segmento malicioso e tornando a rastreabilidade quase impossível, pois existem bibliotecas que possuem foi baixado milhões de vezes. No ano passado, vários exemplos dessa prática foram encontrados usando principalmente os pacotes da biblioteca NPM e pacotes da biblioteca Python. Os criminosos usaram diferentes técnicas para esconder suas ações e contornar os controles que estão nessas bibliotecas, vamos ver quais. Quais são as técnicas usadas pelos cibercriminosos? Embora as técnicas sejam diversas, vamos nos concentrar naquelas que, após sua detecção, pudemos comprovar que permaneceram por muito tempo disponíveis nas bibliotecas: Typosquatting: como já havíamos mencionado, esta técnica é utilizada em vários tipos de ataques de computador e se baseia em modificações nos nomes dos pacotes que confundem os usuários ou que, após um erro de digitação, carreguem um desses códigos maliciosos.O exemplo mais claro desse método foi apresentado na biblioteca PyPi do Python, onde foram detectados dois pacotes maliciosos que utilizavam mutações no nome para sua propagação, como no caso de jeIlyfish com jellyfish. Esta mutação de nome tinha como objetivo obter as chaves de autenticação SSH nos diferentes servidores ou computadores onde qualquer desenvolvimento que usa este pacote está instalado.Esses pacotes ficaram disponíveis por mais de um ano na biblioteca PyPi, onde foram baixados mais de cem mil vezes, o que dá ao atacante um amplo impacto e dispersão em termos de possíveis alvos, já que este código ainda pode ser utilizado em alguns empreendimentos comerciais ou domésticos que não sejam mantidos ou monitorados de maneira adequada. Brandjacking Este tipo de ataque aproveita a importância de um pacote para criar uma mutação ou simulação do mesmo. A principal diferença com a técnica anterior é que ela não apela ao possível erro de um desenvolvedor ao inserir o requisito em seu código, mas cria um pacote que tem exatamente o mesmo nome, mas geralmente adiciona o nome da linguagem em que está trabalhando.Nos pacotes da biblioteca NPMjs, essa técnica foi detectada em diversas ocasiões, usando pacotes como twilio, que tem cerca de 500 mil downloads, para criar um pacote malicioso que usa seu reconhecimento para se fazer passar por ele, com o pacote twilio-npm, que Com apenas 3 dias online consegui 371 downloads. Esses dois exemplos básicos mostram que os criminosos estão constantemente buscando a implantação de seu código malicioso por meio de vários mecanismos, demonstrando que podem colocar em risco qualquer usuário com ou sem conhecimento de computação ou gerenciamento de informações. Da mesma forma, confirma que é imprescindível que as empresas de fomento procurem mecanismos para detectar essas estratégias, obedecendo a metodologias que garantam um desenvolvimento seguro para minimizar a exploração deste tipo de ameaças e colocar os utilizadores em risco. Quanto às empresas por trás desse tipo de linguagem de desenvolvimento, esforços internos e comunitários estão sendo feitos para detectar essas ameaças no menor tempo possível. Um exemplo dessas alianças na OSSF (Open Source Security Foundation), da qual somos parte ativa, que visa desenvolver ferramentas e comunicação com o objetivo de melhorar a segurança nos empreendimentos e que as empresas de desenvolvimento de TI tenham referências ou elementos para validar o ciclo de vida de seus empreendimentos. Nonces, salts, paddings e outras ervas aleatórias para temperar saladas criptográficasDiga-me quais dados você solicita da Apple e eu direi que tipo de governo você é
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...