jan 31 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo Ransomware Mimic abusa de APIs do Windows.
    Uma nova família de ransomware chamada Mimic surgiu no cenário de ameaças. O ransomware abusa das APIs de uma ferramenta legítima “Everything” para o processo de criptografia. O malware faz uso de vários threads de processador e APIs do Everything para acelerar o processo de criptografia de dados. Vários recursos do ransomware incluem a coleta de informações do sistema, ignorando o Controle de Conta do Usuário (UAC), desabilitando o Windows Defender e a telemetria do Windows e inibindo a Recuperação do Sistema, entre outros. Os ataques começam com a vítima recebendo um executável por e-mail, que extrai quatro arquivos no sistema de destino. Os arquivos incluem a carga útil principal, arquivos auxiliares e ferramentas para desabilitar o Windows Defender.
  • Meta paga recompensa de $27.000 por vulnerabilidade de desvio 2FA.
    Um pesquisador divulgou os detalhes de uma falha de autenticação de dois fatores (2FA) que lhe rendeu uma recompensa de bug de US$ 27.000 da Meta, empresa controladora do Facebook. Gtm Manoz, do Nepal, descobriu em setembro de 2022 que um sistema projetado pela Meta para confirmar um número de telefone e endereço de e-mail não tinha nenhuma proteção de limitação. Uma correção foi lançada pela Meta em outubro de 2022 e a empresa destacou as descobertas de Manoz em seu relatório anual do programa de recompensas por bugs. A análise do pesquisador revelou que o sistema de verificação do código de seis dígitos não tinha limitação de taxa, o que poderia permitir que um invasor inserisse todos os códigos possíveis até obter o correto. Especificamente, um hacker precisaria saber o número de telefone atribuído pelo usuário-alvo à sua conta do Instagram e do Facebook.
  • Microsoft pede que os administradores corrijam os servidores locais do Exchange.
    A Microsoft pediu aos clientes que mantenham seus servidores Exchange locais atualizados, aplicando a atualização cumulativa (CU) mais recente para implantar uma atualização de segurança de emergência. O processo de atualização do servidor Exchange é direto e é recomendavel sempre executar o script Exchange Server Health Checker após instalar as atualizações. Isso ajuda a detectar problemas de configuração comuns conhecidos por causar problemas de desempenho ou problemas que podem ser corrigidos com uma simples alteração de configuração do Exchange Environment. Se encontrar algum problema, o script fornecerá links para artigos com orientação passo a passo para quaisquer tarefas manuais adicionais que precisem ser executadas. “Para defender seus servidores Exchange contra ataques que exploram vulnerabilidades conhecidas, você deve instalar o CU suportado mais recente (CU12 para Exchange Server 2019 , CU23 para Exchange Server 2016 e CU23 para Exchange Server 2013 ) , disse a equipe do Exchange.
Rubens Zolotujin 0 Comentários
jan 30 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft emite alerta para servidores Exchange.
    A Microsoft está pedindo aos clientes que mantenham seus servidores Exchange atualizados, e que também tomem medidas para reforçar o ambiente, como habilitar a Proteção Estendida do Windows e configurar a assinatura baseada em certificado de cargas úteis de serialização do PowerShell. “Os invasores que procuram explorar os servidores Exchange não corrigidos não vão desaparecer”, disse a equipe da Microsoft em um post. “Existem muitos aspectos de ambientes Exchange locais não corrigidos que são valiosos para agentes mal-intencionados que procuram exfiltrar dados ou cometer outros atos maliciosos”. A Microsoft também enfatizou que as mitigações emitidas pela empresa são apenas uma solução paliativa e que podem “se tornar insuficientes para proteger contra todas as variações de um ataque”, exigindo que os usuários instalem as atualizações de segurança necessárias para proteger os servidores.
  • Mais de 100 modelos de impressoras Lexmark estão vulneráveis a falha de RCE.
    A Lexmark lançou uma atualização de firmware de segurança para resolver uma vulnerabilidade de execução remota de código, rastreada como CVE-2023-23560, que afeta mais de 100 modelos de impressoras. A falha é uma falsificação de solicitação do lado do servidor (SSRF) no recurso Web Services das impressoras Lexmark, recebeu uma pontuação CVSS 9.0. “Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) foi identificada no recurso Web Services dos dispositivos Lexmark mais recentes. Essa vulnerabilidade pode ser aproveitada por um invasor para obter a execução de código arbitrário no dispositivo.” disse a empresa em comunicado. O comprometimento de uma impressora vulnerável pode ser explorado por agentes de ameaças para obter uma posição inicial na rede de destino. Depois de comprometer uma impressora, um invasor pode acessar o spooler de impressão expondo documentos confidenciais ou obter as credenciais da rede à qual o dispositivo está conectado.
  • Cibercriminosos utilizam Google ADS para espalhar Malware.
    O agente da ameaça DEV-0569 está utilizando ativamente o Google Ads para lançar campanhas publicitárias contínuas e em larga escala que espalham malware, obtêm as senhas das vítimas e, por fim, se infiltram em redes com o objetivo de realizar ataques de ransomware. Os resultados de pesquisa do Google se tornaram um terreno fértil para os cibercriminosos espalharem malware por meio de anúncios maliciosos, que representam uma ameaça significativa para os usuários. Esse problema está se tornando cada vez mais comum, pois muitos cibercriminosos estão usando anúncios maliciosos para induzir os usuários a baixar malware ou fornecer informações pessoais. Alguns dos principais programas utilizados por pelos invasores são Rufus, 7-Zip, FileZilla, WinRAR, AnyDesk, LibreOffice e VLC.
Rubens Zolotujin 0 Comentários
jan 26 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Milhares de sites WordPress foram infectados por cibercriminosos.
    Uma campanha massiva infectou mais de 4.500 sites WordPress como parte de uma operação de longa duração que se acredita estar ativa desde pelo menos 2017. De acordo com a GoDaddy, as infecções envolvem a injeção de JavaScript ofuscado hospedado em um domínio malicioso chamado “track[.]violetlovelines[.]com”, projetado para redirecionar os visitantes para sites indesejados. A operação mais recente está ativa desde 26 de dezembro de 2022, uma onda anterior observada no início de dezembro de 2022 afetou mais de 3.600 sites, enquanto outro conjunto de ataques registrado em setembro de 2022 envolveu mais de 7.000 sites. Quando os usuários inocentes acessam um dos sites hackeados do WordPress, uma cadeia de redirecionamento é acionada por meio de um sistema de direção de tráfego, levando as vítimas a páginas que exibem anúncios incompletos sobre produtos que ironicamente bloqueiam anúncios indesejados. Ainda mais preocupante, o site de um desses bloqueadores de anúncios chamado Crystal Blocker foi projetado para exibir alertas enganosos de atualização do navegador para induzir os usuários a instalar sua extensão, dependendo do navegador usado.
  • VMware lança patches para vulnerabilidades críticas do software.
    A VMware lançou um software para corrigir quatro vulnerabilidades de segurança que afetam o vRealize Log Insight (também conhecido como Aria Operations for Logs) que podem expor os usuários a ataques de execução remota de código. Duas das falhas são críticas, com uma classificação de gravidade de 9,8 em um máximo de 10, observou o provedor de serviços de virtualização em seu primeiro boletim de segurança para 2023. Uma terceira vulnerabilidade está relacionada a uma falha de desserialização (CVE-2022-31710) que pode ser armada por um invasor não autenticado para acionar uma condição de negação de serviço (DoS). Por fim, o vRealize Log Insight também foi considerado suscetível a um bug de divulgação de informações (CVE-2022-31711) que pode permitir o acesso a dados confidenciais de sessões e aplicativos sem qualquer autenticação.
  • DuoLingo investiga postagem na Deep Web oferecendo dados de 2,6 milhões de contas.
    A plataforma de aprendizado de idiomas DuoLingo disse que está investigando uma postagem em um fórum de cibercriminosos que oferece informações sobre 2,6 milhões de contas de clientes por US$ 1.500. Um porta-voz da empresa disse estar ciente da postagem, que foi criada na manhã da última terça-feira (24) e traz e-mails, telefones, cursos realizados e outras informações sobre como os clientes usam a plataforma. “Esses registros foram obtidos por coleta de dados de informações de perfil público”, disse um porta-voz. “Nenhuma violação de dados ocorreu. Nós Levamos a sério a privacidade e a segurança dos dados e continuamos investigando esse assunto para determinar se há alguma ação adicional necessária para proteger nossos alunos.”
Rubens Zolotujin 0 Comentários
jan 24 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Malware Boldmove é utilizado contra dispositivos Fortinet.
    Cibercriminosos exploraram uma vulnerabilidade FortiOS SSL-VPN divulgada recentemente como um zero day em dezembro, visando um governo europeu e um MSP africano com um novo malware personalizado ‘BOLDMOVE’ para Linux e Windows. A falha é rastreada como CVE-2022-42475 e foi discretamente corrigida pela Fortinet em novembro. A Fortinet divulgou publicamente a vulnerabilidade em dezembro, pedindo aos clientes que corrigissem seus dispositivos, pois os agentes de ameaças estavam explorando ativamente a falha. A falha permite que invasores remotos não autenticados travem dispositivos de destino remotamente ou obtenham execução remota de código. No entanto, a Fortinet compartilhou mais detalhes sobre como os hackers exploraram a falha, explicando que os agentes de ameaças tinham como alvo entidades governamentais com malware personalizado projetado especificamente para rodar em dispositivos FortiOS. O BOLDMOVE é um malware completo escrito em C que permite que os hackers obtenham controle de nível superior sobre o dispositivo, com a versão Linux criada especificamente para rodar em dispositivos FortiOS.
  • Falhas de segurança foram encontradas no Aplicativo Samsung Galaxy Store.
    Duas falhas de segurança foram divulgadas no aplicativo Galaxy Store da Samsung para Android que podem ser exploradas por um invasor local para instalar aplicativos arbitrários ou direcionar possíveis vítimas para páginas de destino fraudulentas na web. Os problemas, rastreados como CVE-2023-21433 e CVE-2023-21434, foram descobertos em novembro e dezembro de 2022. A Samsung classificou os bugs como de risco moderado e lançou correções na versão 4.5.49.8 enviado no início deste mês. A Samsung Galaxy Store, anteriormente conhecida como Samsung Apps e Galaxy Apps, é uma loja de aplicativos dedicada usada para dispositivos Android fabricados pela Samsung. Vale a pena notar que as falhas afetam apenas os dispositivos Samsung que executam o Android 12 e anteriores, e não afeta os que estão na versão mais recente (Android 13).
  • Grupo Gamaredon lança ataques cibernéticos contra a Ucrânia usando o Telegram.
    O grupo de espionagem cibernética patrocinado pelo Estado russo conhecido como Gamaredon continua mirando a Ucrânia, com ataques alavancando o popular aplicativo de mensagens Telegram para atacar setores militares e de aplicação da lei no país. “A infraestrutura de rede do grupo Gamaredon depende de contas Telegram de vários estágios para criação de perfis de vítimas e confirmação de localização geográfica e, finalmente, leva a vítima ao servidor de próximo estágio para a carga final”, disse a BlackBerry Research em um relatório. As cadeias de ataque montadas pelo agente da ameaça empregaram documentos legítimos do Microsoft Office originários de organizações do governo ucraniano como iscas em e-mails de spear phishing para entregar malware capaz de coletar informações confidenciais.
Rubens Zolotujin 0 Comentários
jan 23 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos visam empresas no setor de manufatura.
    Mais de três quartos das organizações de manufatura abrigam vulnerabilidades de alta gravidade não corrigidas em seus sistemas, segundo um estudo direcionado ao setor. A nova telemetria mostra um aumento ano a ano em falhas de alta gravidade nessas organizações. Em 2022, cerca de 76% das organizações de manufatura, observaram CVEs não corrigidas em seus ambientes. Quase 40% dessas organizações que incluem: metais, máquinas, eletrodomésticos, equipamentos elétricos e manufatura de transporte, sofreram infecções por malware. Muitos desses incidentes envolveram ransomware em que o agente da ameaça, tenta ganhar dinheiro por meio de extorsão. Enquanto isso, as investigações de resposta a incidentes das equipes da Dragos e da IBM X-Force mostraram que o alvo mais quente da tecnologia de operações (OT) é o setor de manufatura, e a principal arma que ataca essas organizações agora é o ransomware.
  • Mundo corre risco de uma catástrofe cibernética em dois anos.
    O Global Cybersecurity Outlook 2023, apresentado no Fórum, mostra que 86% das lideranças mundiais acreditam que a instabilidade geopolítica pode levar o mundo a um evento cibernético de grandes proporções nos próximos dois anos. Nos próximos anos uma grande catástrofe cibernética pode ocorrer caso os países não incluam em suas estratégias de defesa a cibersegurança. O tema foi levantado no Fórum Econômico Mundial, em Davos, na última semana. De acordo com Edi Rama, primeiro-ministro da Albânia, se o cibercrime fosse um estado seria a terceira maior economia do mundo depois de Estados Unidos e China com um PIB de US$ 10,5 trilhões. O preocupante, segundo Edi Rama, é o ritmo de crescimento deste volume, em 2015, o crime cibernético movimentava US$ 3 trilhões. Outro dado do levantamento aponta que 93% dos profissionais que cuidam da segurança cibernética de empresas e países compartilham da mesma opinião.
  • WhatsApp é multado em € 5,5 milhões por violar leis de proteção de dados.
    A Comissão Irlandesa de Proteção de Dados impôs na última quinta-feira (19) novas multas de € 5,5 milhões contra o WhatsApp por violar as leis de proteção de dados ao processar informações pessoais dos usuários. No centro da decisão está uma atualização dos Termos de Serviço da plataforma de mensagens que foi imposta nos dias que antecederam a aplicação do Regulamento Geral de Proteção de Dados (GDPR) em maio de 2018, exigindo que os usuários concordassem com os termos revisados para continue usando o serviço ou corre o risco de perder o acesso. A denúncia, apresentada pela NOYB, organização sem fins lucrativos de privacidade, alegou que o WhatsApp violou o regulamento ao obrigar seus usuários a “consentir com o processamento de seus dados pessoais para melhoria e segurança do serviço” ao “condicionar a acessibilidade de seus serviços à aceitação dos usuários pelo Termos de Serviço atualizados.”
  • Acompanhe pelo site https://hackersec.com/
Rubens Zolotujin 0 Comentários
jan 20 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Nova vulnerabilidade do Microsoft Azure descoberta.
    Uma nova falha crítica de execução remota de código foi descoberta afetando vários serviços relacionados ao Microsoft Azure e pode ser explorada por um ator mal-intencionado para assumir completamente o controle de um aplicativo de destino. “A vulnerabilidade é alcançada por meio de um CSRF serviço SCM Kudu”, disse a pesquisadora Liv Matan em um relatório. Ao abusar da vulnerabilidade, os invasores podem implantar arquivos ZIP maliciosos contendo uma carga útil no aplicativo Azure da vítima. A vulnerabilidade foi apelidada de deficiência de EmojiDeploy e pode permitir o roubo de dados confidenciais e movimentação lateral para outros serviços do Azure. A Microsoft descreve o Kudu como o “mecanismo por trás de vários recursos no Azure App Service relacionados à implantação baseada em controle de origem e outros métodos de implantação, como Dropbox e sincronização do OneDrive”. A falsificação de solicitação entre sites, é um vetor de ataque em que um ator de ameaça engana um usuário autenticado de um aplicativo da Web para executar comandos não autorizados em seu nome.
  • Mailchimp sofre violação de segurança.
    O popular serviço de e-mail marketing e boletim informativo Mailchimp divulgou mais uma violação de segurança que permitiu que os agentes de ameaças acessassem uma ferramenta interna de suporte e administração de contas para obter informações sobre os clientes. “O ator não autorizado conduziu um ataque de engenharia social contra funcionários e contratados do Mailchimp e obteve acesso a contas selecionadas do Mailchimp usando credenciais de funcionários comprometidas nesse ataque”, disse a empresa em um comunicado. O Mailchimp disse que identificou o lapso em 11 de janeiro de 2023 e observou que não há evidências de que a parte não autorizada violou os sistemas Intuit ou outras informações do cliente além das de 133 contas de clientes.
  • Contas do PayPal violadas em ataque de preenchimento de credenciais.
    O PayPal está enviando notificações de violação de dados para milhares de usuários que tiveram suas contas acessadas por meio de ataques de preenchimento de credenciais que expuseram alguns dados pessoais. O preenchimento de credenciais são ataques em que os cibercriminosos tentam acessar uma conta experimentando pares de nome de usuário e senha provenientes de vazamentos de dados em vários sites. Esse tipo de ataque depende de uma abordagem automatizada com bots executando listas de credenciais para “encher” os portais de login de vários serviços. O preenchimento de credenciais visa usuários que usam a mesma senha para várias contas online, o que é conhecido como “reciclagem de senha”. O PayPal explica que o ataque de preenchimento de credenciais ocorreu entre 6 e 8 de dezembro de 2022. A empresa detectou e mitigou na época, mas também iniciou uma investigação interna para descobrir como os hackers obtiveram acesso às contas.
Rubens Zolotujin 0 Comentários
jan 19 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Git corrige falhas críticas de execução remota de código.
    O Git corrigiu duas vulnerabilidades de segurança de gravidade crítica que podem permitir que invasores executem código arbitrário após explorar com sucesso o estouro de buffer baseado em heap. Uma terceira falha específica do Windows que afeta a ferramenta Git GUI causada por um bug de caminho de pesquisa não confiável permite que agentes de ameaças não autenticados executem ataques de baixa complexidade de código não confiável. Segundo especialistas, o problema mais grave descoberto permite que um invasor acione uma corrupção de memória baseada em heap durante operações de clonagem ou pull, o que pode resultar na execução de código. Outro problema crítico permite a execução de código durante uma operação de arquivamento, que geralmente é executada por Git forges.
  • Oracle lança primeira atualização com patches de segurança para 2023.
    A Oracle anunciou na terça-feira (17), o lançamento de sua primeira atualização de patch crítico para 2023, que inclui 327 novos patches de segurança. Mais de 200 dos patches resolvem falhas de segurança que podem ser explorados remotamente sem autenticação. Alguns dos bugs resolvidos afetam vários produtos. O maior número de novas correções foi lançado pela gigante da tecnologia para Oracle Communications, com 79. Destas, 63 vulnerabilidades são exploráveis remotamente sem autenticação e 19 têm uma classificação de ‘gravidade crítica’. Muitos patches também foram lançados para aplicativos de comunicação (39 patches, incluindo 31 para exploráveis remotamente sem autenticação) e para MySQL (37 correções, oito para falhas não autenticadas e exploráveis remotamente). A gigante da tecnologia também anunciou que, embora nenhum novo patch tenha sido lançado para aplicativos como Big Data Graph, Global Lifecycle Management, Graph Server and Client e Spatial Studio, atualizações foram disponibilizadas para resolver problemas de terceiros. A Oracle também lançou patches de terceiros para outros produtos.
  • Entidades do governo iraniano estão sob ataques direcionados.
    O agente da ameaça conhecido como BackdoorDiplomacy foi associado a uma nova onda de ataques contra entidades do governo iraniano entre julho e o final de dezembro de 2022. A Unidade 42 da Palo Alto Networks, que está rastreando a atividade sob seu apelido Playful Taurus, disse que observou os domínios do governo tentando se conectar à infraestrutura de malware previamente identificada como associada ao adversário. o grupo APT chinês tem um histórico de campanhas de espionagem cibernética destinadas a entidades governamentais e diplomáticas na América do Norte, América do Sul, África e Oriente Médio pelo menos desde 2010. O agente da ameaça foi atribuído mais recentemente a um ataque a uma empresa de telecomunicações não identificada no Oriente Médio usando o Quarian , um predecessor do Turian que permite um ponto de acesso remoto a redes direcionadas.
Rubens Zolotujin 0 Comentários
jan 18 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Violação de dados da Nissan é causada por banco de dados exposto.
    A Nissan North América começou a enviar notificações de violação de dados informando os clientes sobre uma violação em um provedor de serviços terceirizado que expôs as informações do cliente. O incidente de segurança foi relatado na segunda-feira, 16 de janeiro de 2023, onde a Nissan divulgou que 17.998 clientes foram afetados pela violação. Na amostra de notificação, a Nissan afirma ter recebido uma notificação de violação de dados de um de seus fornecedores de desenvolvimento de software em 21 de junho de 2022. O terceiro recebeu dados de clientes da Nissan para usar no desenvolvimento e teste de soluções de software para a montadora, que foram expostos inadvertidamente devido a um banco de dados mal configurado. Ao saber do incidente de segurança, a Nissan garantiu que o banco de dados exposto estava protegido e lançou uma investigação interna. Em 26 de setembro de 2022, verificou que provavelmente uma pessoa não autorizada havia acessado os dados. Os dados expostos incluem nomes completos, datas de nascimento e números de contas NMAC (conta financeira da Nissan).
  • Falhas nos serviços do Microsoft Azure podem ter exposto recursos de nuvem.
    Quatro serviços diferentes do Microsoft Azure foram considerados vulneráveis e podem ser explorados para obter acesso não autorizado a recursos de nuvem. Os problemas de segurança, descobertos entre 8 de outubro de 2022 e 2 de dezembro de 2022 no Gerenciamento de API do Azure, Funções do Azure, Aprendizado de Máquina do Azure e Gêmeos Digitais do Azure, já foram resolvidos pela Microsoft. Duas das vulnerabilidades que afetam as Funções do Azure e os Gêmeos Digitais do Azure podem ser abusadas sem a necessidade de qualquer autenticação, permitindo que um agente de ameaça assuma o controle de um servidor mesmo sem ter uma conta do Azure em primeiro lugar. Os ataques SSRF podem ter sérias consequências , pois permitem que um intruso mal-intencionado leia ou atualize recursos internos e, pior ainda, gire para outras partes da rede, viole sistemas inacessíveis para extrair dados valiosos.
  • Falha crítica de segurança no Zoho ManageEngine.
    Os usuários do Zoho ManageEngine estão sendo solicitados a corrigir suas instâncias contra uma vulnerabilidade de segurança crítica antes do lançamento de um código de exploração de prova de conceito (PoC). O problema em questão é CVE-2022-47966, uma vulnerabilidade de execução remota de código não autenticada que afeta vários produtos devido ao uso de uma dependência desatualizada de terceiros, o Apache Santuario. “Esta vulnerabilidade permite que um adversário não autenticado execute código arbitrário”, alertou Zoho em um comunicado emitido no final do ano passado, observando que afeta todas as configurações do ManageEngine que possuem o recurso SAML de logon único (SSO) ativado.
Rubens Zolotujin 0 Comentários
jan 18 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Violação de dados da Nissan é causada por banco de dados exposto.
    A Nissan North América começou a enviar notificações de violação de dados informando os clientes sobre uma violação em um provedor de serviços terceirizado que expôs as informações do cliente. O incidente de segurança foi relatado na segunda-feira, 16 de janeiro de 2023, onde a Nissan divulgou que 17.998 clientes foram afetados pela violação. Na amostra de notificação, a Nissan afirma ter recebido uma notificação de violação de dados de um de seus fornecedores de desenvolvimento de software em 21 de junho de 2022. O terceiro recebeu dados de clientes da Nissan para usar no desenvolvimento e teste de soluções de software para a montadora, que foram expostos inadvertidamente devido a um banco de dados mal configurado. Ao saber do incidente de segurança, a Nissan garantiu que o banco de dados exposto estava protegido e lançou uma investigação interna. Em 26 de setembro de 2022, verificou que provavelmente uma pessoa não autorizada havia acessado os dados. Os dados expostos incluem nomes completos, datas de nascimento e números de contas NMAC (conta financeira da Nissan).
  • Falhas nos serviços do Microsoft Azure podem ter exposto recursos de nuvem.
    Quatro serviços diferentes do Microsoft Azure foram considerados vulneráveis e podem ser explorados para obter acesso não autorizado a recursos de nuvem. Os problemas de segurança, descobertos entre 8 de outubro de 2022 e 2 de dezembro de 2022 no Gerenciamento de API do Azure, Funções do Azure, Aprendizado de Máquina do Azure e Gêmeos Digitais do Azure, já foram resolvidos pela Microsoft. Duas das vulnerabilidades que afetam as Funções do Azure e os Gêmeos Digitais do Azure podem ser abusadas sem a necessidade de qualquer autenticação, permitindo que um agente de ameaça assuma o controle de um servidor mesmo sem ter uma conta do Azure em primeiro lugar. Os ataques SSRF podem ter sérias consequências , pois permitem que um intruso mal-intencionado leia ou atualize recursos internos e, pior ainda, gire para outras partes da rede, viole sistemas inacessíveis para extrair dados valiosos.
  • Falha crítica de segurança no Zoho ManageEngine.
    Os usuários do Zoho ManageEngine estão sendo solicitados a corrigir suas instâncias contra uma vulnerabilidade de segurança crítica antes do lançamento de um código de exploração de prova de conceito (PoC). O problema em questão é CVE-2022-47966, uma vulnerabilidade de execução remota de código não autenticada que afeta vários produtos devido ao uso de uma dependência desatualizada de terceiros, o Apache Santuario. “Esta vulnerabilidade permite que um adversário não autenticado execute código arbitrário”, alertou Zoho em um comunicado emitido no final do ano passado, observando que afeta todas as configurações do ManageEngine que possuem o recurso SAML de logon único (SSO) ativado.
Rubens Zolotujin 0 Comentários
jan 17 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ransomware Cuba explora vulnerabilidade SSRF da Microsoft.
    Pesquisadores relataram no mês passado que os operadores do ransomware Cuba estavam usando o utilitário de carregamento BURNTCIGAR para instalar um driver malicioso assinado usando o certificado da Microsoft. Agora, a Microsoft revelou que o grupo está visando servidores Exchange vulneráveis para uma vulnerabilidade crítica de falsificação de solicitação no lado do servidor (SSRF), também conhecida como OWASSRF. Relatórios recentes da Microsoft e de outras agências sugerem que o grupo de ransomware de Cuba está expandindo ativamente seu escopo, adotando novas táticas de ataque rapidamente. Recentemente, os operadores do Cuba começaram a explorar o dia zero OWASSRF (CVE-2022-41080) para comprometer servidores Microsoft Exchange vulneráveis. A Microsoft lançou atualizações de segurança para corrigir esse bug em novembro de 2022 e forneceu a seus clientes informações sobre proteção contra esse método de ataque.
  • Cisco emite aviso para vulnerabilidades não corrigidas em roteadores empresariais.
    A Cisco alertou sobre duas vulnerabilidades de segurança que afetam roteadores RV016, RV042, RV042G e RV082 para pequenas empresas, segundo ela, não serão corrigidas, mesmo reconhecendo a disponibilidade pública de prova de conceito (PoC) explorar. Os problemas estão enraizados na interface de gerenciamento web do roteador, permitindo que um adversário remoto evite a autenticação ou execute comandos maliciosos no sistema operacional subjacente. O mais grave dos dois é o CVE-2023-20025, que é o resultado da validação inadequada da entrada do usuário nos pacotes HTTP recebidos. Um agente de ameaça pode explorá-lo remotamente enviando uma solicitação HTTP especialmente criada para a interface de gerenciamento Web de roteadores vulneráveis para ignorar a autenticação e obter permissões elevadas. “A Cisco não lançou e não lançará atualizações de software para lidar com as vulnerabilidades”, disse a empresa.
  • CISA adverte sobre falhas que afetam os sistemas de controle industrial.
    A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), divulgou vários avisos de Sistemas de Controle Industrial (ICS) alertando sobre falhas críticas de segurança que afetam produtos da Sewio, InHand Networks, Sauter Controls e Siemens. A mais grave das falhas está relacionada ao RTLS Studio da Sewio, que pode ser explorado por um invasor para “obter acesso não autorizado ao servidor, alterar informações, criar uma condição de negação de serviço, obter privilégios escalonados e executar código arbitrário”, de acordo com CISA. Isso inclui a CVE-2022-45444, um caso de senhas codificadas para usuários selecionados no banco de dados do aplicativo que potencialmente concede acesso irrestrito a adversários remotos. As vulnerabilidades afetam o RTLS Studio versão 2.0.0 até a versão 2.6.2 inclusive. Recomenda-se que os usuários atualizem para a versão 3.0.0 ou posterior.
Rubens Zolotujin 0 Comentários