Malware Boldmove é utilizado contra dispositivos Fortinet. Cibercriminosos exploraram uma vulnerabilidade FortiOS SSL-VPN divulgada recentemente como um zero day em dezembro, visando um governo europeu e um MSP africano com um novo malware personalizado ‘BOLDMOVE’ para Linux e Windows. A falha é rastreada como CVE-2022-42475 e foi discretamente corrigida pela Fortinet em novembro. A Fortinet divulgou publicamente a vulnerabilidade em dezembro, pedindo aos clientes que corrigissem seus dispositivos, pois os agentes de ameaças estavam explorando ativamente a falha. A falha permite que invasores remotos não autenticados travem dispositivos de destino remotamente ou obtenham execução remota de código. No entanto, a Fortinet compartilhou mais detalhes sobre como os hackers exploraram a falha, explicando que os agentes de ameaças tinham como alvo entidades governamentais com malware personalizado projetado especificamente para rodar em dispositivos FortiOS. O BOLDMOVE é um malware completo escrito em C que permite que os hackers obtenham controle de nível superior sobre o dispositivo, com a versão Linux criada especificamente para rodar em dispositivos FortiOS.
Falhas de segurança foram encontradas no Aplicativo Samsung Galaxy Store. Duas falhas de segurança foram divulgadas no aplicativo Galaxy Store da Samsung para Android que podem ser exploradas por um invasor local para instalar aplicativos arbitrários ou direcionar possíveis vítimas para páginas de destino fraudulentas na web. Os problemas, rastreados como CVE-2023-21433 e CVE-2023-21434, foram descobertos em novembro e dezembro de 2022. A Samsung classificou os bugs como de risco moderado e lançou correções na versão 4.5.49.8 enviado no início deste mês. A Samsung Galaxy Store, anteriormente conhecida como Samsung Apps e Galaxy Apps, é uma loja de aplicativos dedicada usada para dispositivos Android fabricados pela Samsung. Vale a pena notar que as falhas afetam apenas os dispositivos Samsung que executam o Android 12 e anteriores, e não afeta os que estão na versão mais recente (Android 13).
Grupo Gamaredon lança ataques cibernéticos contra a Ucrânia usando o Telegram. O grupo de espionagem cibernética patrocinado pelo Estado russo conhecido como Gamaredon continua mirando a Ucrânia, com ataques alavancando o popular aplicativo de mensagens Telegram para atacar setores militares e de aplicação da lei no país. “A infraestrutura de rede do grupo Gamaredon depende de contas Telegram de vários estágios para criação de perfis de vítimas e confirmação de localização geográfica e, finalmente, leva a vítima ao servidor de próximo estágio para a carga final”, disse a BlackBerry Research em um relatório. As cadeias de ataque montadas pelo agente da ameaça empregaram documentos legítimos do Microsoft Office originários de organizações do governo ucraniano como iscas em e-mails de spear phishing para entregar malware capaz de coletar informações confidenciais.
Cibercriminosos visam empresas no setor de manufatura. Mais de três quartos das organizações de manufatura abrigam vulnerabilidades de alta gravidade não corrigidas em seus sistemas, segundo um estudo direcionado ao setor. A nova telemetria mostra um aumento ano a ano em falhas de alta gravidade nessas organizações. Em 2022, cerca de 76% das organizações de manufatura, observaram CVEs não corrigidas em seus ambientes. Quase 40% dessas organizações que incluem: metais, máquinas, eletrodomésticos, equipamentos elétricos e manufatura de transporte, sofreram infecções por malware. Muitos desses incidentes envolveram ransomware em que o agente da ameaça, tenta ganhar dinheiro por meio de extorsão. Enquanto isso, as investigações de resposta a incidentes das equipes da Dragos e da IBM X-Force mostraram que o alvo mais quente da tecnologia de operações (OT) é o setor de manufatura, e a principal arma que ataca essas organizações agora é o ransomware.
Mundo corre risco de uma catástrofe cibernética em dois anos. O Global Cybersecurity Outlook 2023, apresentado no Fórum, mostra que 86% das lideranças mundiais acreditam que a instabilidade geopolítica pode levar o mundo a um evento cibernético de grandes proporções nos próximos dois anos. Nos próximos anos uma grande catástrofe cibernética pode ocorrer caso os países não incluam em suas estratégias de defesa a cibersegurança. O tema foi levantado no Fórum Econômico Mundial, em Davos, na última semana. De acordo com Edi Rama, primeiro-ministro da Albânia, se o cibercrime fosse um estado seria a terceira maior economia do mundo depois de Estados Unidos e China com um PIB de US$ 10,5 trilhões. O preocupante, segundo Edi Rama, é o ritmo de crescimento deste volume, em 2015, o crime cibernético movimentava US$ 3 trilhões. Outro dado do levantamento aponta que 93% dos profissionais que cuidam da segurança cibernética de empresas e países compartilham da mesma opinião.
WhatsApp é multado em € 5,5 milhões por violar leis de proteção de dados. A Comissão Irlandesa de Proteção de Dados impôs na última quinta-feira (19) novas multas de € 5,5 milhões contra o WhatsApp por violar as leis de proteção de dados ao processar informações pessoais dos usuários. No centro da decisão está uma atualização dos Termos de Serviço da plataforma de mensagens que foi imposta nos dias que antecederam a aplicação do Regulamento Geral de Proteção de Dados (GDPR) em maio de 2018, exigindo que os usuários concordassem com os termos revisados para continue usando o serviço ou corre o risco de perder o acesso. A denúncia, apresentada pela NOYB, organização sem fins lucrativos de privacidade, alegou que o WhatsApp violou o regulamento ao obrigar seus usuários a “consentir com o processamento de seus dados pessoais para melhoria e segurança do serviço” ao “condicionar a acessibilidade de seus serviços à aceitação dos usuários pelo Termos de Serviço atualizados.”
Nova vulnerabilidade do Microsoft Azure descoberta. Uma nova falha crítica de execução remota de código foi descoberta afetando vários serviços relacionados ao Microsoft Azure e pode ser explorada por um ator mal-intencionado para assumir completamente o controle de um aplicativo de destino. “A vulnerabilidade é alcançada por meio de um CSRF serviço SCM Kudu”, disse a pesquisadora Liv Matan em um relatório. Ao abusar da vulnerabilidade, os invasores podem implantar arquivos ZIP maliciosos contendo uma carga útil no aplicativo Azure da vítima. A vulnerabilidade foi apelidada de deficiência de EmojiDeploy e pode permitir o roubo de dados confidenciais e movimentação lateral para outros serviços do Azure. A Microsoft descreve o Kudu como o “mecanismo por trás de vários recursos no Azure App Service relacionados à implantação baseada em controle de origem e outros métodos de implantação, como Dropbox e sincronização do OneDrive”. A falsificação de solicitação entre sites, é um vetor de ataque em que um ator de ameaça engana um usuário autenticado de um aplicativo da Web para executar comandos não autorizados em seu nome.
Mailchimp sofre violação de segurança. O popular serviço de e-mail marketing e boletim informativo Mailchimp divulgou mais uma violação de segurança que permitiu que os agentes de ameaças acessassem uma ferramenta interna de suporte e administração de contas para obter informações sobre os clientes. “O ator não autorizado conduziu um ataque de engenharia social contra funcionários e contratados do Mailchimp e obteve acesso a contas selecionadas do Mailchimp usando credenciais de funcionários comprometidas nesse ataque”, disse a empresa em um comunicado. O Mailchimp disse que identificou o lapso em 11 de janeiro de 2023 e observou que não há evidências de que a parte não autorizada violou os sistemas Intuit ou outras informações do cliente além das de 133 contas de clientes.
Contas do PayPal violadas em ataque de preenchimento de credenciais. O PayPal está enviando notificações de violação de dados para milhares de usuários que tiveram suas contas acessadas por meio de ataques de preenchimento de credenciais que expuseram alguns dados pessoais. O preenchimento de credenciais são ataques em que os cibercriminosos tentam acessar uma conta experimentando pares de nome de usuário e senha provenientes de vazamentos de dados em vários sites. Esse tipo de ataque depende de uma abordagem automatizada com bots executando listas de credenciais para “encher” os portais de login de vários serviços. O preenchimento de credenciais visa usuários que usam a mesma senha para várias contas online, o que é conhecido como “reciclagem de senha”. O PayPal explica que o ataque de preenchimento de credenciais ocorreu entre 6 e 8 de dezembro de 2022. A empresa detectou e mitigou na época, mas também iniciou uma investigação interna para descobrir como os hackers obtiveram acesso às contas.
Git corrige falhas críticas de execução remota de código. O Git corrigiu duas vulnerabilidades de segurança de gravidade crítica que podem permitir que invasores executem código arbitrário após explorar com sucesso o estouro de buffer baseado em heap. Uma terceira falha específica do Windows que afeta a ferramenta Git GUI causada por um bug de caminho de pesquisa não confiável permite que agentes de ameaças não autenticados executem ataques de baixa complexidade de código não confiável. Segundo especialistas, o problema mais grave descoberto permite que um invasor acione uma corrupção de memória baseada em heap durante operações de clonagem ou pull, o que pode resultar na execução de código. Outro problema crítico permite a execução de código durante uma operação de arquivamento, que geralmente é executada por Git forges.
Oracle lança primeira atualização com patches de segurança para 2023. A Oracle anunciou na terça-feira (17), o lançamento de sua primeira atualização de patch crítico para 2023, que inclui 327 novos patches de segurança. Mais de 200 dos patches resolvem falhas de segurança que podem ser explorados remotamente sem autenticação. Alguns dos bugs resolvidos afetam vários produtos. O maior número de novas correções foi lançado pela gigante da tecnologia para Oracle Communications, com 79. Destas, 63 vulnerabilidades são exploráveis remotamente sem autenticação e 19 têm uma classificação de ‘gravidade crítica’. Muitos patches também foram lançados para aplicativos de comunicação (39 patches, incluindo 31 para exploráveis remotamente sem autenticação) e para MySQL (37 correções, oito para falhas não autenticadas e exploráveis remotamente). A gigante da tecnologia também anunciou que, embora nenhum novo patch tenha sido lançado para aplicativos como Big Data Graph, Global Lifecycle Management, Graph Server and Client e Spatial Studio, atualizações foram disponibilizadas para resolver problemas de terceiros. A Oracle também lançou patches de terceiros para outros produtos.
Entidades do governo iraniano estão sob ataques direcionados. O agente da ameaça conhecido como BackdoorDiplomacy foi associado a uma nova onda de ataques contra entidades do governo iraniano entre julho e o final de dezembro de 2022. A Unidade 42 da Palo Alto Networks, que está rastreando a atividade sob seu apelido Playful Taurus, disse que observou os domínios do governo tentando se conectar à infraestrutura de malware previamente identificada como associada ao adversário. o grupo APT chinês tem um histórico de campanhas de espionagem cibernética destinadas a entidades governamentais e diplomáticas na América do Norte, América do Sul, África e Oriente Médio pelo menos desde 2010. O agente da ameaça foi atribuído mais recentemente a um ataque a uma empresa de telecomunicações não identificada no Oriente Médio usando o Quarian , um predecessor do Turian que permite um ponto de acesso remoto a redes direcionadas.
Violação de dados da Nissan é causada por banco de dados exposto. A Nissan North América começou a enviar notificações de violação de dados informando os clientes sobre uma violação em um provedor de serviços terceirizado que expôs as informações do cliente. O incidente de segurança foi relatado na segunda-feira, 16 de janeiro de 2023, onde a Nissan divulgou que 17.998 clientes foram afetados pela violação. Na amostra de notificação, a Nissan afirma ter recebido uma notificação de violação de dados de um de seus fornecedores de desenvolvimento de software em 21 de junho de 2022. O terceiro recebeu dados de clientes da Nissan para usar no desenvolvimento e teste de soluções de software para a montadora, que foram expostos inadvertidamente devido a um banco de dados mal configurado. Ao saber do incidente de segurança, a Nissan garantiu que o banco de dados exposto estava protegido e lançou uma investigação interna. Em 26 de setembro de 2022, verificou que provavelmente uma pessoa não autorizada havia acessado os dados. Os dados expostos incluem nomes completos, datas de nascimento e números de contas NMAC (conta financeira da Nissan).
Falhas nos serviços do Microsoft Azure podem ter exposto recursos de nuvem. Quatro serviços diferentes do Microsoft Azure foram considerados vulneráveis e podem ser explorados para obter acesso não autorizado a recursos de nuvem. Os problemas de segurança, descobertos entre 8 de outubro de 2022 e 2 de dezembro de 2022 no Gerenciamento de API do Azure, Funções do Azure, Aprendizado de Máquina do Azure e Gêmeos Digitais do Azure, já foram resolvidos pela Microsoft. Duas das vulnerabilidades que afetam as Funções do Azure e os Gêmeos Digitais do Azure podem ser abusadas sem a necessidade de qualquer autenticação, permitindo que um agente de ameaça assuma o controle de um servidor mesmo sem ter uma conta do Azure em primeiro lugar. Os ataques SSRF podem ter sérias consequências , pois permitem que um intruso mal-intencionado leia ou atualize recursos internos e, pior ainda, gire para outras partes da rede, viole sistemas inacessíveis para extrair dados valiosos.
Falha crítica de segurança no Zoho ManageEngine. Os usuários do Zoho ManageEngine estão sendo solicitados a corrigir suas instâncias contra uma vulnerabilidade de segurança crítica antes do lançamento de um código de exploração de prova de conceito (PoC). O problema em questão é CVE-2022-47966, uma vulnerabilidade de execução remota de código não autenticada que afeta vários produtos devido ao uso de uma dependência desatualizada de terceiros, o Apache Santuario. “Esta vulnerabilidade permite que um adversário não autenticado execute código arbitrário”, alertou Zoho em um comunicado emitido no final do ano passado, observando que afeta todas as configurações do ManageEngine que possuem o recurso SAML de logon único (SSO) ativado.
Violação de dados da Nissan é causada por banco de dados exposto. A Nissan North América começou a enviar notificações de violação de dados informando os clientes sobre uma violação em um provedor de serviços terceirizado que expôs as informações do cliente. O incidente de segurança foi relatado na segunda-feira, 16 de janeiro de 2023, onde a Nissan divulgou que 17.998 clientes foram afetados pela violação. Na amostra de notificação, a Nissan afirma ter recebido uma notificação de violação de dados de um de seus fornecedores de desenvolvimento de software em 21 de junho de 2022. O terceiro recebeu dados de clientes da Nissan para usar no desenvolvimento e teste de soluções de software para a montadora, que foram expostos inadvertidamente devido a um banco de dados mal configurado. Ao saber do incidente de segurança, a Nissan garantiu que o banco de dados exposto estava protegido e lançou uma investigação interna. Em 26 de setembro de 2022, verificou que provavelmente uma pessoa não autorizada havia acessado os dados. Os dados expostos incluem nomes completos, datas de nascimento e números de contas NMAC (conta financeira da Nissan).
Falhas nos serviços do Microsoft Azure podem ter exposto recursos de nuvem. Quatro serviços diferentes do Microsoft Azure foram considerados vulneráveis e podem ser explorados para obter acesso não autorizado a recursos de nuvem. Os problemas de segurança, descobertos entre 8 de outubro de 2022 e 2 de dezembro de 2022 no Gerenciamento de API do Azure, Funções do Azure, Aprendizado de Máquina do Azure e Gêmeos Digitais do Azure, já foram resolvidos pela Microsoft. Duas das vulnerabilidades que afetam as Funções do Azure e os Gêmeos Digitais do Azure podem ser abusadas sem a necessidade de qualquer autenticação, permitindo que um agente de ameaça assuma o controle de um servidor mesmo sem ter uma conta do Azure em primeiro lugar. Os ataques SSRF podem ter sérias consequências , pois permitem que um intruso mal-intencionado leia ou atualize recursos internos e, pior ainda, gire para outras partes da rede, viole sistemas inacessíveis para extrair dados valiosos.
Falha crítica de segurança no Zoho ManageEngine. Os usuários do Zoho ManageEngine estão sendo solicitados a corrigir suas instâncias contra uma vulnerabilidade de segurança crítica antes do lançamento de um código de exploração de prova de conceito (PoC). O problema em questão é CVE-2022-47966, uma vulnerabilidade de execução remota de código não autenticada que afeta vários produtos devido ao uso de uma dependência desatualizada de terceiros, o Apache Santuario. “Esta vulnerabilidade permite que um adversário não autenticado execute código arbitrário”, alertou Zoho em um comunicado emitido no final do ano passado, observando que afeta todas as configurações do ManageEngine que possuem o recurso SAML de logon único (SSO) ativado.
Ransomware Cuba explora vulnerabilidade SSRF da Microsoft. Pesquisadores relataram no mês passado que os operadores do ransomware Cuba estavam usando o utilitário de carregamento BURNTCIGAR para instalar um driver malicioso assinado usando o certificado da Microsoft. Agora, a Microsoft revelou que o grupo está visando servidores Exchange vulneráveis para uma vulnerabilidade crítica de falsificação de solicitação no lado do servidor (SSRF), também conhecida como OWASSRF. Relatórios recentes da Microsoft e de outras agências sugerem que o grupo de ransomware de Cuba está expandindo ativamente seu escopo, adotando novas táticas de ataque rapidamente. Recentemente, os operadores do Cuba começaram a explorar o dia zero OWASSRF (CVE-2022-41080) para comprometer servidores Microsoft Exchange vulneráveis. A Microsoft lançou atualizações de segurança para corrigir esse bug em novembro de 2022 e forneceu a seus clientes informações sobre proteção contra esse método de ataque.
Cisco emite aviso para vulnerabilidades não corrigidas em roteadores empresariais. A Cisco alertou sobre duas vulnerabilidades de segurança que afetam roteadores RV016, RV042, RV042G e RV082 para pequenas empresas, segundo ela, não serão corrigidas, mesmo reconhecendo a disponibilidade pública de prova de conceito (PoC) explorar. Os problemas estão enraizados na interface de gerenciamento web do roteador, permitindo que um adversário remoto evite a autenticação ou execute comandos maliciosos no sistema operacional subjacente. O mais grave dos dois é o CVE-2023-20025, que é o resultado da validação inadequada da entrada do usuário nos pacotes HTTP recebidos. Um agente de ameaça pode explorá-lo remotamente enviando uma solicitação HTTP especialmente criada para a interface de gerenciamento Web de roteadores vulneráveis para ignorar a autenticação e obter permissões elevadas. “A Cisco não lançou e não lançará atualizações de software para lidar com as vulnerabilidades”, disse a empresa.
CISA adverte sobre falhas que afetam os sistemas de controle industrial. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), divulgou vários avisos de Sistemas de Controle Industrial (ICS) alertando sobre falhas críticas de segurança que afetam produtos da Sewio, InHand Networks, Sauter Controls e Siemens. A mais grave das falhas está relacionada ao RTLS Studio da Sewio, que pode ser explorado por um invasor para “obter acesso não autorizado ao servidor, alterar informações, criar uma condição de negação de serviço, obter privilégios escalonados e executar código arbitrário”, de acordo com CISA. Isso inclui a CVE-2022-45444, um caso de senhas codificadas para usuários selecionados no banco de dados do aplicativo que potencialmente concede acesso irrestrito a adversários remotos. As vulnerabilidades afetam o RTLS Studio versão 2.0.0 até a versão 2.6.2 inclusive. Recomenda-se que os usuários atualizem para a versão 3.0.0 ou posterior.
Arquivo corrompido gerou apagão em aviões dos EUA. A interrupção de decolagens que afetou milhares de voos nos Estados Unidos, ontem (11), foi causada por um arquivo corrompido no banco de dados, segundo a FAA (Administração Federal de Aviação). A agência, responsável pela segurança do tráfego aéreo comercial no país, ainda está investigando o ocorrido. Segundo a FAA, a falha afetou o sistema Notam, que alerta os pilotos e outros funcionários de voo sobre perigos ou alterações relevantes nos aeroportos. “Estamos tomando todas as medidas necessárias para evitar que esse tipo de interrupção aconteça novamente. Nosso trabalho preliminar rastreou a interrupção em um arquivo de banco de dados danificado. Neste momento, não há evidências de um ataque cibernético”, disse a FAA. A agência também se manifestou através do Twitter, onde explicou sobre o problema “Continuamos uma revisão completa para determinar a causa raiz da interrupção do sistema NOTAM (Notice to Air Missions). Nosso trabalho preliminar rastreou a interrupção até um arquivo de banco de dados danificado.
Cisco Talos descobriu recentemente três vulnerabilidades no software do roteador Asus. O roteador Asus RT-AX82U é um dos mais novos roteadores habilitados para Wi-Fi 6 (802.11ax) que também suporta rede mesh com outros roteadores Asus. Como outros roteadores, é configurável por meio de um servidor HTTP em execução na rede local. No entanto, ele também pode ser configurado para oferecer suporte à administração e monitoramento remotos em um estilo IOT. O Talos identificou 3 vulnerabilidades, a primeira de desvio de autenticação que pode levar a privilégios administrativos completos. A segunda é uma vulnerabilidade de divulgação de informações no opcode do serviço de configuração do roteador que pode levar à divulgação de informações confidenciais. Um invasor pode enviar uma solicitação de rede para acionar essa vulnerabilidade. Já a terceira é uma vulnerabilidade de negação de serviço, também no opcode do serviço de configuração. Um pacote de rede especialmente criado pode levar à negação de serviço.
SAP lança atualizações para vulnerabilidades críticas. A SAP anunciou esta semana o lançamento de várias notas de segurança como parte do Security Patch Day de janeiro de 2023, incluindo sete notas de ‘notícias quentes’ que abordam vulnerabilidades de gravidade crítica. Quatro das notas de segurança classificadas como ‘notícias quentes’ – a classificação de gravidade mais alta nos livros da SAP – são notas novas abordando vulnerabilidades no Business Planning and Consolidation MS, BusinessObjects e NetWeaver, enquanto as três restantes são atualizações de notas lançadas em novembro e dezembro de 2022. A mais grave das novas notas resolve um bug de injeção de SQL no Business Planning and Consolidation MS (CVE-2023-0016), e uma falha de injeção de código na plataforma BusinessObjects Business Intelligence (CVE-2023-0022).
Cibercriminosos criaram mais de 130 mil contas falsas para minerar criptomoedas. Um estudo realizado pela Unit 42, o braço de pesquisas da Palo Alto Network, aponta que hackers criaram ao menos 130 mil contas falsas em plataformas para minerar criptomoedas, usando o poder computacional dos serviços de nuvem desses sites sem o devido pagamento. A prática é conhecida como “freejacking” e, segundo o estudo, gera “muito trabalho para empresários e profissionais responsáveis pela segurança dos dados das empresas”. As plataformas de nuvem mais atingidas pelos hackers são GitHub, Heroku e Togglebox. “A disponibilidade desses serviços relacionados à nuvem facilita ameaças, porque eles não precisam manter sua própria infraestrutura para implantar suas aplicações para os ataques”, observa a Palo Alto Networks. As contas teriam sido criadas pelo Automated Libra.
Microsoft faz alerta sobre quatro famílias de ransomware para MacOs. A Microsoft liberou nesta semana um relatório detalhando o comportamento de quatro famílias de ransomware, que atuam contra o sistema operacional macOS. O estudo com informações sobre os métodos de infecção e comprometimento de arquivos, que sao usados pelo malware para estabelecer persistência nos computadores e usar recursos legítimos para realizar as tarefas de criptografia de arquivos. No holofote estão os ransomwares KeRanger, FileCoder, MacRansom e EvilQuest. As pragas são conhecidas e já atuam há alguns anos contra usuários finais e também corporativos, mas o funcionamento delas nem sempre é amplamente divulgado devido à baixa penetração de ataques contra o macOS. Para a Microsoft, entretanto, o relatório também demonstra o alto nível das ferramentas e a superfície de ataque ampla utilizada pelos cibercriminosos. Todos os ransomwares analisados, com exceção do FileCoder, são capazes de detectar se estão rodando em uma máquina virtual, interrompendo o funcionamento e apagando seus rastros caso detectem sinais assim, de forma a manter as amostras protegidas de análise. Apesar da variação de métodos, os quatro ransomwares sempre chegam aos sistemas a partir do download de softwares comprometidos.
Aplicativos de montadoras de carros possuem falhas graves de segurança. Os aplicativos de 16 marcas de carros com alcance mundial tinham falhas graves de segurança que poderiam permitir a um atacante o acesso a dados dos donos dos veículos e até determinado controle sobre eles. As falhas também foram encontradas em três tecnologias automotivas, o que poderia ampliar ainda mais o alcance destas explorações caso elas não tivessem sido corrigidas. As vulnerabilidades foram encontradas nos apps de marcas como Ford, Honda, Nissan, Hyundai, Kia, Toyota, BMW, Mercedes-Benz, Porsche, Land Rover, Jaguar, Rolls Royce, Ferrari, Infiniti, Acura e Genesis.
Zoom corrige falhas de alta gravidade em plataformas Windows e MacOS. A gigante de mensagens de vídeo Zoom lançou patches para várias vulnerabilidades de segurança que expõem os usuários do Windows e do macOS a ataques de hackers mal-intencionados. As vulnerabilidades, no produto Zoom Rooms voltado para empresas, podem ser exploradas em ataques de escalonamento de privilégios nas plataformas Windows e macOS. O primeiro lote de patches da empresa para 2023 inclui patches para um trio de vulnerabilidades de “alta gravidade” no Zoom Room para Windows Installers, Zoom Room para Windows Clients e Zoom Rooms para macOS Clients. “A chave de criptografia usada para IPC entre o serviço daemon Zoom Rooms e o cliente Zoom Rooms foi gerada usando parâmetros que podem ser obtidos por um aplicativo local de baixo privilégio. Essa chave pode então ser usada para interagir com o serviço daemon para executar funções privilegiadas e causar uma negação de serviço local”, de acordo com a documentação do Zoom.
Cibercriminosos distribuem aplicativo Telegram Trojanizado para atingir usuários Android. O grupo de ameaças conhecido como StrongPity tem como alvo usuários do Android com uma versão trojanizada do aplicativo Telegram por meio de um site falso que se faz passar por um serviço de bate-papo. StrongPity, também conhecido pelos nomes APT-C-41 e Promethium, é um grupo de ciberespionagem ativo desde pelo menos 2012, com a maioria de suas operações focadas na Síria e na Turquia. A existência do grupo foi relatada publicamente pela primeira vez pela Kaspersky em outubro de 2016. Desde então, as campanhas do agente de ameaças se expandiram para abranger mais alvos na África, Ásia, Europa e América do Norte, com as invasões alavancando ataques de watering hole e mensagens de phishing. Uma das características do StrongPity é o uso de sites falsificados que pretendem oferecer uma ampla variedade de ferramentas de software, apenas para induzir as vítimas a baixar versões adulteradas de aplicativos.
Falha de segurança grave encontrada na biblioteca “jsonwebtoken” usada em milhares de projetos. Uma falha de segurança de alta gravidade foi divulgada na biblioteca jsonwebtoken (JWT) de código aberto que, se explorada com sucesso, pode levar à execução remota de código em um servidor de destino. “Ao explorar essa vulnerabilidade, os invasores podem obter a execução remota de código (RCE) em um servidor que verifica uma solicitação de token da Web JSON (JWT) criada com códigos maliciosos”, disse um pesquisador da Unidade 42 da Palo Alto Networks, em um relatório. O jsonwebtoken, que é desenvolvido e mantido pelo Okta’s Auth0, é um módulo JavaScript que permite aos usuários decodificar, verificar e gerar tokens Web JSON como um meio de transmissão segura de informações entre duas partes para autorização e autenticação. Possui mais de 10 milhões de downloads semanais no registro de software npm e é usado por mais de 22.000 projetos.
