Google lança atualização de segurança para corrigir falhas no Android. O Google lançou a atualização de segurança de dezembro de 2022 para Android, corrigindo quatro vulnerabilidades de gravidade crítica, incluindo uma falha de execução remota de código explorável via Bluetooth. A atualização deste mês aborda 45 vulnerabilidades nos principais componentes do Android com nível de patch 2022-12-01 e outras 36 vulnerabilidades que afetam componentes de terceiros abordadas no nível de patch 2022-12-05. O restante das vulnerabilidades corrigidas envolve elevação de privilégios (EoP), execução remota de código, divulgação de informações e problemas de negação de serviço.
Hackers visam empresas de criptomoedas pelo Telegram. “A Microsoft investigou recentemente um ataque em que o agente da ameaça, rastreado como DEV-0139, aproveitou os grupos de bate-papo do Telegram para atingir empresas de investimento em criptomoedas”, revelou a equipe de inteligência de ameaças de segurança da empresa. “DEV-0139 juntou-se a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros.” Em 19 de outubro, invasores com amplo conhecimento da indústria de investimentos em cripto convidaram pelo menos um alvo (se passando por representantes de outras empresas de gerenciamento de criptoativos) para outro grupo do Telegram, onde pediram feedback sobre a estrutura de taxas das plataformas de troca de criptomoedas. Depois de ganhar a confiança de seus alvos, os invasores enviaram planilhas Excel maliciosas chamadas “OKX Binance & Huobi VIP rate comparision.xls”.
Várias vulnerabilidades de execução de código são corrigidas no Sophos Firewall. A Sophos informou aos clientes que o Sophos Firewall versão 19.5, cuja disponibilidade geral foi anunciada em meados de novembro, corrige várias vulnerabilidades, incluindo aquelas que podem levar à execução arbitrária de códigos. Além de melhorias de resiliência e aumento de desempenho, a versão mais recente do Sophos Firewall traz patches para sete vulnerabilidades. De acordo com um comunicado de segurança divulgado em 1º de dezembro, uma das vulnerabilidades corrigidas na versão 19.5 é a CVE-2022-3236, que possui uma classificação de gravidade ‘crítica’. Três das vulnerabilidades corrigidas no Sophos Firewall 19.5 têm uma classificação de gravidade ‘alta’, incluindo CVE-2022-3226, um problema de injeção de comando do sistema operacional que pode ser explorado por um invasor com privilégios de administrador para executar código por meio de uploads de configuração SSL VPN. As três vulnerabilidades restantes têm gravidade média ou baixa. Eles incluem um problema de XSS armazenado que permite a escalação de privilégios e duas vulnerabilidades de injeção de SQL que expõem conteúdos não confidenciais do banco de dados de configuração.
Google lança atualização de segurança para corrigir falhas no Android. O Google lançou a atualização de segurança de dezembro de 2022 para Android, corrigindo quatro vulnerabilidades de gravidade crítica, incluindo uma falha de execução remota de código explorável via Bluetooth. A atualização deste mês aborda 45 vulnerabilidades nos principais componentes do Android com nível de patch 2022-12-01 e outras 36 vulnerabilidades que afetam componentes de terceiros abordadas no nível de patch 2022-12-05. O restante das vulnerabilidades corrigidas envolve elevação de privilégios (EoP), execução remota de código, divulgação de informações e problemas de negação de serviço.
Hackers visam empresas de criptomoedas pelo Telegram. “A Microsoft investigou recentemente um ataque em que o agente da ameaça, rastreado como DEV-0139, aproveitou os grupos de bate-papo do Telegram para atingir empresas de investimento em criptomoedas”, revelou a equipe de inteligência de ameaças de segurança da empresa. “DEV-0139 juntou-se a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros.” Em 19 de outubro, invasores com amplo conhecimento da indústria de investimentos em cripto convidaram pelo menos um alvo (se passando por representantes de outras empresas de gerenciamento de criptoativos) para outro grupo do Telegram, onde pediram feedback sobre a estrutura de taxas das plataformas de troca de criptomoedas. Depois de ganhar a confiança de seus alvos, os invasores enviaram planilhas Excel maliciosas chamadas “OKX Binance & Huobi VIP rate comparision.xls”.
Várias vulnerabilidades de execução de código são corrigidas no Sophos Firewall. A Sophos informou aos clientes que o Sophos Firewall versão 19.5, cuja disponibilidade geral foi anunciada em meados de novembro, corrige várias vulnerabilidades, incluindo aquelas que podem levar à execução arbitrária de códigos. Além de melhorias de resiliência e aumento de desempenho, a versão mais recente do Sophos Firewall traz patches para sete vulnerabilidades. De acordo com um comunicado de segurança divulgado em 1º de dezembro, uma das vulnerabilidades corrigidas na versão 19.5 é a CVE-2022-3236, que possui uma classificação de gravidade ‘crítica’. Três das vulnerabilidades corrigidas no Sophos Firewall 19.5 têm uma classificação de gravidade ‘alta’, incluindo CVE-2022-3226, um problema de injeção de comando do sistema operacional que pode ser explorado por um invasor com privilégios de administrador para executar código por meio de uploads de configuração SSL VPN. As três vulnerabilidades restantes têm gravidade média ou baixa. Eles incluem um problema de XSS armazenado que permite a escalação de privilégios e duas vulnerabilidades de injeção de SQL que expõem conteúdos não confidenciais do banco de dados de configuração.
Google lança atualização de segurança para corrigir falhas no Android. O Google lançou a atualização de segurança de dezembro de 2022 para Android, corrigindo quatro vulnerabilidades de gravidade crítica, incluindo uma falha de execução remota de código explorável via Bluetooth. A atualização deste mês aborda 45 vulnerabilidades nos principais componentes do Android com nível de patch 2022-12-01 e outras 36 vulnerabilidades que afetam componentes de terceiros abordadas no nível de patch 2022-12-05. O restante das vulnerabilidades corrigidas envolve elevação de privilégios (EoP), execução remota de código, divulgação de informações e problemas de negação de serviço.
Hackers visam empresas de criptomoedas pelo Telegram. “A Microsoft investigou recentemente um ataque em que o agente da ameaça, rastreado como DEV-0139, aproveitou os grupos de bate-papo do Telegram para atingir empresas de investimento em criptomoedas”, revelou a equipe de inteligência de ameaças de segurança da empresa. “DEV-0139 juntou-se a grupos do Telegram usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas e identificou seu alvo entre os membros.” Em 19 de outubro, invasores com amplo conhecimento da indústria de investimentos em cripto convidaram pelo menos um alvo (se passando por representantes de outras empresas de gerenciamento de criptoativos) para outro grupo do Telegram, onde pediram feedback sobre a estrutura de taxas das plataformas de troca de criptomoedas. Depois de ganhar a confiança de seus alvos, os invasores enviaram planilhas Excel maliciosas chamadas “OKX Binance & Huobi VIP rate comparision.xls”.
Várias vulnerabilidades de execução de código são corrigidas no Sophos Firewall. A Sophos informou aos clientes que o Sophos Firewall versão 19.5, cuja disponibilidade geral foi anunciada em meados de novembro, corrige várias vulnerabilidades, incluindo aquelas que podem levar à execução arbitrária de códigos. Além de melhorias de resiliência e aumento de desempenho, a versão mais recente do Sophos Firewall traz patches para sete vulnerabilidades. De acordo com um comunicado de segurança divulgado em 1º de dezembro, uma das vulnerabilidades corrigidas na versão 19.5 é a CVE-2022-3236, que possui uma classificação de gravidade ‘crítica’. Três das vulnerabilidades corrigidas no Sophos Firewall 19.5 têm uma classificação de gravidade ‘alta’, incluindo CVE-2022-3226, um problema de injeção de comando do sistema operacional que pode ser explorado por um invasor com privilégios de administrador para executar código por meio de uploads de configuração SSL VPN. As três vulnerabilidades restantes têm gravidade média ou baixa. Eles incluem um problema de XSS armazenado que permite a escalação de privilégios e duas vulnerabilidades de injeção de SQL que expõem conteúdos não confidenciais do banco de dados de configuração.
Agências dos EUA estão instruídas a avaliar os riscos de segurança IoT/OT. O US Government Accountability Office (GAO), apontou que o DHS, CISA e NIST emitiram orientações, alertas, avisos e outros recursos em um esforço para ajudar entidades federais e privadas a gerenciar os riscos de segurança cibernética associados à internet das coisas (IoT) e tecnologia operacional (OT ) sistemas. Embora tenham sido tomadas medidas para proteger a infraestrutura crítica contra ataques cibernéticos, o GAO acredita que mais deve ser feito por certas agências. O Departamento de Energia dos EUA tem iniciativas com foco em tecnologias de monitoramento de segurança cibernética OT. O Departamento de Saúde e Serviços Humanos fornece orientação de gerenciamento de segurança cibernética pré e pós-mercado para fabricantes de dispositivos médicos. As iniciativas do DHS e do Departamento de Transporte incluem uma diretiva para melhorar a segurança cibernética ferroviária.
Grupos de cibercriminosos continuam expandindo suas operações de Ransomware como serviço. Os grupos de ransomware estão se unindo, crescendo em sofisticação e perspicácia nos negócios enquanto monetizam o ransomware além da criptografia, incluindo dupla e tripla extorsão, à medida que o mercado de ransomware como serviço (RaaS) amadurece. No primeiro semestre de 2022, LockBit, Conti, Alphv, Black Basta e Vice Society estavam entre as gangues de ransomware mais prolíficas, concentrando seus ataques em diversas organizações ao redor do mundo, de acordo com um relatório da LookingGlass sobre o assunto. O relatório confirmou e atribuiu 1.133 ataques de ransomware nos primeiros seis meses do ano e atribuiu 207 vazamentos de dados em todos os grupos ativos de atores de ameaças durante o mesmo período. Dos mais de 1.300 incidentes, a maior parte veio dos 15 grupos de ransomware mais ativos, liderados por LockBit, Conti e Alphv. As gangues de ransomware visaram principalmente dois setores durante o período de análise: manufatura e produtos industriais, seguidos por engenharia e construção e saúde, com a indústria de consumo e varejo completando os cinco primeiros.
Hackers russos usam redes ocidentais para atacar a Ucrânia. Hackers russos estão usando sua presença dentro das redes de organizações no Reino Unido, Estados Unidos e outros lugares para lançar ataques contra a Ucrânia, revelou um novo relatório da Lupovis. A empresa de segurança escocesa criou uma série de iscas na web para atrair os agentes de ameaças russos para que pudessem estudar suas táticas, técnicas e procedimentos. Isso incluía documentos falsos “honeyfile”, vazados em fóruns de crimes cibernéticos e falsificados para conter o que pareciam ser nomes de usuário, senhas e outras informações importantes. Outras iscas incluíam portais web configurados de forma insegura, projetados para imitar sites políticos e governamentais ucranianos e “serviços ssh e de alta interação”.
Hackers norte-coreanos espalham malware AppleJeus. O agente de ameaças Lazarus Group foi observado usando aplicativos falsos de criptomoeda como uma isca para entregar uma versão não documentada anteriormente do malware AppleJeus, de acordo com novas descobertas da Volexity. “Essa atividade envolve uma campanha que provavelmente visa usuários de criptomoeda e organizações com uma variante do malware AppleJeus por meio de documentos maliciosos do Microsoft Office”, disseram os pesquisadores. O governo norte-coreano é conhecido por adotar uma abordagem de três frentes, empregando atividades cibernéticas maliciosas orquestradas para coletar inteligência, conduzir ataques e gerar receita ilícita para o país atingido pelas sanções. O AppleJeus, documentado pela primeira vez pela Kaspersky em 2018, foi projetado para coletar informações sobre o sistema infectado (ou seja, endereço MAC, nome do computador e versão do sistema operacional) e baixar o shellcode de um servidor de comando e controle (C2).
Aplicativos de malware para Android são detectados no Google Play. Um novo conjunto de aplicativos de malware, phishing e adware para Android se infiltrou na Google Play Store, induzindo mais de dois milhões de pessoas a instalá-los. Os aplicativos foram descobertos pelo antivírus Dr. Web e fingem ser utilitários úteis e otimizadores de sistema, mas, na realidade, são as fontes de falta de desempenho, anúncios e degradação da experiência do usuário. Esses aplicativos foram promovidos por malvertising por meio de outros aplicativos, prometendo lucros de investimento garantidos. Na realidade, os aplicativos levam os usuários a sites de phishing onde suas informações pessoais são coletadas. Para se proteger de aplicativos fraudulentos no Google Play, verifique sempre se há avaliações negativas, examine a política de privacidade e visite o site do desenvolvedor para avaliar sua autenticidade.
Novas vulnerabilidades da cadeia de suprimentos afetam servidores BMC. Três falhas de segurança foram divulgadas no software MegaRAC Baseboard Management Controller (BMC) da American Megatrends (AMI) que podem levar à execução remota de código em servidores vulneráveis. “O impacto da exploração dessas vulnerabilidades inclui controle remoto de servidores comprometidos, implantação remota de malware, ransomware e implantes de firmware e danos físicos ao servidor (bricking)”, disse a empresa de segurança de firmware e hardware Eclypsium. Os BMCs são sistemas independentes privilegiados em servidores usados para controlar configurações de hardware de baixo nível e gerenciar o sistema operacional do host, mesmo em cenários em que a máquina está desligada. Esses recursos tornam os BMCs um alvo atraente para agentes de ameaças que procuram implantar malware persistente em dispositivos que podem sobreviver a reinstalações do sistema operacional e substituições de disco rígido.
Hackers norte-coreanos espalham malware AppleJeus. O agente de ameaças Lazarus Group foi observado usando aplicativos falsos de criptomoeda como uma isca para entregar uma versão não documentada anteriormente do malware AppleJeus, de acordo com novas descobertas da Volexity. “Essa atividade envolve uma campanha que provavelmente visa usuários de criptomoeda e organizações com uma variante do malware AppleJeus por meio de documentos maliciosos do Microsoft Office”, disseram os pesquisadores. O governo norte-coreano é conhecido por adotar uma abordagem de três frentes, empregando atividades cibernéticas maliciosas orquestradas para coletar inteligência, conduzir ataques e gerar receita ilícita para o país atingido pelas sanções. O AppleJeus, documentado pela primeira vez pela Kaspersky em 2018, foi projetado para coletar informações sobre o sistema infectado (ou seja, endereço MAC, nome do computador e versão do sistema operacional) e baixar o shellcode de um servidor de comando e controle (C2).
Aplicativos de malware para Android são detectados no Google Play. Um novo conjunto de aplicativos de malware, phishing e adware para Android se infiltrou na Google Play Store, induzindo mais de dois milhões de pessoas a instalá-los. Os aplicativos foram descobertos pelo antivírus Dr. Web e fingem ser utilitários úteis e otimizadores de sistema, mas, na realidade, são as fontes de falta de desempenho, anúncios e degradação da experiência do usuário. Esses aplicativos foram promovidos por malvertising por meio de outros aplicativos, prometendo lucros de investimento garantidos. Na realidade, os aplicativos levam os usuários a sites de phishing onde suas informações pessoais são coletadas. Para se proteger de aplicativos fraudulentos no Google Play, verifique sempre se há avaliações negativas, examine a política de privacidade e visite o site do desenvolvedor para avaliar sua autenticidade.
Novas vulnerabilidades da cadeia de suprimentos afetam servidores BMC. Três falhas de segurança foram divulgadas no software MegaRAC Baseboard Management Controller (BMC) da American Megatrends (AMI) que podem levar à execução remota de código em servidores vulneráveis. “O impacto da exploração dessas vulnerabilidades inclui controle remoto de servidores comprometidos, implantação remota de malware, ransomware e implantes de firmware e danos físicos ao servidor (bricking)”, disse a empresa de segurança de firmware e hardware Eclypsium. Os BMCs são sistemas independentes privilegiados em servidores usados para controlar configurações de hardware de baixo nível e gerenciar o sistema operacional do host, mesmo em cenários em que a máquina está desligada. Esses recursos tornam os BMCs um alvo atraente para agentes de ameaças que procuram implantar malware persistente em dispositivos que podem sobreviver a reinstalações do sistema operacional e substituições de disco rígido.
FBI emite alerta sobre a gangue de ransomware Cuba. A grupo de cibercriminosos atingiu mais de 100 organizações em todo o mundo, exigindo mais de US$ 145 milhões em pagamentos e extorquindo com sucesso pelo menos US$ 60 milhões desde agosto, de acordo com um comunicado conjunto do FBI e da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA). Embora esse ransomware seja conhecido pela indústria como “ransomware de Cuba”, não há indicação de que os agentes do ransomware de Cuba tenham qualquer conexão ou afiliação com a República de Cuba. O FBI alertou pela primeira vez sobre a gangue do cibercrime em dezembro de 2021 e, desde então, a contagem de vítimas apenas nos EUA dobrou. Ao mesmo tempo, os pagamentos de resgates recebidos também dispararam. Os criminosos continuam visando cinco setores críticos de infraestrutura: serviços financeiros, governo, assistência médica e saúde pública, manufatura crítica e TI, de acordo com o FBI.
Pesquisadores divulgam falha na cadeia de suprimentos da IBM Cloud. A IBM corrigiu uma vulnerabilidade de segurança de alta gravidade que afeta seu produto Cloud Databases (ICD) para PostgreSQL, que pode ser potencialmente explorada para adulterar repositórios internos e executar código não autorizado. A falha de escalonamento de privilégios apelidada de “Hell’s Keychain”, foi descrita como um vetor de ataque de cadeia de suprimentos inédito que afeta a infraestrutura de um provedor de nuvem. A exploração bem-sucedida do bug pode permitir que um agente mal-intencionado execute códigos remotamente nos ambientes dos clientes e até mesmo leia ou modifique dados armazenados no banco de dados PostgreSQL. A vulnerabilidade consiste em uma cadeia de três segredos expostos (token de conta de serviço Kubernetes, senha de registro de contêiner privado, credenciais de servidor CI/CD) juntamente com acesso de rede excessivamente permissivo a servidores internos de compilação.
Vulnerabilidade no Linux permite que qualquer usuário tenha privilégios de root. A nova vulnerabilidade, rastreada como CVE-2022-3328, afeta o programa ‘snap-confine’ usado pelo Snapd para construir o ambiente de execução para aplicativos Snap. O programa afetado está presente por padrão no Ubuntu, cujos desenvolvedores descreveram o como uma falha de alta gravidade que pode ser explorada para escalonamento de privilégio local e execução de código arbitrário. Segundo os pesquisadores a falha pode ser combinada com outras vulnerabilidades para um ataque de alto impacto. Encadear a vulnerabilidade do Snapd com as duas falhas do Multipathd pode permitir que qualquer usuário sem privilégios obtenha privilégios de root em um dispositivo vulnerável. A vulnerabilidade não pode ser explorada remotamente, mas os pesquisadores advertem que é perigosa porque pode ser explorada por um usuário sem privilégios.
Aplicativos maliciosos roubaram credenciais de mais de 300.000 usuários. Mais de 300.000 usuários em 71 países foram vítimas de uma nova campanha de ameaças ao Android chamada Trojan Schoolyard Bully. Projetado principalmente para roubar credenciais do Facebook, o malware é camuflado como aplicativos legítimos com tema educacional para atrair usuários desavisados a baixá-los. Os aplicativos, que estavam disponíveis para download na Google Play Store oficial, foram retirados. O trojan usa injeção de JavaScript para roubar as credenciais do Facebook, ele consegue isso iniciando a página de login do Facebook em um WebView, que também incorpora código JavasCript malicioso para exfiltrar o número de telefone, endereço de e-mail e senha do usuário para um servidor de comando e controle (C2) configurado. Além disso, o Trojan Schoolyard Bully faz uso de bibliotecas nativas, como “libabc.so”, para evitar a detecção por soluções antivírus.
Pesquisadores divulgam falha crítica de RCE que afeta o Quarkus Java Framework. Uma vulnerabilidade de segurança crítica foi divulgada na estrutura Quarkus Java que pode ser potencialmente explorada para obter a execução remota de código nos sistemas afetados. Rastreado como CVE-2022-4116 (pontuação CVSS: 9,8), a falha pode ser trivialmente abusada por um ator mal-intencionado sem nenhum privilégio. A vulnerabilidade é encontrada no Dev UI Config Editor, que é vulnerável a ataques de host local que podem levar à execução remota de código (RCE). O Quarkus, desenvolvido pela Red Hat, é um projeto de código aberto usado para criar aplicativos Java em ambientes container e sem servidor. Vale ressaltar que o problema afeta apenas os desenvolvedores que estão executando o Quarkus e são levados a visitar um site especialmente criado, que é incorporado com código JavaScript malicioso projetado para instalar ou executar cargas arbitrárias.
Google corrige bugs de segurança de alta gravidade no navegador Chrome. O Google anunciou esta semana o lançamento do Chrome 108 no canal estável com patches para 28 vulnerabilidades, incluindo 22 relatadas por pesquisadores externos. Dos defeitos de segurança relatados externamente, oito são problemas de alta gravidade e 14 são falhas de gravidade média. O mais grave desses bugs, com base no programa de recompensa por bugs, é o CVE-2022-4174, um problema no mecanismo JavaScript V8 do navegador web. O Google deu crédito ao pesquisador de segurança Zhenghang Xiao por relatar a vulnerabilidade e diz que pagou uma recompensa de US$ 15.000 por isso. Todas as vulnerabilidades de alta gravidade restantes são bugs de segurança de memória, incluindo uma gravação fora dos limites e seis problemas de uso após liberação. Por mais de um ano, o Google vem trabalhando para melhorar a segurança da memória no Chrome, inclusive mudando de C++ para um compilador Rust. Rust é considerada uma linguagem de programação segura para memória.
Austrália aprova projeto de lei para multar empresas em até US$ 50 milhões por violação de dados. O governo australiano aprovou um projeto de lei que aumenta acentuadamente a penalidade para empresas que sofrem violações graves ou repetidas de dados. Para tanto, as multas máximas foram aumentadas dos atuais US$ 2,22 milhões para US$ 50 milhões, 30% do faturamento ajustado de uma entidade no período relevante, ou três vezes o valor de qualquer benefício obtido pelo uso indevido de informações, o que for é maior. O período de rotatividade é o período de tempo desde a ocorrência da infração até o final do mês em que o incidente é oficialmente resolvido. “Violações significativas de privacidade nos últimos meses mostraram que as salvaguardas existentes estão desatualizadas e inadequadas”, disse o procurador-geral Mark Dreyfus em comunicado. “Essas reformas deixam claro para as empresas que a penalidade por uma grande violação de dados não pode mais ser considerada como o custo de fazer negócios”.
Ransomware Trigona é detectado em ataques em todo o mundo. Uma operação de Ransomware está ativa há algum tempo, com amostras vistas no início do ano. No entanto, essas amostras utilizaram e-mail para negociações e não foram marcadas com um nome específico. A partir do final de outubro de 2022, a operação de ransomware lançou um novo site de negociação Tor onde eles se autodenominaram oficialmente ‘Trigona’. Ao criptografar arquivos, o Trigona criptografará todos os arquivos em um dispositivo, exceto aqueles em pastas específicas, como as pastas Windows e Program Files. Além disso, o ransomware renomeará os arquivos criptografados para usar a extensão ._locked. O malware também incorporará a chave de descriptografia criptografada, o ID da campanha e o ID da vítima (nome da empresa) nos arquivos criptografados. Não está claro como a operação viola redes ou implanta ransomware.
NVIDIA lança atualização de driver de GPU para corrigir 29 falhas de segurança. A NVIDIA lançou uma atualização de segurança para seu driver de exibição de GPU para Windows, contendo uma correção para uma falha de alta gravidade que os agentes de ameaças podem explorar para realizar execução remota de código e escalonamento de privilégios. A atualização de segurança mais recente aborda 25 vulnerabilidades nos drivers de GPU do Windows e Linux, enquanto sete falhas são categorizadas como de alta gravidade. Os drivers de hardware e GPU são executados com privilégios elevados no sistema operacional, portanto, explorar uma vulnerabilidade em um driver fornece o mesmo alto nível de privilégios para códigos ou comandos mal-intencionados. Considerando a popularidade dos produtos NVIDIA, há uma grande chance de encontrar drivers de GPU vulneráveis em computadores de destino, permitindo que invasores explorem essas falhas para obter maiores privilégios e se espalhar ainda mais em uma rede.
Pesquisadores detalham falha no AppSync da Amazon Web Services. A Amazon Web Services (AWS) resolveu uma vulnerabilidade em sua plataforma que poderia ser armada por um invasor para obter acesso não autorizado a recursos. A falha foi relatada pelo Datadog à AWS em 1º de setembro de 2022, após o qual um patch foi enviado em 6 de setembro. “Este ataque abusa do serviço AppSync para assumir funções de gerenciamento de identidade e acesso em outras contas da AWS, o que permite que um invasor invada uma organização vítima e acesse recursos nessas contas”, disse Nick Frichette, pesquisador da Datadog, em um relatório publicado na semana passada. Em uma divulgação coordenada, a Amazon disse que nenhum cliente foi afetado pela vulnerabilidade e que nenhuma ação do cliente é necessária. O AWS AppSync oferece aos desenvolvedores GraphQL APIs para recuperar ou modificar dados de várias fontes de dados, bem como sincronizar dados automaticamente entre aplicativos móveis e a nuvem.
Falha crítica é explorada e fornece acesso a VPNs da Fortinet. Um agente de ameaças está distribuindo acesso não autorizado a várias VPNs Fortinet em um fórum de cibercrime russo. Ao avaliar o acesso, os pesquisadores perceberam que o invasor estava tentando adicionar uma nova chave pública à conta do usuário administrador. Uma investigação mais aprofundada revelou que as organizações visadas usavam software FortiOS desatualizado. Isso indicava que o invasor estava gerenciando o desvio de autenticação explorando um canal ou uma falha de caminho alternativo rastreada como CVE-2022-40684 no FortiOS. Essa falha de bypass de autenticação permite que um invasor não autorizado/não autenticado explore a interface administrativa. De acordo com a pesquisa da Cyble publicada em 24 de novembro de 2022, várias versões do Fortinet são afetadas por essa falha, incluindo FortiOS, FortiProxy e FortiSwitchManager. A vulnerabilidade permite que um invasor execute operações na “interface administrativa” por meio de solicitações HTTPS ou HTTP especialmente criadas, leu o comunicado do Cyble. A pesquisa revelou que o software Fortinet era o alvo desde 17 de outubro de 2022.
Dados roubados de 5,4 milhões de usuários do Twitter vazaram na internet. Mais de 5,4 milhões de registros de usuários do Twitter contendo informações roubadas usando uma vulnerabilidade de API corrigida em janeiro foram compartilhados gratuitamente em um fórum de cibercriminosos. Os dados consistem em informações públicas extraídas, bem como números de telefone privados e endereços de e-mail que não devem ser públicos. Em julho passado, um agente de ameaças começou a vender informações privadas de mais de 5,4 milhões de usuários do Twitter por US$ 30.000. Embora a maioria dos dados consistisse em informações públicas, como IDs do Twitter, nomes, nomes de login, locais e status verificado, também incluía informações privadas, como números de telefone e endereços de e-mail.
