The Bug Report - Edição de Julho de 2022
Seu alívio em quadrinhos de segurança cibernética
Por que estou aqui?
Bem-vindo ao Relatório de Bug, Edição Heat Wave! Diante da irritabilidade crônica e da síndrome das calças encharcadas, estamos de volta ao assunto novamente, procurando os percalços definidos por software mais picantes deste mês para o seu prazer schadenfreudiano. (Ou melhor, nós obrigamos o estagiário a fazer isso.) Então ligue o ar condicionado, ponha seus pés para cima enquanto curte sua bebida gelada e aproveite a nata da safra de vulnerabilidade de julho.
Felizmente, a maioria das vulnerabilidades que relatamos não pode causar incêndios, não importa como sejam utilizadas. Este mês, no entanto, temos algo especial para você com o CVE-2022-2107. Mas não se preocupe, se isso for muito quente para você, também temos mais duas vulnerabilidades que causam dores de cabeça:
CVE-2022-2294: Muita diversão no 4 de julho em Mountain View!
O que é isso?
Todos nós já ouvimos e reviramos os olhos com o ditado banal de que o dinheiro não pode comprar a felicidade (a menos, é claro, que você esteja em Las Vegas). O dinheiro também não pode comprar imunidade a vulnerabilidades críticas do navegador, como uma das empresas mais ricas do mundo aprendeu mais uma vez no início deste mês. Enquanto nós nos Estados Unidos estávamos comemorando o Dia da Independência — ou "Dia da Boa Viagem", como é conhecido em todo o Google Universo, estava ocupado lançando um patch para um estouro de buffer baseado em heap de alta gravidade (CWE-122) em WebRTC.
Se você é como nós e viu “WebRTC” surgir na documentação técnica várias vezes sem motivo suficiente para procurar o que é, aqui está tudo o que você precisa saber. WebRTC significa Web Real-Time Communication. Ele é usado na maioria dos navegadores comuns (incluindo, principalmente para nós, o Google Chrome) para permitir fluxos de vídeo e áudio de navegador para navegador sem a necessidade de plug-ins ou outras instalações de terceiros. Ele é ativado por padrão no Chrome.
Quem se importa?
Se você está lendo este artigo, você está usando um navegador da web. Se eu adivinhasse, você está visualizando este artigo com o Chrome e, de acordo com o statcounter, eu estaria certo cerca de duas das três vezes. Embora a prova de conceito (POC) existente mencionada abaixo tenha sido adaptada ao Chrome executado em hosts Windows, é provável que todos os navegadores que utilizam WebRTC sejam vulneráveis a exploração semelhante. Esta lista inclui Safari e Edge, os vice-campeões no mercado de navegadores dominado pelo Chrome. E não são apenas aplicativos de desktop; essa vulnerabilidade também afeta dispositivos Android. Você entendeu a ideia. É verdade que um invasor quase certamente precisará fazer todo o esforço de inventar uma elaborada cadeia de ataque em torno do CVE-2022-2294 para causar sérios danos. Ainda assim, quão seguro isso faz você se sentir?
Devido à natureza de “dar e receber” da divulgação responsável, muito poucos detalhes sobre a natureza precisa da vulnerabilidade rastreada como CVE-2022-2294 chegaram ao domínio público. O que sabemos com certeza, graças a algum trabalho forense habilidoso de pesquisadores de segurança com a Avast, é que essa vulnerabilidade foi explorada inúmeras vezes por agentes de ameaças conhecidos como parte de uma cadeia de ataque direcionada maior, implantada contra organizações específicas no Médio Oriente.
Talvez o caminho mais acessível para avaliar o impacto potencial disso na segurança da informação seja através de uma compreensão superficial do evento que levou a Avast a relatar a vulnerabilidade ao Google em primeiro lugar. Os invasores conseguiram obter acesso inicial à rede protegida de uma agência de notícias libanesa por meio de scripts entre sites (XSS). Seu JavaScript malicioso então escaneou o conjunto de hosts acessíveis em busca de indicações de vulnerabilidade ao CVE-2022-2294, entregando a exploração com precisão. A execução do shellcode obtida via WebRTC foi usada para fornecer uma forma sofisticada de spyware conhecido, graficamente, como DevilsTongue, que foi injetado no kernel da vítima para desviar furtivamente dados privados para os invasores. Os “boa gente” da Avast elaboram mais detalhes sobre a descoberta do CVE-2022-2294 e sua exploração selvagem em seu próprio blog.
O que posso fazer?
Felizmente para nós, os engenheiros do Google não gostam de fogos de artifício e lançaram um patch poucos dias após a divulgação inicial. A Microsoft seguiu o exemplo no dia seguinte (5 de julho) com um patch para o Edge, e a Apple, levando seu tempo, corrigiu o Safari no dia 20. Se você tiver as atualizações automáticas do navegador habilitadas (o que você provavelmente deveria), você já está imune a essa travessura. Os usuários do Chrome que preferem atualizações manuais devem garantir que estejam executando a versão 103.0.5060.114 ou mais recente.
CVE-2022-2107: Alguém conhece um bom exorcista automotivo?
O que é isso?
Sejamos honestos, filmes de hackers nos irritam. Basta digitar a senha mestra e você está dentro? Me dá um tempo. Bem, parece que Hollywood não está tão longe, afinal. CVE-2022-2107 é uma chave codificada no servidor API pertencente à MiCODUS, uma empresa que vende rastreadores GPS profissionais. Esse CVE pode ser apenas uma chave codificada no servidor da API, mas permite que invasores acessem não autenticados para fazer login no servidor da Web, personificar usuários e enviar comandos diretamente para os rastreadores GPS dos dispositivos MiCODUS MV720. Em vez de fazer login e obter uma chave, os invasores podem usar a chave codificada ao acessar os endpoints da API. O CVE-2022-2107 dá aos invasores o poder de Jeff Goldblum no Dia da Independência, permitindo que um hacker use qualquer dispositivo com recursos de Internet para derrubar frotas inteiras de veículos. Ao usar a chave codificada, um invasor pode cortar o combustível dos veículos, ativar e desativar alarmes e rastrear a localização GPS dos veículos em tempo real. A chave também permite que os invasores acessem e modifiquem todos os outros dados, como rotas e cercas geográficas. Agora, eu sei o que você deve estar pensando, isso parece bom demais para ser verdade, deve haver algum problema ou algum tipo de condição para quando essa vulnerabilidade pode ser explorada, e você estaria certo. Para atingir os rastreadores GPS, um invasor precisará saber o ID do dispositivo, mas, infelizmente para os usuários, isso é gerado sequencialmente.
Já suando como Ted Striker em Airplane? Bem... BitSight, a empresa que relatou este CVE, relatou várias outras vulnerabilidades, incluindo informações sobre o uso do dispositivo e superfícies de ataque vulneráveis. Entre essas vulnerabilidades estava uma forma de enviar comandos diretamente para o rastreador (CVE-2022-2141) permitindo que um invasor executasse comandos se tivesse a senha do dispositivo. A BitSight também descobriu que, como o dispositivo não solicitava que os usuários alterassem sua senha, a maioria (94,5% da amostra) dos dispositivos usava a senha padrão de 123456.
Recomendados pelo LinkedIn
Quem se importa?
Você faz parte de uma empresa Fortune 50 em energia, petróleo ou gás? Que tal um governo nacional ou agência da lei? Talvez você faça parte de um conglomerado de manufatura? Não? Então, você acha que provavelmente não deveria se preocupar com essa vulnerabilidade, certo? Errado. A vulnerabilidade não apenas tem o potencial de encerrar cadeias de suprimentos inteiras desligando frotas de carros, mas a vulnerabilidade também permite que invasores desliguem carros potencialmente causando acidentes na estrada, resultando em possíveis ferimentos. Ao longo de vários meses, a BitSight coletou dados e identificou diferenças no uso dos dispositivos MiCODUS em todo o mundo, conforme mostrado no gráfico abaixo.
Em seu relatório, a BitSight publicou ataques de prova de conceito para cada vulnerabilidade relatada, juntamente com a publicação da chave codificada para o servidor da API. A BitSight entrou em contato com o MiCODUS pela primeira vez em 9 de setembro de 2021, no entanto, felizmente para atores maliciosos, o MiCODUS tem sido mais lento do que os procedimentos do Congresso quando se trata de patches. No momento da redação deste blog, a chave codificada ainda pode ser usada para acessar qualquer injunção de endpoint da API com o ID do dispositivo. As IDs de dispositivos são fáceis de adivinhar por meio de métodos de força bruta, pois são geradas sequencialmente com base no formato 72011XXXXXX.
Diferenças geográficas nos usos do setor encontradas pelo BitSight
O que posso fazer?
Se você leu nossos relatórios de bugs no passado, sabe que normalmente nosso conselho é Patch, Patch, Patch!! No entanto, com este CVE não há nada que os usuários médios possam fazer além de desativar seus dispositivos. A vulnerabilidade descrita no CVE-2022-2107 existe dentro do servidor do MiCODUS e só pode ser corrigida por eles. Para usuários e organizações que hospedam seu próprio servidor de API, certifique-se de ter a autenticação adequada nos endpoints da API.
Embora não haja nada que o usuário médio possa fazer para o CVE-2022-2107 além de desabilitar seus dispositivos, há coisas que eles devem fazer para os outros CVEs arquivados pelo BitSight. O mais importante deles é atualizar sua senha padrão. De acordo com o BitSight, 94,5% dos dispositivos amostrados estavam usando a senha padrão e, portanto, podiam ser controlados sem a necessidade de outras vulnerabilidades.
CVE-2022-20857: Ignorância nem sempre é felicidade...
O que é isso?
Não são apenas os estudantes de administração de faculdades que gostam de belas abstrações gráficas de informações técnicas densas; nós, o pessoal da linha de comando, também adoramos uma boa visão geral interativa de nossos dispositivos em rede. Isso supondo, é claro, que o referido painel não esteja repleto de vulnerabilidades, como o Cisco Nexus Dashboard. Durante uma recente auditoria interna do conjunto de produtos da Cisco, o ASIG (Grupo de Iniciativas de Segurança Avançadas da Cisco) descobriu três vulnerabilidades graves que afetam todas as versões do Nexus Dashboard, sendo a mais crítica a CVE-2022-20857.
O culpado é um único ponto de extremidade de API que não possui autenticação (CWE-306), expondo um vetor de ataque por meio do qual um agente malicioso pode obter a execução remota de código como root sobre HTTP. Para avaliar o escopo da vulnerabilidade de forma mais completa, precisamos estabelecer uma compreensão rudimentar de como o Nexus Dashboard é arquitetado. Logicamente falando, o painel consiste em um cluster de vários serviços que suportam seus muitos recursos disponíveis. Este cluster é exposto a duas interfaces de rede distintas:
A terminação de API vulnerável reside na rede de dados, sugerindo que a exploração do CVE-2022-20857 pode permitir que um invasor aponte para qualquer host acessível pelo dispositivo comprometido.
Quem se importa?
Correndo o risco de afirmar o óbvio, se você ou sua organização estiver usando o Nexus Dashboard, esta e outras vulnerabilidades descritas no comunicado de segurança da Cisco devem ser a principal preocupação. Na pior das hipóteses, um host comprometido com acesso aos principais serviços internos de roteamento e hospedagem é tão ruim quanto pode ser em segurança da informação.
O que posso fazer?
Antes de qualquer ajuste de esfíncter adicional, você deve saber que a Cisco corrigiu essas vulnerabilidades na versão de 8 de Maio (2.2.1e) do Nexus Dashboard. Se você não tiver certeza de qual versão sua organização está usando atualmente, você pode verificar isso facilmente fazendo login na interface de linha de comando do Dashboard via SSH e executando `acs version`. Todas as versões anteriores à 2.2.1e são vulneráveis, portanto, seu administrador de rede deve atualizar para esta ou a versão subsequente 2.2.1h, disponível a partir de 6 de junho. Isso pode ser feito pelos meios recomendados de atualizar todo o cluster do Dashboard de uma só vez, ou atualizando manualmente os nós individuais no cluster, se necessário.