Agência de Segurança Cibernética e de Infraestrutura dos EUA sofre ciberataque
A Agência de Segurança Cibernética e de Infraestrutura (CISA) norte-americana teve que desligar dois de seus sistemas no mês passado devido a uma violação de segurança ligada ao fornecedor de software Ivanti. Neste cenário, a CISA decidiu colocar os sistemas afetados offline para evitar mais exploração ou danos. A agência ainda não divulgou quem estava por trás do incidente, se os dados foram acessados ou roubados nem quais sistemas foram colocados offline. Porém, uma fonte interna que não quis ser identificada disse ao Recorded Future News que os dois sistemas comprometidos foram o Gateway de Proteção de Infraestrutura (IP), que contém informações críticas sobre a interdependência da infraestrutura dos EUA, e a Ferramenta de Avaliação de Segurança Química (CSAT), que abriga planos de segurança química do setor privado. Fica o alerta para que as organizações revisem seus sistemas já que vulnerabilidades previamente identificadas nos gateways Ivanti Connect Secure e Ivanti Policy Secure, incluindo CVE-2023-46805, CVE-2024-21887 e CVE-2024-21893 estão sendo ativamente exploradas por agentes maliciosos. Nos dias de hoje qualquer organização pode ser afetada por uma vulnerabilidade cibernética e, em face de um incidente, ter um plano de resposta bem estruturado é um componente cada vez mais necessário.
Magnet Goblin: agente malicioso utiliza malware nunca antes visto no Linux
Magnet Goblin, um agente malicioso com motivações financeiras, tem utilizado um malware nunca antes visto em sistemas operacionais Linux, explorando vulnerabilidades “1-day”, ou seja, vulnerabilidades que tiveram patches de segurança instalados de forma recente. Pode-se atribuir a este grupo cibercriminoso campanhas que afetaram Ivanti, Magento, Qlink Sense e possivelmente Apache ActiveMQ. As explorações dos “1-day” ocorrem muito por engenharia reversa das atualizações de segurança, que são utilizadas em desfavor de dispositivos que ainda não instalaram-nas. Os malwares utilizados pelo Magnet Goblin são da família “Nerbian”, sendo uma variante do NerbianRAT, um trojan de acesso remoto e que pode ser utilizado tanto em Windows quanto Linux e um pequeno backdoor Linux, denominado como MiniNerbian. Além destes malwares, o arsenal de ferramentas deste agente malicioso também conta com um infostealer chamado WarpWire, escrito em JavaScript. O Magnet Goblin tem feito explorações de forma muito rápida, em pouquíssimo tempo após a publicação das provas de conceito (PoC) - como no caso da Ivanti, que levou apenas um dia. Para se proteger, vale a pena ficar de olho nos Indicadores de Comprometimento por malwares desta família. Uma lista completa está disponível no relatório da Checkpoint Security.
QNAP: A fabricante taiwanesa de dispositivos Network Attached Storage (NAS) divulgou três vulnerabilidades que podem levar a bypass de autenticação, injeção de comando e injeção SQL. A primeira é a mais crítica, pois permite num ataque de baixa complexidade a execução remota sem autenticação. As falhas afetam QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x e o serviço myQNAPcloud 1.0.x. Recomenda-se que os usuários atualizem seus dispositivos o mais rápido possível.
Fortinet: A Shadowserver Foundation detectou quase 150.000 produtos Fortinet que permanecem sem correção contra a vulnerabilidade CVE-2024-21762 divulgada há um mês. A falha, considerada crítica, afeta o FortiOS e o FortiProxy permitindo que um invasor remoto e não autenticado execute códigos ou comandos arbitrários por meio de solicitações HTTP especialmente criadas. Os usuários devem atualizar com urgência para versões corrigidas dos produtos.
Windows 11: O Patch Tuesday desta semana trouxe novidades para o Windows 11 23H3 e 22H2. Através do KB5035853, a Microsoft corrigiu cerca de 21 vulnerabilidades - especialmente o conserto do erro “0x800F0922” ao instalar atualizações. Uma novidade digna de nota desta atualização é o suporte ao USB 80Gbps, a nova geração de USB4. A nota completa das atualizações podem ser encontradas no blog da Microsoft.
SAP: A empresa fabricante de softwares, SAP, corrigiu diversas falhas de segurança em seu chamado “Patch Day”. Dentre as mudanças, uma das atualizações que teve maior impacto foi trazer a versão mais recente do Chrome (Chromium v. 121.06167.184) para o Business Client, resolvendo cerca de 29 problemas de segurança, sendo dois desses de altíssima criticidade. Além destas correções, outras abordando diferentes impactos também foram implementadas, como uma correção da vulnerabilidade denominada CVE-2024-22127, a correção de um bug que permitia negação de serviço no HANA XS Classic e HANA XS Advanced e outros. As atualizações completas podem ser visualizadas no blog da SAP.
Roku: A empresa americana Roku, fabricante, principalmente, de aparelhos que servem para transformar aparelhos televisores em um televisor conectado (também conhecido como Smart TV), sofreu um vazamento de dados que impactou cerca de 15.000 contas de usuários. Os agentes maliciosos que impactaram a Roku estavam vendendo contas de usuários comprometidas (por meio de credential stuffing, utilizando ferramentas como Open Bullet 2 ou SilverBullet) por valores irrisórios - até US$ 0,50 - o que permitia que os compradores utilizassem as contas comprometidas para fazer compras ilegais em seus cartões de créditos cadastros na plataforma. E o pior: os usuários originais destas contas nem recebiam qualquer aviso sobre as compras realizadas, uma vez que os agentes podiam trocar as informações da conta livremente. Vale lembrar que contas da Roku não possuem a opção de autenticação de dois fatores (2FA), facilitando a ação de cibercriminosos. Fica o alerta aos leitores: verifiquem se suas contas não foram comprometidas e, caso tenha sido, visitem o site My Roku e requisitem uma senha nova por e-mail.
França: Poucos meses antes das Olimpíadas de Paris, uma série de ciberataques atingiu várias instituições do governo francês. Diferentes grupos de agentes maliciosos assumiram a responsabilidade pelos ataques, incluindo o Anonymous Sudan, que disse ter lançado um ataque distribuído de negação de serviço (DDoS) contra a infraestrutura de rede do governo francês.
Stanford: Na segunda-feira, a instituição de ensino revelou que um ataque de ransomware sofrido no mês de setembro do ano passado foi responsável por vazar as informações pessoais de 27.000 indivíduos que estavam na rede do Departamento de Segurança Pública (SUDPS). O grupo de ransomware Akira reivindicou o ataque em outubro e confirmou o roubo de 430 GB de arquivos, os quais desde então, têm sido publicados em seu site de leaks na rede Tor, disponibilizando-os para download via BitTorrent.
Tor: A empresa The Tor Project lançou uma nova funcionalidade: o WebTunnel, que tem por objetivo auxiliar usuários a transpassar fronteiras digitais em redes afetadas por censuras específicas na Rede Tor. Inspirado no HTTPT, um proxy resistente a probes, o WebTunnel faz com que bloquear conexões na rede Tor se torne muito mais difícil, uma vez que garante que o tráfego se misture com outros tráfegos HTTPS - haja vista a dificuldade que é bloquear todo tráfego HTTPS, afinal, bloquearia-se a maioria das conexões com servidores web. Para saber mais sobre o WebTunnel e adicioná-lo a seu navegador Tor, basta acessar esta página e manualmente adicionar uma nova “bridge” no navegador.
Analista de Cibersegurança | Segurança Ofensiva | eJPTv2
10 mAté agora surpresa com a Roku