github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Falhas de segurança críticas foram divulgadas no SAP. Detalhes foram divulgados sobre vulnerabilidades críticas no SAP, incluindo uma cadeia de exploração “wormable”, que pode expor as organizações a ataques. O pesquisador Fabian Hagg encontrou as falhas como parte de um projeto de pesquisa que durou três anos, com patches sendo lançados pela SAP em meados de 2021 e janeiro de 2023. Os bugs, que incluem tanto problemas de design quanto de implementação, foram descobertos durante uma análise da interface de Chamada de Função Remota (RFC), que é projetada para comunicação entre sistemas SAP. Duas das falhas receberam classificações de gravidade ‘críticas’ com base em sua pontuação CVSS: CVE-2021-27610 e CVE-2023-0014. A exploração das vulnerabilidades descobertas por Hagg pode levar a um comprometimento total do sistema. A cadeia de exploração foi descrita como tendo capacidades de ataque “wormable”, permitindo movimento lateral em ambientes SAP. Além dos patches, alterações de configuração e “ajustes complexos do sistema” são necessários para resolver as falhas.
:arrow_right: Falha de Segurança Crítica em Plugin do WordPress Expõe Contas de Usuários. Uma falha de segurança crítica foi divulgada no plugin Social Login and Register da miniOrange para WordPress, que poderia permitir a um ator malicioso fazer login como usuário. Rastreada como CVE-2023-2982, a falha de bypass de autenticação afeta todas as versões do plugin, incluindo as anteriores à 7.6.4. “A vulnerabilidade possibilita que um invasor não autenticado obtenha acesso a qualquer conta em um site, incluindo contas usadas para administrar o site, se o invasor souber ou puder encontrar o endereço de e-mail associado”, disse o pesquisador do Wordfence István Márton. O problema está enraizado no fato de que a chave de criptografia usada para proteger as informações durante o login usando contas de mídia social é codificada, levando a um cenário onde os invasores poderiam criar uma solicitação válida com um endereço de e-mail devidamente criptografado usado para identificar o usuário. Se a conta pertencer ao administrador do site WordPress, isso pode resultar em um comprometimento total. O plug-in é usado em mais de 30.000 sites.
:arrow_right: Aplicativo espião para Android sofre grande violação de dados. O aplicativo de monitoramento de telefone LetMeSpy, divulgou uma violação de segurança que permitiu que terceiros não autorizados roubassem dados confidenciais associados a milhares de usuários do Android. “Como resultado do ataque, os criminosos obtiveram acesso a endereços de e-mail, números de telefone e conteúdo de mensagens coletadas em contas”, disse o LetMeSpy em um anúncio em seu site, observando que o incidente ocorreu em 21 de junho de 2023. Após a descoberta, o LetMeSpy informou que notificou as autoridades policiais e de proteção de dados. A empresa está tomando medidas para suspender todas as funções relacionadas à conta até novo aviso. A identidade do agente da ameaça e seus motivos são atualmente desconhecidos. O LetMeSpy vem com uma ampla variedade de recursos para coletar registros de chamadas, mensagens SMS e geolocalização, todos os quais podem ser acessados no site. Na tentativa de evitar a detecção e remoção, o ícone do aplicativo pode ser ocultado na tela inicial do dispositivo.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: