Closed github-actions[bot] closed 1 year ago
:arrow_right: Grande parte dos ataques cibernéticos a infraestruturas críticas envolvem credenciais válidas. Mais da metade de todos os ataques cibernéticos a agências governamentais, organizações de infraestrutura crítica e órgãos governamentais estaduais envolveu o uso de contas válidas, de acordo com um novo relatório da Agência de Segurança de Infraestrutura e Cibersegurança (CISA). Gabriel Davis, líder federal de operações de risco na CISA, disse que essas avaliações são projetadas para testar as defesas de uma organização e dar ao governo a chance de ver como eles responderiam a um ataque sofisticado. O relatório das descobertas da agência, publicado na quarta-feira, observou que os atores de ameaças concluíram seus ataques mais bem-sucedidos por meio de métodos comuns, como phishing e uso de credenciais padrão. Credenciais válidas, que podem ser contas de ex-funcionários que não foram desativadas além de contas de administrador padrão, foram usadas em 54% dos ataques bem-sucedidos estudados. Davis disse que o que mais chamou sua atenção foi o fato de os cibercriminosos estarem usando em grande parte os mesmos métodos na maioria dos incidentes.
:arrow_right: Duas falhas de segurança no Linux Ubuntu afetam 40% dos usuários. Pesquisadores divulgaram duas falhas de segurança de alta gravidade no kernel do Ubuntu que poderiam abrir caminho para ataques de escalonamento de privilégios locais. “As versões do Ubuntu impactadas são prevalentes na nuvem, pois servem como sistemas operacionais padrão para vários provedores de serviços em nuvem”, disseram os pesquisadores de segurança Sagi Tzadik e Shir Tamari. As vulnerabilidades rastreadas como CVE-2023-32629 e 2023-2640, foram apelidadas de GameOver(lay) e estão presentes em um módulo chamado OverlayFS e surgem como resultado de verificações de permissões inadequadas em certos cenários, permitindo que um invasor local obtenha privilégios elevados. O Overlay Filesystem refere-se a um sistema de arquivos de montagem de união que possibilita a combinação de várias árvores de diretórios ou sistemas de arquivos em um único sistema de arquivos unificado.
:arrow_right: Cibercriminosos miram servidores Apache Tomcat. Servidores Apache Tomcat mal configurados estão sendo alvo de uma nova campanha projetada para entregar o malware botnet Mirai e mineradores de criptomoedas. Os pesquisadores detectaram mais de 800 ataques contra seus honeypots de servidor Tomcat ao longo de um período de dois anos, com 96% dos ataques ligados ao botnet Mirai. O ator da ameaça escaneou servidores Tomcat e lançou um ataque de força bruta contra eles, tentando ganhar acesso ao gerenciador de aplicativos web do Tomcat e tentando diferentes combinações de credenciais associadas a ele. Após obter acesso, os atores de ameaças foram observados implantando um arquivo malicioso que contém uma web shell chamada ‘cmd.jsp’ que, por sua vez, é projetada para ouvir solicitações remotas e executar comandos arbitrários no servidor Tomcat. O malware final é uma variante do infame botnet Mirai que usa os hosts infectados para orquestrar ataques de negação de serviço distribuídos (DDoS).
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: