search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
8 stars 0 forks source link

Boletim Diário: 13/12/2023 #314

Closed github-actions[bot] closed 11 months ago

github-actions[bot] commented 11 months ago

:point_down:

github-actions[bot] commented 11 months ago

Boletim de Segurança

:arrow_right: Falhas críticas no pfSense expõem milhares de servidores a Ataques RCE. Pesquisadores da SonarSource descobriram que aproximadamente 1.450 instâncias do pfSense, um popular software de firewall e roteador de código aberto, estão vulneráveis a falhas de injeção de comando e cross-site scripting (XSS). Se combinadas, essas vulnerabilidades podem permitir que atacantes realizem execução remota de código nos dispositivos afetados. As falhas, identificadas nas versões pfSense 2.7.0 e anteriores, bem como no pfSense Plus 23.05.01 e anteriores, são rastreadas como CVE-2023-42325 (XSS), CVE-2023-42327 (XSS) e CVE-2023-42326 (injeção de comando). A vulnerabilidade de injeção de comando, que recebeu uma pontuação CVSS de 8.8, é particularmente grave, pois surge da construção de comandos shell a partir de dados fornecidos pelo usuário para configurar interfaces de rede sem validação adequada. A falha afeta o parâmetro de interface de rede “gifif”, que não é verificado quanto a valores seguros, permitindo que atores mal-intencionados injetem comandos adicionais no parâmetro, levando à execução deles com privilégios de root. Para que o exploit funcione, o atacante precisa ter acesso a uma conta com permissões de edição de interface, daí a necessidade de encadear as falhas para um ataque mais poderoso. As falhas XSS refletidas requerem ação do usuário do lado da vítima para funcionar, enquanto a falha de injeção de comando permite que atacantes executem JavaScript malicioso no navegador de um usuário autenticado para obter controle sobre sua sessão pfSense. Resultados de varredura do Shodan compartilhados pelos pesquisadores, mostram que, das 1.569 instâncias do pfSense expostas na internet, 42 usam o pfSense Plus 23.09 e outras 77 executam o pfSense Community Edition 2.7.1. Isso deixa 1.450 instâncias (92,4%), que são diretamente descobertas pelo Shodan, vulneráveis às falhas mencionadas. Um atacante com acesso ao pfSense operando com privilégios de alto nível pode facilmente causar violações de dados, acessar recursos internos sensíveis e mover-se lateralmente dentro da rede comprometida.

:arrow_right: Vulnerabilidade de RCE ameaça versões do Apache Struts 2. A Apache emitiu um aviso de segurança sobre uma falha crítica no framework de aplicação web de código aberto Struts 2, que pode resultar em execução remota de código (RCE). Identificada como CVE-2023-50164, a vulnerabilidade está relacionada a uma lógica de upload de arquivos falha, permitindo a transversal de caminho não autorizada e a possibilidade de upload de um arquivo malicioso para execução de código arbitrário. O Struts é um framework Java que utiliza a arquitetura Model-View-Controller (MVC) para a construção de aplicações web orientadas a empresas. Correções para o bug estão disponíveis nas versões 2.5.33 e 6.3.0.2 ou superiores. Não existem soluções alternativas que remediem completamente o problema. “Todos os desenvolvedores são fortemente aconselhados a realizar esta atualização”, disseram os mantenedores do projeto em um comunicado na semana passada. Embora não haja evidências de que a vulnerabilidade esteja sendo explorada maliciosamente em ataques reais, uma falha de segurança anterior no software (CVE-2017-5638, pontuação CVSS: 10.0) foi usada por atores de ameaças para violar a agência de relatórios de crédito ao consumidor Equifax em 2017.

:arrow_right: Grupo Lazarus utiliza exploits Log4j para lançar novos RATs em campanha global. O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, foi identificado em uma nova campanha global que explora vulnerabilidades de segurança no Log4j para implantar RATs (Remote Access Trojans) anteriormente não documentados em hosts comprometidos. A Cisco Talos está rastreando a atividade sob o nome de Operation Blacksmith, observando o uso de três famílias de malware baseadas em DLang, incluindo um RAT chamado NineRAT que utiliza o Telegram para comando e controle (C2), DLRAT e um downloader chamado BottomLoader. As cadeias de ataque envolvem a exploração da CVE-2021-44228 (também conhecida como Log4Shell) contra servidores VMWare Horizon acessíveis publicamente para entregar o NineRAT. Setores proeminentes visados incluem manufatura, agricultura e segurança física. O abuso do Log4Shell não é surpreendente, considerando que 2,8% das aplicações ainda estão usando versões vulneráveis da biblioteca (de 2.0-beta9 a 2.15.0) após dois anos de divulgação pública, de acordo com a Veracode, com outros 3,8% usando o Log4j 2.17.0, que, embora não seja vulnerável à CVE-2021-44228, é suscetível à CVE-2021-44832. O malware atua como o principal meio de interação com o endpoint infectado, permitindo que os atacantes enviem comandos para coletar informações do sistema, fazer upload de arquivos de interesse, baixar arquivos adicionais e até mesmo desinstalar e atualizar a si mesmo. “Uma vez ativado, o NineRAT aceita comandos preliminares do canal C2 baseado no Telegram, para novamente identificar os sistemas infectados”, observaram os pesquisadores. “A reidentificação de sistemas infectados indica que os dados coletados pelo Lazarus por meio do NineRAT podem ser compartilhados por outros grupos APT e essencialmente residem em um repositório diferente dos dados de identificação coletados inicialmente pelo Lazarus durante sua fase de acesso inicial e implantação de implantes.”

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/