github-actions[bot]
commented
9 months ago Boletim de Segurança
:arrow_right: Sophos atualiza firewalls EOL contra explorações ativas. A Sophos, tomou a medida proativa de implementar um patch retroativo para a vulnerabilidade crítica de injeção de código CVE-2022-3236. Esta ação foi necessária devido à exploração ativa da falha por diversos atores de ameaças. Em dezembro de 2022, a Sophos lançou patches de segurança para corrigir sete vulnerabilidades no Sophos Firewall versão 19.5, incluindo bugs que permitiam a execução arbitrária de código. A falha CVE-2022-3236, a mais grave entre elas, foi descoberta na User Portal e Webadmin, permitindo execução remota de código. Embora a vulnerabilidade tenha sido originalmente corrigida em setembro de 2022, a Sophos identificou novas tentativas de exploração contra essa mesma vulnerabilidade em versões mais antigas e não suportadas do Sophos Firewall. Em resposta, a empresa desenvolveu e distribuiu um patch atualizado para essas versões end-of-life (EOL) do firmware. A Sophos informou que 99% das organizações afetadas que têm a opção “aceitar hotfix” ativada receberam o patch automaticamente. No entanto, organizações que atualizaram seus firewalls para uma versão de firmware suportada após setembro de 2022 não precisam tomar nenhuma ação adicional. A Sophos enfatiza a importância de atualizar dispositivos e firmwares EOL para as versões mais recentes, já que atacantes frequentemente visam esses dispositivos desatualizados.
:arrow_right: Ucrânia intensifica ataques cibernéticos contra infraestrutura estatal Russa. A diretoria de inteligência de defesa da Ucrânia (GUR) anunciou que infectou milhares de servidores pertencentes ao serviço de impostos do estado russo com malware, resultando na destruição de bancos de dados e backups. Durante a operação, os espiões militares ucranianos afirmaram ter invadido um dos “principais servidores centrais bem protegidos” do serviço federal de impostos da Rússia (FNS), além de mais de 2.300 servidores regionais em toda a Rússia e na Crimeia ocupada. O ataque também afetou uma empresa de tecnologia russa que opera o banco de dados do FNS. De acordo com a declaração publicada pela GUR na terça-feira, o ataque levou à “destruição completa” da infraestrutura da agência. A GUR alegou ter destruído arquivos de configuração “que por anos garantiram o funcionamento do sistema tributário da Rússia”. A conexão de internet entre o escritório central do FNS em Moscou e milhares de seus escritórios regionais também está “paralisada”, segundo a GUR. Esta é a segunda operação em uma agência estatal russa pela qual a GUR assumiu responsabilidade. Em novembro, a agência reconheceu que estava por trás de “uma operação cibernética bem-sucedida” contra a agência de aviação civil do governo russo, também conhecida como Rosaviatsia. Até recentemente, apenas grupos de hackers pró-Ucrânia e hacktivistas reivindicaram publicamente tais ataques, incluindo aqueles direcionados a companhias aéreas, bancos e provedores de internet russos.
:arrow_right: Microsoft identifica uso malicioso de OAuth em ataques recentes. A Microsoft emitiu um alerta sobre adversários que estão utilizando aplicações OAuth como uma ferramenta de automação para implantar máquinas virtuais (VMs) para mineração de criptomoedas e lançar ataques de phishing. A equipe de Inteligência de Ameaças da Microsoft detalhou que os atores de ameaças comprometem contas de usuários para criar, modificar e conceder altos privilégios a aplicações OAuth, que podem ser mal utilizadas para ocultar atividades maliciosas. OAuth, abreviação de Open Authorization, é um framework de autorização e delegação que permite que aplicações acessem informações de outros sites de forma segura, sem compartilhar senhas. Nos ataques descritos pela Microsoft, os atores de ameaças lançaram ataques de phishing ou pulverização de senhas contra contas mal protegidas com permissões para criar ou modificar aplicações OAuth. Um desses adversários, identificado como Storm-1283, usou uma conta de usuário comprometida para criar uma aplicação OAuth e implantar VMs para mineração de criptomoedas. Além disso, os atacantes modificaram aplicações OAuth existentes às quais a conta tinha acesso, adicionando um conjunto extra de credenciais para facilitar os mesmos objetivos. Em outro caso, um ator não identificado comprometeu contas de usuários e criou aplicações OAuth para manter a persistência e lançar ataques de phishing por e-mail, utilizando um kit de phishing “adversário-no-meio” (AiTM) para roubar cookies de sessão e contornar medidas de autenticação. Outros cenários detectados pela Microsoft após o roubo de cookies de sessão envolvem a criação de aplicações OAuth para distribuir e-mails de phishing e realizar atividades de spam em larga escala. A Microsoft está rastreando este último caso como Storm-1286.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: