search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
8 stars 0 forks source link

Boletim Diário: 28/04/2024 #396

Closed github-actions[bot] closed 5 months ago

github-actions[bot] commented 5 months ago

:point_down:

github-actions[bot] commented 5 months ago

Boletim de Segurança

:arrow_right: Vulnerabilidades Zero Day em dispositivos cisco facilitam ataques. Um grupo de hackers chamado ArcaneDoor tem explorado duas vulnerabilidades zero-day nos dispositivos Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD) para invadir redes governamentais em todo o mundo. A Cisco detectou essa atividade em novembro de 2023 e encontrou evidências de que os hackers vinham desenvolvendo e testando explorações para as duas falhas desde julho de 2023. Essas vulnerabilidades, identificadas como CVE-2024-20353 e CVE-2024-20359, permitiam que os atacantes instalassem malwares para manter acesso persistente em dispositivos ASA e FTD comprometidos. Uma dessas ferramentas maliciosas, chamada Line Dancer, carrega shellcodes na memória para executar payloads arbitrários e desativar registros, enquanto o Line Runner, um backdoor persistente, permite que os atacantes executem código Lua nos dispositivos hackeados. A Cisco recomendou que todos os clientes atualizem seus dispositivos para versões corrigidas e monitorem logs do sistema para sinais de atividades suspeitas, como reinicializações não agendadas ou mudanças não autorizadas nas configurações. Além disso, a Cisco sugeriu que os administradores implementem multi-fator de autenticação (MFA) e registrem logs em um local central e seguro. Este incidente ressalta a importância de manter sistemas atualizados e fortalecer a segurança para prevenir ataques que exploram vulnerabilidades zero day. As autoridades também alertam para um aumento nos ataques de força bruta contra serviços VPN e SSH em dispositivos Cisco e outros fabricantes.

:arrow_right: Google adia fim de cookies de terceiros em meio a preocupações regulatórias. O Google adiou novamente seus planos de eliminar cookies de rastreamento de terceiros em seu navegador Chrome para lidar com preocupações de concorrência do Reino Unido relacionadas à sua iniciativa Privacy Sandbox. A empresa está colaborando com a Autoridade de Concorrência e Mercados do Reino Unido (CMA) para alcançar um acordo até o final do ano, visando resolver questões de competição decorrentes do uso de cookies de terceiros. Este adiamento marca a terceira extensão do prazo desde que o Google anunciou a mudança em 2020. A empresa planejava eliminar cookies de terceiros no início de 2022, mas adiou para o final de 2023, depois para a segunda metade de 2024, e agora para o início do próximo ano. O Privacy Sandbox é um conjunto de iniciativas que busca oferecer alternativas para rastreamento de usuários sem prejudicar a privacidade, permitindo anúncios personalizados sem o uso de cookies de terceiros. O adiamento também reflete a preocupação da CMA e do Escritório do Comissário de Informação (ICO) do Reino Unido com o impacto que a iniciativa Privacy Sandbox pode ter na concorrência justa e na privacidade dos consumidores. Um relatório preliminar do ICO revelou que as soluções propostas pelo Google podem ter falhas que permitiriam a identificação de usuários, contrariando o objetivo do Privacy Sandbox de proteger a privacidade e o anonimato dos usuários. Para garantir a segurança e privacidade dos usuários, o Google aconselha os administradores do Chrome a aplicar patches de segurança, monitorar logs do sistema e usar autenticação multifator para proteger contra atividades suspeitas. O Google também lançou uma atualização para o Google Meet para permitir a participação de usuários externos, mesmo que eles não tenham uma conta do Google.

:arrow_right: Falhas críticas no MySQL2 permitem execução remota de código. Três vulnerabilidades críticas foram identificadas na popular biblioteca MySQL2 para Node.js, expondo os sistemas a riscos de execução remota de código, injeção arbitrária de código e poluição de protótipos. As falhas foram designadas como CVE-2024-21508, CVE-2024-21509 e CVE-2024-21511, com severidades variando de 6.5 (média) a 9.8 (crítica). As vulnerabilidades permitem que invasores enviem comandos maliciosos para servidores de banco de dados MySQL2 através de argumentos não validados corretamente na função de conexão do banco de dados. Por exemplo, a CVE-2024-21508 e a CVE-2024-21511 estão relacionadas à passagem de objetos em vez de strings, permitindo injeção de código arbitrário ou execução de código remoto. A CVE-2024-21509 pode resultar em poluição de protótipos devido ao uso indevido de um protótipo global como mapa durante o processamento das respostas do banco de dados. Essas vulnerabilidades colocam em risco milhões de usuários, uma vez que a biblioteca MySQL2 tem mais de 2 milhões de instalações por semana. Elas podem permitir que atacantes ganhem controle sobre servidores, executem código arbitrário e manipulem informações sensíveis. A versão mais recente, 3.6.7, resolve uma das vulnerabilidades, mas as outras duas permanecem sem correção. Recomenda-se aos usuários atualizarem para a versão 3.6.7 para mitigar riscos de ataques como cache poisoning. No entanto, o desenvolvedor da biblioteca foi criticado por não cooperar adequadamente com os pesquisadores para resolver todas as falhas antes da divulgação pública das vulnerabilidades.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/