Boletim Diário: 19/09/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Red Hat OpenShift Enfrenta Vulnerabilidades Críticas de Execução Remota de Código. O Red Hat OpenShift, a principal plataforma de nuvem híbrida do mercado, conhecida por suas avançadas funcionalidades de segurança e confiada por mais de 3.000 clientes, incluindo uma parte significativa das empresas da Global Fortune 500, enfrenta agora duas vulnerabilidades críticas que podem impactar seriamente sua postura de segurança. As falhas, identificadas como CVE-2024-45496 e CVE-2024-7387, afetam o processo de build da OpenShift Container Platform, permitindo que atacantes executem comandos arbitrários e, possivelmente, escalem privilégios em nós comprometidos. A primeira vulnerabilidade, com uma pontuação CVSS de 9.9, CVE-2024-45496, é uma falha grave no processo de build do OpenShift. O problema ocorre devido ao uso inadequado de privilégios elevados durante a inicialização do build, em que o contêiner “git-clone” é executado com um contexto de segurança privilegiado. Isso permite que atacantes com acesso ao nível de desenvolvedor injetem código malicioso por meio de um arquivo .gitconfig manipulado, resultando na execução de comandos arbitrários no nó de trabalho. A segunda vulnerabilidade, CVE-2024-7387, com uma pontuação CVSS de 9.1, representa outro risco sério para os ambientes OpenShift. Essa falha permite injeção de comandos por meio de um path traversal, explorando o atributo spec.source.secrets.secret.destinationDir na definição do BuildConfig. Usuários maliciosos podem sobrescrever arquivos executáveis dentro do contêiner de build privilegiado, levando à execução de comandos arbitrários no nó que hospeda o contêiner. A Red Hat planeja lançar patches para corrigir ambas as vulnerabilidades. Além de aplicar as atualizações, a empresa recomenda que os administradores de cluster restrinjam o uso das estratégias de build afetadas (“Docker” e “Source”) a usuários altamente confiáveis até que os patches sejam implantados.

:arrow_right: Botnet Raptor Compromete Mais de 200 Mil Dispositivos IoT no Mundo Todo. Pesquisadores de cibersegurança descobriram uma nova botnet, chamada “Raptor Train,” que comprometeu mais de 200 mil dispositivos IoT (Internet das Coisas) e equipamentos de escritórios domésticos em 197 países. Acredita-se que o ataque esteja ligado a um grupo de hackers de origem chinesa, conhecido como “Flax Typhoon” (também referido como Ethereal Panda ou RedJuliett). A botnet tem como alvo uma ampla gama de dispositivos, incluindo roteadores, câmeras IP, gravadores de vídeo digital (DVRs) e servidores de armazenamento em rede (NAS) de fabricantes como TP-LINK, ASUS, Hikvision e Synology. Operacional desde, pelo menos, maio de 2020, a Raptor Train atingiu um pico de 60 mil dispositivos infectados em junho de 2023. Desde então, ela continuou a crescer e, até o momento, já comprometeu centenas de milhares de dispositivos em todo o mundo. A arquitetura da botnet é composta por três camadas: a primeira (Tier 1) consiste nos dispositivos comprometidos; a segunda (Tier 2) inclui servidores de controle e servidores de comando e controle (C2); e a terceira (Tier 3) contém os nós de gerenciamento centralizados, também chamados de “Sparrow,” que operam como a interface de controle da botnet. Os dispositivos comprometidos são amplamente distribuídos em países como EUA, Taiwan, Brasil, Rússia e Turquia. Cada dispositivo infectado tem uma vida útil média de 17,44 dias, o que sugere que os operadores da botnet têm a capacidade de reinfectar dispositivos rapidamente. Curiosamente, os operadores da Raptor Train não implementaram mecanismos de persistência em seus ataques. Em vez disso, eles confiam em sua capacidade de explorar continuamente um vasto número de dispositivos vulneráveis disponíveis na internet. O alvo principal do grupo inclui setores críticos como militar, governo, telecomunicações e empresas de tecnologia. Além disso, a botnet foi utilizada para explorar servidores Atlassian Confluence e dispositivos Ivanti Connect Secure (ICS), reforçando a possibilidade de seu uso em operações de reconhecimento e exploração em larga escala.

:arrow_right: Atualização do VMware vCenter Server Corrige Falha Grave de Segurança. A Broadcom divulgou uma atualização de segurança que corrige uma vulnerabilidade crítica no VMware vCenter Server, que poderia permitir a execução remota de código em sistemas afetados. Identificada como CVE-2024-38812 e com uma pontuação CVSS de 9.8, a falha reside em um problema de heap overflow no protocolo DCE/RPC. Especialistas em segurança alertam que, se explorada com sucesso, a vulnerabilidade poderia permitir que um atacante enviasse um pacote de rede especialmente elaborado para ganhar acesso remoto ao vCenter Server. Isso pode resultar em um comprometimento completo do sistema e controle total do servidor vulnerável. A Broadcom comparou essa falha a outras duas vulnerabilidades de execução remota de código (CVE-2024-37079 e CVE-2024-37080) corrigidas em junho de 2024. Além da CVE-2024-38812, a empresa também abordou um problema de escalonamento de privilégios (CVE-2024-38813, pontuação CVSS: 7.5) que permite que atacantes com acesso à rede do vCenter obtenham privilégios de root. Ambas as vulnerabilidades foram descobertas por pesquisadores da equipe TZL durante a competição Matrix Cup realizada na China em junho de 2024. Embora não haja, até o momento, relatos de exploração ativa dessas vulnerabilidades, a Broadcom recomenda fortemente que os usuários atualizem seus sistemas imediatamente para prevenir possíveis ataques futuros. “Estas vulnerabilidades resultam de problemas de gerenciamento de memória, que podem ser usados para execução remota de código nos serviços do VMware vCenter”, afirmou a empresa.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/