search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
8 stars 0 forks source link

Boletim Diário: 24/09/2024 #507

Closed github-actions[bot] closed 1 month ago

github-actions[bot] commented 1 month ago

:point_down:

github-actions[bot] commented 1 month ago

Boletim de Segurança

:arrow_right: Falha Crítica no Safeguard Permite Acesso Administrativo Completo. Pesquisadores divulgaram detalhes técnicos sobre a vulnerabilidade CVE-2024-45488, uma falha crítica de bypass de autenticação que afeta o Safeguard for Privileged Passwords (SPP) da One Identity. Essa falha pode permitir que atacantes obtenham acesso administrativo completo ao appliance virtual, abrindo caminho para a execução de ações como reconfiguração de definições e modificação de políticas para extrair senhas armazenadas. De acordo com os pesquisadores, uma vez que o atacante obtém uma sessão administrativa autenticada, ele tem os mesmos privilégios de um administrador legítimo, podendo realizar qualquer operação, incluindo o download e a descriptografia de backups, caso a configuração padrão de criptografia de backup (que usa uma chave RSA hardcoded) esteja ativada. A falha, conhecida como “Skeleton Cookie”, resulta da presença de uma chave criptográfica embutida nas imagens do appliance virtual do SPP. Com essa chave, um invasor pode forjar cookies de sessão, obtendo acesso não autorizado. A vulnerabilidade afeta apenas as implementações do Safeguard for Privileged Passwords hospedadas em VMware ou HyperV. Implementações físicas, ou em plataformas de nuvem suportadas como Azure, AWS e OCI, não são impactadas. A vulnerabilidade afeta apenas as implementações do Safeguard for Privileged Passwords hospedadas em VMware ou HyperV. Implementações físicas, ou em plataformas de nuvem suportadas como Azure, AWS e OCI, não são impactadas.

:arrow_right: Ataques Com PondRAT Atingem Desenvolvedores Através de Pacotes Python Infectados. Pesquisadores de segurança cibernética detectaram uma nova campanha maliciosa associada à Coreia do Norte, que utiliza pacotes Python adulterados para entregar um malware inédito chamado PondRAT. O malware tem como alvo desenvolvedores de software, aproveitando-se de repositórios populares de código aberto, como o PyPI, para distribuir cargas maliciosas. De acordo com novas descobertas da equipe Unit 42 da Palo Alto Networks, o PondRAT é uma versão mais leve do POOLRAT (também conhecido como SIMPLESEA), um backdoor já conhecido que anteriormente foi atribuído ao infame grupo Lazarus. O POOLRAT já havia sido usado em ataques, incluindo a comprometida cadeia de suprimentos da 3CX no ano passado. As atividades relacionadas ao PondRAT fazem parte de uma campanha persistente de ataques cibernéticos chamada “Operação Dream Job”, onde os atacantes tentam atrair suas vítimas com ofertas de emprego atraentes para enganá-las e fazer com que baixem malware em seus sistemas. Os atacantes carregaram vários pacotes Python envenenados no PyPI, que, quando instalados, desencadeiam a execução do malware. Acredita-se que a operação seja conduzida por um grupo conhecido como Gleaming Pisces, que é rastreado na comunidade de cibersegurança sob diferentes nomes, como Citrine Sleet e Labyrinth Chollima. O PondRAT compartilha muitas semelhanças com o POOLRAT e o AppleJeus, outro malware atribuído ao mesmo grupo. Quando o pacote Python adulterado é baixado e instalado, ele executa uma carga codificada que recupera e instala as versões do RAT (Trojan de Acesso Remoto) tanto para Linux quanto para macOS a partir de um servidor remoto.

:arrow_right: CISA alerta para a exploração ativa de falhas antigas no Adobe Flash Player. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta sobre quatro vulnerabilidades críticas no Adobe Flash Player que continuam sendo exploradas ativamente, apesar do software ter sido descontinuado em dezembro de 2020. As falhas, algumas descobertas há mais de uma década, foram adicionadas ao catálogo de Vulnerabilidades Conhecidas Exploited (KEV) da CISA, destacando a persistente ameaça que softwares obsoletos ainda representam para a segurança cibernética. O Adobe Flash Player, que já foi essencial para conteúdos interativos na web, ficou famoso pelos inúmeros problemas de segurança, incluindo ataques de dia zero e downloads maliciosos automáticos. Mesmo após a descontinuação do Flash, a exploração de falhas antigas destaca o perigo de softwares desatualizados. Hackers frequentemente visam sistemas legados, cientes de que muitos ainda podem ter vulnerabilidades não corrigidas, facilitando o acesso a redes e dados sensíveis. A CISA está pedindo a todas as agências federais que eliminem completamente o uso do Adobe Flash Player de suas redes até 8 de outubro de 2024. Esta medida é considerada essencial para mitigar riscos que poderiam comprometer dados governamentais e afetar operações críticas. Desde que a Adobe descontinuou o Flash Player, navegadores populares cessaram o suporte ao software. Embora tenha sido crucial para o desenvolvimento da internet, o Flash se tornou obsoleto devido aos seus riscos de segurança.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/