Boletim Diário: 13/10/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Grupo russo APT29 é acusado de ataques a setores diplomáticos e financeiros. A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu um alerta sobre atividades maliciosas de hackers que estão explorando uma vulnerabilidade no sistema F5 BIG-IP, usado por muitas empresas para gerenciar o tráfego de suas redes. Os invasores estão aproveitando o fato de que certos “cookies” gerados por esse sistema não são criptografados, o que permite que eles obtenham informações importantes sobre a rede e identifiquem outros dispositivos conectados. Cookies são pequenos arquivos de dados que os sites e sistemas armazenam nos navegadores ou dispositivos dos usuários para facilitar o uso e manter informações temporárias. No caso do F5 BIG-IP, esses cookies ajudam no gerenciamento do tráfego de rede, mas quando não estão devidamente protegidos (criptografados), eles podem ser usados por hackers para mapear o ambiente interno da rede, encontrando outros dispositivos que não estão conectados diretamente à internet, mas que podem ser vulneráveis. O F5 BIG-IP é uma tecnologia muito importante para empresas, pois atua como um “gerenciador de tráfego”. Ele ajuda a controlar o fluxo de dados que entra e sai das redes das organizações, garantindo que os sites e serviços online funcionem de forma eficiente. Basicamente, é um sistema que otimiza o desempenho de servidores e aplicações, além de ajudar na segurança de toda a rede. No entanto, quando existem falhas no sistema, como a ausência de criptografia adequada, essas brechas podem ser exploradas por atacantes. A CISA recomendou que as empresas corrijam essa vulnerabilidade ativando a criptografia dos cookies no F5 BIG-IP. Além disso, sugeriu o uso de uma ferramenta chamada BIG-IP iHealth, fornecida pela própria F5, para que as empresas possam verificar se há outros problemas nos seus sistemas.

:arrow_right: Campanha de phishing usa GitHub e QR codes para burlar defesas. Uma nova campanha de malware, está sendo utilizada para atacar os setores de seguros e finanças, aproveitando links do GitHub em e-mails de phishing para burlar medidas de segurança e entregar o malware Remcos RAT. Esse método de usar links de repositórios confiáveis do GitHub está ganhando popularidade entre os cibercriminosos. Os pesquisadores observaram que os invasores estão utilizando repositórios legítimos, como softwares de contabilidade de código aberto, para disseminar o malware, em vez de criarem repositórios maliciosos próprios. Essa abordagem de usar repositórios confiáveis é uma novidade em comparação às técnicas mais comuns, e permite aos atacantes enviar arquivos perigosos sem levantar suspeitas, já que os links do GitHub são geralmente considerados confiáveis. Um dos métodos usados pelos hackers envolve abrir um “issue” (um tipo de comentário ou relatório) em um repositório conhecido, fazer o upload de um arquivo malicioso, e depois fechar o “issue” sem salvar. Mesmo que o “issue” não seja salvo, o malware permanece acessível por meio de um link, criando uma vulnerabilidade que os invasores exploram para espalhar o software malicioso. Além disso, os hackers têm usado outras táticas para enganar suas vítimas, como códigos QR baseados em ASCII e Unicode, além de URLs do tipo “blob”, que dificultam a detecção de conteúdo malicioso. Esses URLs são usados pelos navegadores para manipular dados binários, como imagens e vídeos, diretamente no navegador, sem necessidade de acessar um servidor externo. Isso oferece mais uma maneira de os cibercriminosos esconderem suas intenções.

:arrow_right: Cibercriminosos exploram falha no Veeam para espalhar ransomware e roubar dados. Uma nova onda de ataques de ransomware está explorando uma vulnerabilidade crítica no software Veeam Backup & Replication, identificada como CVE-2024-40711. De acordo com o alerta divulgado pela Sophos nas últimas semanas, hackers têm usado essa falha, juntamente com credenciais comprometidas, para criar contas não autorizadas e tentar instalar variantes de ransomware, como o Fog e o Akira. Empresas que utilizam o Veeam Backup & Replication devem atualizar seus sistemas e reforçar as defesas de acesso remoto com urgência. A vulnerabilidade CVE-2024-40711, que recebeu uma pontuação CVSS de 9,8, é uma falha de desserialização de dados não confiáveis. Isso significa que os atacantes podem executar código remotamente sem precisar de autenticação, tornando a falha extremamente perigosa. Em vários incidentes documentados pela Sophos, os atacantes usaram a vulnerabilidade CVE-2024-40711 em versões desatualizadas do Veeam Backup & Replication. Em um dos casos, o ransomware Fog foi implantado em um servidor Hyper-V desprotegido. Em outro ataque, ocorrido no mesmo período, os hackers tentaram instalar o ransomware Akira. Essas invasões foram associadas ao uso de gateways VPN comprometidos, que estavam com versões desatualizadas ou sem autenticação multifator (MFA) ativada. Para mitigar os riscos, as empresas que utilizam o Veeam Backup & Replication são fortemente recomendadas a atualizar para a versão 12.2.0.334 ou posterior, garantindo assim proteção completa contra essa vulnerabilidade.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/