Boletim Diário: 27/10/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Nova vulnerabilidade em VPN da Cisco permite ataques de negação de serviço. A Cisco anunciou o lançamento de atualizações urgentes para corrigir uma vulnerabilidade de segurança em seu software Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), que está sendo explorada ativamente por agentes maliciosos. A falha, identificada como CVE-2024-20481 e com uma pontuação de 5,8 no sistema CVSS, afeta o serviço Remote Access VPN (RAVPN) dessas plataformas, e pode resultar em uma condição de negação de serviço (DoS). Essa vulnerabilidade, causada por exaustão de recursos, pode ser explorada por atacantes remotos e não autenticados, que sobrecarregam o serviço RAVPN enviando um grande número de solicitações de autenticação. Segundo a Cisco, um ataque bem-sucedido pode esgotar os recursos do dispositivo, resultando na interrupção do serviço VPN, e em alguns casos, pode ser necessário reiniciar o dispositivo para restaurar o serviço. Embora não existam soluções alternativas imediatas para essa vulnerabilidade, a Cisco forneceu algumas recomendações para mitigar ataques de password spraying. Entre elas, estão habilitar o registro de eventos, configurar a detecção de ameaças para o serviço VPN, aplicar medidas de fortalecimento, como desabilitar a autenticação AAA, e bloquear manualmente tentativas de conexão de fontes não autorizadas. Essa falha tem sido explorada em ataques maliciosos de grande escala, que envolvem tentativas de força bruta direcionadas a serviços de VPN e SSH. Em abril de 2024, a Cisco Talos relatou um aumento desses ataques, iniciados em março, que focaram em equipamentos de diversas marcas, como Cisco, Check Point, Fortinet, SonicWall, MikroTik, Draytek e Ubiquiti. Os atacantes utilizam nomes de usuário genéricos e válidos de organizações específicas, e esses ataques têm origem em nós de saída da rede TOR, além de outros túneis e proxies anônimos. Com a crescente exploração de vulnerabilidades em dispositivos de rede, especialmente em ataques patrocinados por Estados-nação, a Cisco enfatiza a importância de aplicar as correções mais recentes o mais rápido possível para proteger as infraestruturas afetadas.

:arrow_right: Grupo Lazarus explora falha no Google Chrome para controlar dispositivos infectados. O grupo de cibercriminosos Lazarus, associado à Coreia do Norte, foi vinculado à exploração de uma vulnerabilidade zero-day no Google Chrome, já corrigida, que permitia o controle total de dispositivos infectados. A Kaspersky, empresa de cibersegurança, descobriu uma cadeia de ataques inédita em maio de 2024, que teve como alvo o computador pessoal de um cidadão russo não identificado, infectado com o backdoor Manuscrypt. O ataque foi iniciado ao visitar um site falso de um jogo, “detankzone[.]com”, direcionado a pessoas do setor de criptomoedas. Acredita-se que a campanha tenha começado em fevereiro de 2024. O site parecia ser uma página legítima de um jogo multiplayer online baseado em NFT e finanças descentralizadas (DeFi), chamado de “MOBA Tank Game”, e convidava os usuários a baixarem uma versão de teste. No entanto, a página escondia um script malicioso que, ao ser executado no navegador Google Chrome, explorava uma falha zero day para permitir que os atacantes assumissem o controle total do computador da vítima. A vulnerabilidade explorada foi a CVE-2024-4947, uma falha de confusão de tipos no motor V8 JavaScript e WebAssembly do Chrome, corrigida pela Google em maio de 2024. O uso de um jogo de tanques malicioso para disseminar malware é uma tática semelhante a outra campanha atribuída a um grupo norte-coreano conhecido como Moonstone Sleet. Nesses ataques, as vítimas eram abordadas por e-mail ou plataformas de mensagens, sendo induzidas a instalar o jogo por meio de promessas de investimento ou propostas de desenvolvimento de blockchain. A Kaspersky destacou que a exploração da vulnerabilidade zero day desempenhou um papel central nesses ataques.

:arrow_right: Fortinet emite correção urgente para falha explorada ativamente. A Fortinet confirmou detalhes de uma falha crítica de segurança no FortiManager que está sendo ativamente explorada. A vulnerabilidade, rastreada como CVE-2024-47575 e com uma pontuação CVSS de 9,8, também é conhecida como FortiJump e está enraizada no protocolo FortiGate para FortiManager (FGFM). De acordo com o comunicado da Fortinet, a falha decorre da falta de autenticação para funções críticas, permitindo que um invasor remoto não autenticado execute código ou comandos arbitrários por meio de solicitações especialmente criadas. A vulnerabilidade afeta as versões 7.x e 6.x do FortiManager, bem como as versões Cloud, e também impacta modelos antigos do FortiAnalyzer, como 1000E, 1000F, 2000E e outros, que possuem ao menos uma interface com o serviço FGFM habilitado. A Fortinet ofereceu três soluções temporárias, dependendo da versão instalada do FortiManager: impedir que dispositivos desconhecidos tentem se registrar, adicionar políticas de “allow-list” para autorizar apenas IPs específicos, ou usar um certificado personalizado. Devido à gravidade da vulnerabilidade, a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) adicionou o defeito ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), exigindo que as agências federais apliquem as correções até 13 de novembro de 2024. A Fortinet, em comunicado, afirmou que, ao identificar a vulnerabilidade, prontamente comunicou informações críticas e recursos para seus clientes, seguindo suas melhores práticas de divulgação responsável. A empresa publicou um aviso público correspondente e reiterou as orientações de mitigação, incluindo atualizações de patch e soluções alternativas.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/