Closed github-actions[bot] closed 2 weeks ago
:arrow_right: Ferramenta da Palo Alto Networks apresenta falha crítica explorada ativamente. A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica que afeta a ferramenta de migração Expedition da Palo Alto Networks. A falha, agora corrigida, foi adicionada ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) da CISA, com base em evidências de que está sendo explorada ativamente. Catalogada como CVE-2024-5910 e com pontuação CVSS de 9,3, a vulnerabilidade permite que um invasor, com acesso à rede, tome controle de uma conta de administrador do Expedition. Segundo a CISA, o problema decorre da ausência de autenticação na ferramenta Expedition, o que possibilita que invasores acessem contas administrativas e, potencialmente, obtenham segredos de configuração, credenciais e outros dados sensíveis. Todas as versões do Expedition anteriores à 1.2.92, lançada em julho de 2024, são afetadas pela falha. Embora ainda não haja detalhes sobre o uso específico dessa vulnerabilidade em ataques reais, a Palo Alto Networks revisou seu comunicado original, confirmando estar ciente das evidências apresentadas pela CISA sobre a exploração ativa do problema. A adição dessa vulnerabilidade ao catálogo KEV reflete a urgência em corrigir sistemas afetados para evitar comprometimentos.
:arrow_right: Vulnerabilidade crítica ameaça mais de 61.000 dispositivos D-Link. Identificada como CVE-2024-10914, a falha crítica foi descoberta em dispositivos de armazenamento NAS da D-Link, ameaçando mais de 61.000 sistemas ao redor do mundo. Esse problema, classificado como uma falha de injeção de comando, afeta o script account_mgr.cgi desses dispositivos e permite que atacantes remotos não autenticados executem comandos arbitrários, bastando que enviem requisições HTTP GET manipuladas. Com uma pontuação CVSSv4 de 9,2, essa vulnerabilidade é considerada de alta severidade e afeta alguns dos modelos de NAS mais utilizados, como DNS-320, DNS-320LW, DNS-325 e DNS-340L. A falha está especificamente no parâmetro name do comando cgi_user_add dentro do script account_mgr.cgi. A falta de uma sanitização adequada das entradas permite que comandos maliciosos sejam injetados nesse parâmetro, possibilitando que um invasor execute instruções arbitrárias sem qualquer autenticação. Entre os modelos vulneráveis estão o DNS-320 (versão 1.00), DNS-320LW (versão 1.01.0914.2012), DNS-325 (versões 1.01 e 1.02) e DNS-340L (versão 1.08), dispositivos comumente utilizados para armazenamento de dados pessoais e em pequenas empresas. Isso significa que informações sensíveis, incluindo arquivos de negócios, podem estar em risco caso a vulnerabilidade seja explorada. A exploração dessa falha pode ser realizada enviando uma requisição HTTP GET formatada para o endereço IP do dispositivo NAS. Um exemplo de exploit possível utiliza o comando curl, que permite injetar um comando de shell no parâmetro name, desencadeando a execução não intencional desse comando no sistema afetado.
:arrow_right: Malware AndroxGh0st se une ao Mozi para atacar dispositivos IoT. O malware AndroxGh0st, que agora integra funcionalidades do botnet Mozi, está ampliando sua atuação ao explorar um conjunto mais amplo de falhas de segurança em aplicações conectadas à internet, com foco especial em dispositivos IoT e serviços em nuvem. De acordo com os pesquisadores, o botnet utiliza métodos de execução remota de código e roubo de credenciais para manter acesso persistente, aproveitando vulnerabilidades não corrigidas para infiltrar infraestruturas críticas. Desenvolvido em Python, o AndroxGh0st é conhecido por direcionar ataques a aplicativos Laravel, com o objetivo de acessar dados sensíveis de serviços como Amazon Web Services (AWS), SendGrid e Twilio. Em atividade desde 2022, o malware já explorou falhas em servidores Apache (CVE-2021-41773), no framework Laravel (CVE-2018-15133) e no PHPUnit (CVE-2017-9841) para obter acesso inicial, escalar privilégios e estabelecer controle persistente em sistemas comprometidos. Além disso, o AndroxGh0st executa tentativas de login nos sistemas alvo utilizando nomes de usuários administrativos comuns e senhas com padrões previsíveis. Uma vez autenticado, o malware obtém acesso aos controles e configurações de sites WordPress, direcionando o usuário para o painel /wp-admin/. Embora os autores do Mozi tenham sido presos pelas autoridades chinesas em setembro de 2021, uma redução significativa na atividade do botnet só foi observada em agosto de 2023, quando um comando de desligamento foi emitido para desativá-lo. A integração do Mozi com o AndroxGh0st sugere uma possível aliança operacional, permitindo que o AndroxGh0st se propague para mais dispositivos com o apoio das rotinas de infecção do Mozi.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: