Boletim Diário: 17/01/2023

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Ransomware Cuba explora vulnerabilidade SSRF da Microsoft. Pesquisadores relataram no mês passado que os operadores do ransomware Cuba estavam usando o utilitário de carregamento BURNTCIGAR para instalar um driver malicioso assinado usando o certificado da Microsoft. Agora, a Microsoft revelou que o grupo está visando servidores Exchange vulneráveis para uma vulnerabilidade crítica de falsificação de solicitação no lado do servidor (SSRF), também conhecida como OWASSRF. Relatórios recentes da Microsoft e de outras agências sugerem que o grupo de ransomware de Cuba está expandindo ativamente seu escopo, adotando novas táticas de ataque rapidamente. Recentemente, os operadores do Cuba começaram a explorar o dia zero OWASSRF (CVE-2022-41080) para comprometer servidores Microsoft Exchange vulneráveis. A Microsoft lançou atualizações de segurança para corrigir esse bug em novembro de 2022 e forneceu a seus clientes informações sobre proteção contra esse método de ataque. A CISA adicionou esse bug ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas e ordenou que as agências do Poder Executivo Civil Federal (FCEB) corrigissem seus sistemas contra esse bug até 31 de janeiro.

:arrow_right: Cisco emite aviso para vulnerabilidades não corrigidas em roteadores empresariais. A Cisco alertou sobre duas vulnerabilidades de segurança que afetam roteadores RV016, RV042, RV042G e RV082 para pequenas empresas, segundo ela, não serão corrigidas, mesmo reconhecendo a disponibilidade pública de prova de conceito (PoC) explorar. Os problemas estão enraizados na interface de gerenciamento web do roteador, permitindo que um adversário remoto evite a autenticação ou execute comandos maliciosos no sistema operacional subjacente. O mais grave dos dois é o CVE-2023-20025, que é o resultado da validação inadequada da entrada do usuário nos pacotes HTTP recebidos. Um agente de ameaça pode explorá-lo remotamente enviando uma solicitação HTTP especialmente criada para a interface de gerenciamento Web de roteadores vulneráveis para ignorar a autenticação e obter permissões elevadas. “A Cisco não lançou e não lançará atualizações de software para lidar com as vulnerabilidades”, disse a empresa. “Roteadores Cisco Small Business RV016, RV042, RV042G e RV082 entraram no processo de fim de vida.” Como solução alternativa, recomenda-se que os administradores desabilitem o gerenciamento remoto e bloqueiem o acesso às portas 443 e 60443.

:arrow_right: CISA adverte sobre falhas que afetam os sistemas de controle industrial. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), divulgou vários avisos de Sistemas de Controle Industrial (ICS) alertando sobre falhas críticas de segurança que afetam produtos da Sewio, InHand Networks, Sauter Controls e Siemens. A mais grave das falhas está relacionada ao RTLS Studio da Sewio, que pode ser explorado por um invasor para “obter acesso não autorizado ao servidor, alterar informações, criar uma condição de negação de serviço, obter privilégios escalonados e executar código arbitrário”, de acordo com CISA. Isso inclui a CVE-2022-45444, um caso de senhas codificadas para usuários selecionados no banco de dados do aplicativo que potencialmente concede acesso irrestrito a adversários remotos. As vulnerabilidades afetam o RTLS Studio versão 2.0.0 até a versão 2.6.2 inclusive. Recomenda-se que os usuários atualizem para a versão 3.0.0 ou posterior. A CISA, em um segundo alerta , destacou um conjunto de cinco defeitos de segurança no InHand Networks InRouter 302 e InRouter 615, incluindo CVE-2023-22600, que podem levar à injeção de comandos, divulgação de informações e execução de código.  

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/