0
0
CISA adicona 95 novas vulnerabilidades ao Known Exploited Vulnerabilities Catalog. Este catálogo fornece às agências do Federal Civilian Executive Branch (FCEB) uma lista de vulnerabilidades que são conhecidas por serem exploradas em estado selvagem e fornece às agências uma data de vencimento quando a vulnerabilidade precisa ser corrigida em sua organização.
Mas mesmo que sua organização não seja uma agência do FCEB que precise seguir a Diretiva de Operações Vinculantes 22-01 , ou queira se manter atualizado com as recomendações de uma das agênicas mais respeitadas mundialmente, a lista CISA pode funcionar como um bom guia para sua estratégia de gerenciamento de patches.
95 novos?
O CISA normalmente envia um e-mail a cada poucos dias detalhando algumas vulnerabilidades importantes adicionadas ao Catálogo. No entanto, no início do mês ela não enumerou a lista, em vez disso, apenas enviou um link para o Catálogo por e-mail e incluiu instruções sobre como encontrar as vulnerabilidades adicionadas mais recentemente. Se você está procurando por si mesmo, você precisa clicar na seta na coluna “Data adicionada ao catálogo”, que irá classificar por datas decrescentes.
Não é tão novo
A primeira coisa que chama a atenção é que essas vulnerabilidades não eram muito novas. A vulnerabilidade mais antiga dessa lista é a CVE – 2002-0367 , uma vulnerabilidade de quase 20 anos no Windows NT e Windows 2000. Na verdade, apenas 5 vulnerabilidades foram corrigidas em 2022. Todas elas aplicadas ao Small Business RV160, RV260, RV340, da Cisco. e roteadores da série RV345 a propósito.
Isso leva à próxima coisa que é notável. 38 das 95 vulnerabilidades adicionadas são para produtos Cisco . Outros produtos incluem os da Microsoft (27), Adobe (16) e Oracle(7).
Das vulnerabilidades da Adobe, nove foram encontradas no Flash Player. O Adobe Flash Player chegou ao fim da vida útil (EOL) em 31 de dezembro de 2020, após ser anunciado pela primeira vez em 2017. Como a Adobe não suporta mais o Flash Player, em 12 de janeiro de 2021, a empresa começou a bloquear a execução do conteúdo Flash. Na verdade, a Adobe recomenda fortemente que todos os usuários desinstalem imediatamente o Flash Player para ajudar a proteger seus sistemas.
Razões possíveis
Ponderando o motivo da CISA adicionar repentinamente 95 vulnerabilidades à sua lista, Pieter Arntz, do site Malwarebytes, criou as seguintes opções:
- De repente, tomou conhecimento de várias vulnerabilidades antigas que, no entanto, ainda estavam sendo exploradas.
- De repente, decidiu listar vulnerabilidades em softwares que atingiram o EOL há muito tempo, mas ainda podem ser muito usados.
- A natureza das vulnerabilidades exploradas ativamente mudou.
Alguns exemplos
Pessoalmente, Arntz suspeita que a natureza das vulnerabilidades exploradas ativamente mudou. No ano passado, você normalmente veriamos vulnerabilidades exploradas que permitiriam a um invasor violar uma rede ou comprometer um sistema para ganhar uma posição. Isso permite que os invasores extraiam dados, plantem ransomware e outras atividades criminosas que possam levar a ganhos financeiros.
No entanto, olhando para algumas das vulnerabilidades que foram incluídas nesta lista de 95, Arntz notou que muitas podem levar a ataques de negação de serviço (DoS).
Exemplos:
- Uma vulnerabilidade nas versões Siemens SIMATIC CP 1543-1 anteriores a 2.0.28 permite que usuários autenticados remotamente causem negação de serviço modificando variáveis SNMP.
- Várias vulnerabilidades da Cisco nesta lista que podem resultar em uma condição DoS ou fazer com que um sistema afetado seja recarregado.
Outras vulnerabilidades podem permitir que invasores executem códigos arbitrários ou causem uma negação de serviço. Por exemplo, uma vulnerabilidade do PowerPoint que existe desde 2015 e foi usada pela equipe russa patrocinada pelo estado APT28 (também conhecida como Fancy Bear) em 2018.
Algumas vulnerabilidades do Flash Player foram encontradas para serem usadas em ataques direcionados. O suspeito neste caso era o APT37, também conhecido como o grupo norte-coreano “Lazarus”.
Uma vulnerabilidade em versões mais antigas do Windows (Microsoft Windows Vista SP2, Windows Server 2008 SP2 e R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold e R2 e Windows RT Gold e 8.1) permitiria que invasores remotos executassem código arbitrário por meio de um objeto OLE criado em um documento do Office. O uso deste exploit foi atribuído à operação russa “SANDWORM”.
Arntz também encontrou uma vulnerabilidade de Elevação de Privilégio (EoP) em um Windows Installer na lista CISA que permitiria a um invasor excluir arquivos direcionados em um sistema. No entanto, eles NÃO obteriam privilégios para visualizar ou modificar o conteúdo do arquivo.
Outros itens interessantes da lista são algumas vulnerabilidades de IoT que ganharam fama em 2020 sob o nome Ripple20 . A exploração bem-sucedida dessas vulnerabilidades pode resultar em negação de serviço, divulgação de informações ou execução remota de código.
Então, há uma tendência aqui que mostra vulnerabilidades que antes eram difíceis de explorar para ganho financeiro, mas são perfeitamente utilizáveis para interromper as operações? Será que, sem surpresa, a guerra na Ucrânia mudou a natureza das vulnerabilidades ativamente exploradas?
De acordo com Adam Kujawa, evangelista de segurança e diretor da equipe Threat Intel da Malwarebytes:
“Em 2007, observamos simpatizantes russos on-line utilizando ferramentas de hackers para lançar ataques de interrupção contra redes de notícias e redes governamentais georgianas, para evitar que informações fluíssem para o público enquanto a Rússia tinha tropas chegando. Eventos Similares aconteceram na Estoniasão, e hacker patrocinados pela Rússia são conhecidos por utilizar as redes ucranianas como uma espécie de “playground” para seus ataques, desligando redes elétricas e outras infraestruturas críticas, lançando ataques maciços na cadeia de suprimentos contra eles (como no caso do NotPetya). E esses são apenas alguns dos ataques que conhecemos.
Com isso em mente, acredito que, embora muitas dessas vulnerabilidades sejam inúteis contra invasões e espionagens reais, as explorações desenvolvidas a partir delas serão usadas para interromper e degradar em vez de coletar.
Não tenho certeza de quantos deles foram usados na natureza e, embora seja ótimo ver a CISA ser proativa na divulgação dessas informações, devo me perguntar quanto das informações chegará às redes de proteção na Ucrânia? Será que a CISA acabou de entregar o conhecimento sobre várias explorações disruptivas que funcionarão em sistemas sem patches, para serem usados contra aqueles que não têm o patch de endpoint como sua principal prioridade?”
Mitigação
Dada a natureza variada da lista, o conselho mais correto é ficar de olho no catálogo de vulnerabilidades exploradas conhecidas. Além dos conselhos de segurança habituais , agora parece ser um bom momento para investir em gerenciamento inteligente de patches e abandonar aquele software que atingiu o EOL e não recebe mais atualizações de segurança.
FONTE: MINUTO DA SEGURANÇA