0
0
Um novo vetor para explorar uma versão vulnerável do Google SLO Generator foi descoberto, o que facilita a execução remota de código (RCE). Ele permite que um invasor obtenha acesso ao sistema e implante código malicioso como se estivesse vindo de uma fonte confiável dentro da rede.
O Google SLO Generator é uma biblioteca Python amplamente usada por engenheiros que desejam acompanhar o desempenho da API da Web. A ferramenta é usada por milhares de serviços do Google, mas antes de um patch de setembro de 2021, abrigava funções inseguras e exploráveis, potencialmente expondo dados de entrada do usuário.
Michael Assraf, cofundador e CEO da Vicarius, explica que esse caminho para a exploração era anteriormente desconhecido e criou uma nova maneira de explorar versões desatualizadas para obter resultados piores do que a simples divulgação de informações.
Não se sabe quantos dos mais de 167.000 aplicativos que usam essa biblioteca estão executando versões vulneráveis, de acordo com Vicarius, que publicou um relatóriodetalhando o caminho do ataque. Os usuários que atualizaram o código não serão expostos a esse ataque, mas, dito isso, as vulnerabilidades não corrigidas ainda são a maneira mais comum de as empresas serem atacadas com sucesso.
Assraf também levanta a questão de soluções alternativas potencialmente problemáticas à medida que pesquisadores de segurança descobrem novos vetores para explorar instâncias de software vulneráveis. Os desenvolvedores geralmente usam soluções alternativas para se proteger contra explorações conhecidas, em vez de implantar uma atualização/patch sistemático.
“Os desenvolvedores que se enquadram nessa categoria estarão vulneráveis a essa nova exploração – junto com qualquer outra pessoa que ainda não implantou o patch”, diz ele.
Milhões de dispositivos sem patches continuam sendo um problema
Vulnerabilidades acessíveis externamente devem continuar sendo um vetor de ataque favorito para os cibercriminosos no futuro . Um relatório publicado esta semana pela Rezilion descobriu que vulnerabilidades com mais de uma década permanecem sem correção em software e dispositivos conectados à Internet.
O estudo identificou mais de 4,5 milhões de dispositivos voltados para a Internet que permanecem abertos a vulnerabilidades descobertas entre 2010 e 2020. O relatório também identificou tentativas ativas de varredura/exploração na maioria dessas vulnerabilidades.
Yotam Perkal, diretor de pesquisa de vulnerabilidades da Rezilion, diz que há várias razões pelas quais vulnerabilidades não corrigidas são tão comuns.
“Primeiro, muitas organizações com programas de segurança menos maduros nem sequer têm visibilidade das vulnerabilidades que têm em seu ambiente”, diz ele. “Sem as ferramentas adequadas e os processos de gerenciamento de vulnerabilidades, eles estão basicamente cegos para o risco e não podem corrigir o que não conhecem.”
Em segundo lugar, mesmo para organizações com processos de gerenciamento de vulnerabilidades maduros, a aplicação de patches representa um desafio — requer tempo e uma quantidade considerável de esforço e muitas vezes pode levar a problemas imprevistos de compatibilidade de patches.
“Com o aumento constante no número de novas vulnerabilidades descobertas a cada ano, as organizações simplesmente lutam para acompanhar”, explica ele.
Vulnerabilidades não corrigidas um problema de segurança superior
Assraf chama as vulnerabilidades não corrigidas de um dos problemas de segurança mais significativos, predominantes e corrigíveis em todos os setores – e por vários motivos.
“Esse problema transcende o tamanho da indústria e da empresa, embora as grandes empresas sejam normalmente mais suscetíveis devido ao grande volume de sistemas e usuários instalados”, acrescenta.
Ele aponta que também há novas vulnerabilidades surgindo diariamente, então gerenciar “zero vulnerabilidades” é um sonho.
Além disso, atualizações em grande escala também ocasionalmente quebram as coisas e criam consequências imprevistas e problemas de compatibilidade, deixando muitos com uma postura de “Se não está quebrado, não conserte”.
“O problema é que ela está quebrada, você não vê a rachadura na armadura até que seja violada”, adverte Assraf. “Outros problemas comuns estão relacionados à visibilidade, sombra de TI e equipes distribuídas que levam a complicações de propriedade.”
Do ponto de vista dele, a visibilidade é o primeiro passo para controlar as vulnerabilidades e os patches, pois você não pode consertar o que não sabe que está quebrado.
“Ter um inventário de ativos preciso e continuamente atualizado de todos os ativos e dispositivos em seu ambiente é um primeiro passo crítico”, explica ele.
Em seguida é saber priorizar as atualizações disponíveis para esses sistemas e ativos, que é um lugar comum onde as empresas ficam aquém e o volume começa a se tornar apenas ruído.
Perkal diz que o ponto-chave para ter uma postura mais proativa em relação aos riscos de vulnerabilidades não corrigidas é a conscientização.
“Uma vez que você esteja ciente do risco, certifique-se de ter os processos e ferramentas corretos que permitirão que você aja com eficiência”, diz ele. “No final das contas, aplicar um patch existente a uma vulnerabilidade conhecida que é conhecida por ser explorada em estado selvagem deve ser o aspecto fácil de uma higiene de segurança adequada”.
Um relatório de julho da Unidade 42 da Palo Alto Networks também sugeriu que os invasores têm favoritos ao analisar quais vulnerabilidades de software devem ser direcionadas.
Resolvendo o problema de patches com o contexto de negócios
Assraf diz que é comum priorizar com base na criticidade das principais estruturas como o CVSS, que atribui classificações de gravidade a vulnerabilidades conhecidas – vários fornecedores de segurança também atribuem seus próprios sistemas de pontuação de caixa preta.
“O que é importante levar em conta, e onde esta etapa – e fornecedores – muitas vezes falham, é uma falha em levar em conta o contexto de negócios”, diz ele.
Portanto, é importante focar nas ameaças potenciais que terão o maior impacto em seu ambiente digital exclusivo, não necessariamente uma classificação de terceiros atribuída sem contexto.
“As organizações mais maduras automatizarão o processo de correção com base nesse contexto, atualizando os sistemas mais críticos e minimizando o tempo de inatividade e o impacto por meio do agendamento estratégico de implantação”, diz Assraf.
Perkal ressalta que a maior parte do código em execução em uma organização vem de vários terceiros, sejam eles de código aberto ou comerciais.
“Embora isso permita que as organizações se concentrem em sua lógica de negócios principal e liberem código mais rapidamente, isso também apresenta um risco de segurança na forma de vulnerabilidades de software”, diz ele. “Corrigir tudo simplesmente não é viável.”
Ele diz que ser capaz de lidar efetivamente com o risco, plataformas de gerenciamento de superfície de ataque que podem priorizar inteligentemente as vulnerabilidades mais importantes, bem como ajudar a automatizar alguns dos aspectos de mitigação e remediação, podem ajudar a lidar com esse risco.
“O aspecto mais preocupante que tirei da pesquisa é que essas vulnerabilidades antigas, conhecidas e exploráveis ainda são tão difundidas”, acrescenta. “É especialmente preocupante, pois é provável que a mesma análise que fizemos também esteja sendo conduzida por invasores e, ao deixar essa enorme superfície de ataque vulnerável, estamos facilitando a vida deles”.
FONTE: DARK READING