0
0
Lembra do início deste ano, quando descobrimos que um bando de bandidos, incluindo pelo menos um grupo de estado-nação, invadiu o servidor web Microsoft Internet Information Services (IIS) de uma agência do governo federal dos EUA explorando um bug crítico de três anos da Telerik para conseguir a execução remota de código?
Acontece que essa mesma gangue de hackers apoiados pelo governo usou uma falha diferente – e ainda mais antiga – do Telerik para invadir o servidor web Microsoft IIS de outra agência federal dos EUA, acessar o componente Gerenciador de Documentos, carregar webshells e outros arquivos e estabelecer persistência na rede do governo.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA e o FBI alertaram sobre a primeira invasão no servidor web Microsoft IIS de uma agência civil do Poder Executivo federal em março, e disseram que o snafu aconteceu entre novembro de 2022 e o início de janeiro.
“Vários atores de ameaças cibernéticas, incluindo um ator APT, foram capazes de explorar uma vulnerabilidade de desserialização do .NET (CVE-2019-18935) na interface do usuário (UI) do Progress Telerik para ASP.NET AJAX, localizada no servidor Web Microsoft Internet Information Services (IIS) da agência”, revelou o comunicado conjunto.
Mas espere, tem mais. Na quinta-feira, os federais atualizaram o alerta de março e disseram que uma análise forense de outra agência do Poder Executivo civil federal “identificou a exploração do CVE-2017-9248 no servidor IIS da agência por atores APT não atribuídos – especificamente dentro da interface do usuário Telerik para ASP.NET componente DialogHandler do AJAX”.
Essa invasão separada, explorando uma vulnerabilidade de quase seis anos, ocorreu em abril. A agência estava executando uma versão desatualizada do software, e uma exploração de prova de conceito está disponível publicamente desde janeiro de 2018, de acordo com os federais.
“Deve-se notar que a interface do usuário do Telerik para ASP.NET versões AJAX anteriores a 2017.2.621 são consideradas criptograficamente fracas; essa fraqueza está na função RadAsyncUpload, que usa criptografia para proteger os arquivos carregados”, acrescentou a CISA.
Em 14 de abril, os criminosos do estado-nação usaram um ataque de força bruta contra a chave de criptografia e obtiveram acesso não autorizado ao componente Gerenciador de Documentos dentro da interface do usuário do Telerik para ASP.NET AJAX.
Depois de invadir, eles carregaram scripts maliciosos, baixaram e excluíram arquivos confidenciais, fizeram modificações não autorizadas e carregaram webshells para backdoor e acesso remoto ao servidor.
“A CISA e as organizações de autoria não conseguiram identificar escalonamento de privilégios, movimentação lateral ou exfiltração de dados”, de acordo com o alerta. “No entanto, a presença de webshells e uploads de arquivos indicou que os atores do APT mantiveram o acesso e tinham o potencial de realizar atividades maliciosas adicionais.”
E também ressalta a importância do patching.
Vulnerabilidades críticas: também conhecido como patch agora
Falando em patches, há uma tonelada de correções críticas para implementar agora – se você ainda não o fez – nos softwares Microsoft, VMware, Fortinet, Adobe e SAP, e todas elas estão detalhadas na cobertura da Patch Tuesday de junho do The Register.
Além disso, o fiasco do MOVEit continua com uma terceira vulnerabilidade e uma terceira correção.
E em outras notícias sobre vulnerabilidade:
O Google lançou uma atualização do Chrome que inclui cinco correções de segurança. Isso inclui uma vulnerabilidade crítica, CVE-2023-3214, na função de pagamentos de preenchimento automático que pode permitir a execução arbitrária de código.
Além disso, a CISA identificou seis vulnerabilidades críticas de ICS que as equipes de OT devem estar cientes:
- CVSS 9.8 – CVE-2023-1437: Todas as versões anteriores à 9.1.4 do Advantech WebAccess/SCADA são vulneráveis ao uso de ponteiros não confiáveis que podem permitir que um invasor obtenha acesso ao sistema de arquivos remoto, execute comandos remotamente e substitua arquivos.
- Além de cinco bugs críticos nos produtos Siemens, incluindo uma vulnerabilidade com classificação 9,9 que pode levar à execução remota de código ou negação de serviço.
Pesquisadores de segurança falsos miram os verdadeiros no GitHub
Criminosos se passando por pesquisadores de segurança legítimos no GitHub e no Twitter estão empurrando repositórios maliciosos alegando serem explorações de prova de conceito para vulnerabilidades de dia zero.
Alerta de spoiler: não são PoCs reais, mas sim malwares que infectam máquinas Windows e Linux.
Os pesquisadores de segurança do VulnCheck detectaram o primeiro repositório malicioso do GitHub alegando ser um dia zero do Signal em maio. Eles relataram o golpe ao GitHub, e ele foi retirado do ar. No dia seguinte, o VulnCheck descobriu “um repositório quase” idêntico que supostamente seria um dia zero do WhatsApp.
Isso continuou ao longo de maio, com os pesquisadores encontrando os repositórios falsos e o GitHub removendo-os.
Aparentemente, as remoções também forçaram os meliantes a se esforçarem mais para espalhar malware. “O invasor criou meia dúzia de contas no GitHub e um punhado de contas associadas no Twitter”, disse o pesquisador do VulnCheck Jacob Baines em um blog sobre o golpe. “Todas as contas fingem fazer parte de uma empresa de segurança inexistente chamada High Sierra Cyber Security.”
As contas incluem fotos de perfil – pelo menos uma usava um tiro na cabeça real pertencente a um funcionário da Rapid7 – e tinha seguidores, identificadores no Twitter e links (mortos) para o site da empresa de segurança (falsa).
As contas tentam enganar pesquisadores de segurança reais para baixar binários maliciosos marcando um exploit para um produto popular como Chrome, Exchange, Discord, Signal ou WhatsApp.
E embora o binário do Windows tenha uma alta taxa de detecção no VirusTotal (43/71), o VulnCheck observa que o binário do Linux é furtivo (3/62), mas “contém algumas cadeias de caracteres muito óbvias indicando sua natureza”.
O VulnCheck inclui uma lista de sete contas falsas do GitHub, sete repositórios do GitHub e quatro contas do Twitter, e adverte que, se você interagiu com qualquer uma delas, pode ter sido comprometido.
Malware: quente. Botnets, backdoors: não
O ransomware é o malware como serviço (MaaS) mais difundido, representando 58% de todas as famílias de malware entre 2015 e 2022.
Isso é de acordo com os pesquisadores da Kaspersky, que basearam seu último relatório em 97 famílias de malware que circulam na dark web.
Em segundo lugar, os infostealers representaram 24%. Os 18% restantes foram divididos entre botnets, carregadores e backdoors.
“Apesar do fato de que a maioria das famílias de malware detectadas eram ransomware, as famílias mais frequentemente mencionadas nas comunidades da dark web eram infostealers”, indica o relatório. “O ransomware ocupa o segundo lugar em termos de atividade na dark web, mostrando um aumento desde 2021.”
Enquanto isso, as menções a botnet, backdoor e loader estão em declínio.
FONTE: THE REGISTER