0
0
O Departamento de Defesa dos EUA divulgou hoje detalhes sobre quatro vulnerabilidades de segurança em sua infraestrutura. Dois deles têm uma classificação de gravidade alta, enquanto os outros dois receberam uma pontuação crítica.
As falhas foram relatadas em agosto e julho. Eles poderiam permitir que os atacantes sequestram um subdomínio, executem código arbitrário remotamente ou visualizem arquivos na máquina afetada.
Bucket não reclamado, servidor não reparado
Todos os problemas foram relatados através da divulgação de vulnerabilidades do Departamento na plataforma de recompensa de bugs HackerOne por hackers éticos distintos.
Uma das vulnerabilidades críticas é uma aquisição de subdomínios por causa de um balde Amazon S3 não reclamado. O cronox de hackers éticos que encontrou o problema diz que ele pode ser explorado para hospedar conteúdo malicioso em um domínio legítimo.
Os visitantes do site poderiam então ser alvo de ataques de phishing e scripting no site. A falha também permitiria que um invasor contornasse a segurança do domínio e roubasse dados confidenciais do usuário.
A segunda falha com uma classificação de gravidade crítica foi relatada por Hzllaga em 19 de agosto. É uma execução remota de código em um servidor DoD executando Apache Solr que estava sem correção desde agosto de 2019.
O servidor era vulnerável ao CVE-2019-0192 e CVE-2019-0193, mas apenas este último foi suficiente para o hacker obter um shell no servidor. O código de exploração para ambos está disponível.
Bugs de alta gravidade
Outra falha decorrente do software não recortado, descoberta pelo analista de segurança de TI Dan (veterano da Marinha e da Guarda Costeira dos EUA), é uma travessia de caminho somente leitura que poderia ter dado a um invasor acesso a arquivos confidenciais arbitrários no sistema; está em um produto Cisco, descrito em detalhes aqui.
O segundo bug menos grave, mas um risco óbvio, no entanto, é uma injeção de código em um host DoD que pode levar à execução arbitrária de código, de acordo com o relatório do e3xpl0it, um testador de penetração na empresa de cibersegurança Positive Technologies.
Embora a natureza dos bugs não seja segredo para o DoD, algumas informações foram redigidas nos relatórios de bugs.
Em todos os casos, o DoD foi rápido para validar e corrigir os problemas relatados. De acordo com estatísticas da plataforma HackerOne, o Departamento leva cerca de oito horas em média para triagem dos bugs e lida com todos eles.
Desde que o DoD iniciou o programa de divulgação de vulnerabilidades no HackerOne em novembro de 2016, ele abordou 9555 problemas de segurança. Um detalhe interessante é que o Departamento lidou com mais de um terço deles nos últimos três meses.
FONTE: BLEEPINGCOMPUTER