.
infosec em resumo A plataforma de análise de dados em nuvem Snowflake disse que vai começar a forçar os clientes a implementar a autenticação multifatorial para evitar mais invasões.
A medida surge em resposta a um incidente descoberto no final do mês passado por analistas da Hudson Rock, que viu os criminosos fugirem com mais de um terabyte de dados da Ticketmaster, informações do banco espanhol Santander e, mais recentemente (afirmou-se), centenas de milhões de arquivos de clientes da Advance Auto Parts. Todos são clientes da Snowflake.
Embora a Snowflake tenha ameaçado com uma ação legal contra a Hudson Rock e a forçado a retirar seu relatório, o fornecedor de nuvem também admitiu que estava investigando “uma campanha de ameaça direcionada contra algumas contas de clientes da Snowflake”.
A Snowflake continua a negar ter sido atacada diretamente, dizendo não acreditar que os incidentes em seus clientes tenham sido causados por qualquer vulnerabilidade ou configuração incorreta em seu ambiente. Ele também disse que não encontrou evidências sugerindo que o incidente foi devido a um conjunto comprometido de credenciais de funcionários da Snowflake, como alegou Hudson Rock, embora tenha afirmado acreditar que as credenciais foram obtidas por meio de compra ou malware.
Além disso, Snowflake admitiu que um agente de ameaça obteve credenciais pertencentes a um ex-funcionário da Snowflake, mas alegou que essas credenciais foram usadas apenas para acessar contas de demonstração que não continham nenhuma informação confidencial.
Enquanto isso, Snowflake disse que os agentes de ameaças têm como alvo clientes sem MFA habilitado, então é aí que ele está agindo por enquanto.
“Também estamos desenvolvendo um plano para exigir que nossos clientes implementem controles de segurança avançados”, disse Snowflake. “Enquanto fazemos isso, continuamos a nos envolver fortemente com nossos clientes para ajudá-los a habilitar a MFA e outros controles de segurança como uma etapa crítica na proteção de seus negócios”.
Outros meios de comunicação relataram esta semana a descoberta de credenciais pertencentes a “centenas” de clientes do Snowflake à venda em fóruns de cibercriminosos, sugerindo que o problema pode ser maior do que os poucos clientes importantes relatados.
Vulnerabilidades críticas da semana
Apenas algumas vulnerabilidades do lado do AT para serem relatadas esta semana – muito menos propensas a ganhar as manchetes, mas não menos importantes de serem abordadas.
- CVSS 9.8 – Vários CVEs: o software de controle de planta Emerson Ovation possui vários protocolos de autenticação e não verifica a autenticidade dos dados, permitindo RCE, exfiltração de dados, etc.
- CVSS 9.1 – CVE-2024-32752: O controlador de porta iStar Pro da Johnson Controls e os produtos ICU não estão conseguindo autenticar corretamente, permitindo que um invasor injete comandos e comprometa a segurança física dos controles de porta.
- CVSS 8.5 – Vários CVEs: O software de configuração de tela Monitouch V-SFT da Fuji Electric é vulnerável à gravação OOB, estouro de buffer baseado em pilha e confusão de tipos, permitindo execução arbitrária de código.
A indústria implora à Casa Branca: por favor, harmonize os regulamentos de segurança cibernética
Depois de pedir aos parceiros da indústria que partilhassem as suas preocupações sobre o ambiente regulamentar de segurança cibernética nos EUA, o Gabinete do Diretor Nacional Cibernético da Casa Branca disse que a resposta foi quase unânime: as regulamentações são uma bagunça.
“Os entrevistados acreditam que houve uma falta de harmonização regulatória e reciprocidade na segurança cibernética e que isso representava um desafio tanto para os resultados da segurança cibernética quanto para a competitividade empresarial”, disse o Diretor Nacional Cibernético, Harry Coker Jr., em um comunicado da Casa Branca.
Por reciprocidade, os participantes queriam dizer que tinham investido para cumprir as medidas de conformidade do governo, ao mesmo tempo que viam “uma redução líquida nas despesas programáticas reais em segurança cibernética”.
O gabinete de Coker está a trabalhar para desenvolver um quadro de reciprocidade para utilização em sectores de infra-estruturas críticas, mas o Director disse que harmonizar as regulamentações pode ser impossível.
“Precisamos da ajuda do Congresso para reunir todas as agências relevantes do governo para desenvolver uma estrutura intersetorial de harmonização e reciprocidade para os requisitos básicos de segurança cibernética”, observou Coker.
Quando foi a última vez que você examinou as configurações do seu contêiner?
Dois grupos diferentes de analistas relataram duas campanhas diferentes atacando dois provedores de serviços de contêineres diferentes na semana passada, portanto, considere este um lembrete para auditar o seu em busca de configurações incorretas.
Pesquisadores da empresa de segurança em nuvem Wiz relataram uma campanha de cryptojacking na sexta-feira que viu criminosos visando clusters Kubernetes mal configurados, enquanto alguns dias antes a Trend Micro relatou outra campanha visando servidores API remotos Docker expostos e mal configurados.
Embora não esteja claro se os dois estão relacionados, ambos parecem ter o mesmo objetivo final: instalar malware de mineração de criptomoedas em contêineres vulneráveis para o benefício do operador do malware.
Os métodos de ataque também variam um pouco, mas não as recomendações de remediação: tanto o Wiz quanto o TrendMicro sugerem a configuração adequada dos contêineres, bem como a limitação do acesso de conexões e usuários externos, anônimos e desnecessários.
“Este incidente deve encorajar as organizações a adotarem uma solução de postura de segurança, permitindo que as equipes de segurança mitiguem combinações de riscos tóxicos e reduzam as superfícies de ataque vulneráveis aos atores da ameaça”, disseram os pesquisadores do Wiz. ®
.
