.
Infosec em resumo Lembre-se no início deste ano, quando descobrimos que um bando de bandidos, incluindo pelo menos um grupo de estado-nação, invadiu o servidor da Web Microsoft Internet Information Services (IIS) de uma agência do governo federal dos EUA, explorando um bug crítico do Telerik de três anos para alcançar a execução remota de código?
Acontece que essa mesma gangue de hackers apoiados pelo governo usou uma falha diferente – e ainda mais antiga – do Telerik para invadir o servidor da Web Microsoft IIS de outra agência federal dos EUA, acessar o componente Document Manager, fazer upload de webshells e outros arquivos e estabelecer persistência em a rede governamental.
A Agência de Segurança Cibernética e Infraestrutura dos EUA e o FBI alertaram sobre o primeira intrusão no servidor da Web Microsoft IIS de uma agência federal civil executiva em março e disse que a confusão aconteceu entre novembro de 2022 e o início de janeiro.
“Vários atores de ameaças cibernéticas, incluindo um ator APT, conseguiram explorar uma vulnerabilidade de desserialização .NET (CVE-2019-18935) na interface de usuário (UI) da Progress Telerik para ASP.NET AJAX, localizada no servidor da Web do Microsoft Internet Information Services (IIS) da agência”, revelou o comunicado conjunto.
Mas espere, há mais. Na quinta-feira, o federais atualizados o alerta de março e disse que uma análise forense de uma outra agência do poder executivo civil federal “identificou a exploração de CVE-2017-9248 no servidor IIS da agência por atores APT não atribuídos – especificamente dentro da interface do usuário Telerik para o componente ASP.NET AJAX DialogHandler.”
Essa invasão separada, explorando uma vulnerabilidade de quase seis anos, ocorreu em abril. A agência estava executando uma versão desatualizada do software e uma exploração de prova de conceito está disponível publicamente desde janeiro de 2018, de acordo com os federais.
“Deve-se observar que a interface do usuário do Telerik para versões ASP.NET AJAX anteriores a 2017.2.621 são consideradas criptograficamente fracas; essa fraqueza está na função RadAsyncUpload que usa criptografia para proteger os arquivos carregados”, acrescentou a CISA.
Em 14 de abril, os criminosos do estado-nação usaram um ataque de força bruta contra a chave de criptografia e obtiveram acesso não autorizado ao componente Document Manager dentro do Telerik UI para ASP.NET AJAX.
Depois de invadir, eles carregaram scripts maliciosos, baixaram e excluíram arquivos confidenciais, fizeram modificações não autorizadas e carregaram webshells para backdoor e acessaram remotamente o servidor.
“A CISA e as organizações de autoria não conseguiram identificar a escalação de privilégios, movimentação lateral ou exfiltração de dados”, de acordo com o alerta. “No entanto, a presença de webshells e uploads de arquivos indicavam que os atores do APT mantinham o acesso e tinham o potencial de conduzir atividades maliciosas adicionais”.
E também ressalta a importância do patch.
Vulnerabilidades críticas: também conhecido como patch agora
Falando em patches, há uma tonelada de correções críticas a serem implementadas agora – se você ainda não o fez – nos softwares Microsoft, VMware, Fortinet, Adobe e SAP, e todas elas estão detalhadas em Strong The Onede Cobertura da Patch Tuesday de junho.
Além disso, o contínuo fiasco do MOVEit continua com uma terceira vulnerabilidade e uma terceira correção.
E em outras notícias de vulnerabilidade:
Google empurrou um Atualização do Chrome que inclui cinco correções de segurança. Isso inclui uma vulnerabilidade crítica, CVE-2023-3214, na função de pagamentos de preenchimento automático que pode permitir a execução de código arbitrário.
Além disso, a CISA identificou seis críticos Vulnerabilidades do ICS As equipes de OT devem estar cientes de:
- CVS 9.8 – CVE-2023-1437: Todas as versões anteriores a 9.1.4 do Advantech WebAccess/SCADA são vulneráveis ao uso de ponteiros não confiáveis que podem permitir que um invasor obtenha acesso ao sistema de arquivos remoto, execute remotamente comandos e sobrescreva arquivos.
- Mais cinco bugs críticos em produtos siemensincluindo uma vulnerabilidade com classificação 9,9 que pode levar à execução remota de código ou negação de serviço.
Pesquisadores de segurança falsos visam os reais no GitHub
Criminosos se passando por pesquisadores de segurança legítimos no GitHub e no Twitter estão empurrando repositórios maliciosos que afirmam ser explorações de prova de conceito para vulnerabilidades de dia zero.
Alerta de spoiler: estes não são PoCs reais, mas sim malware que infecta máquinas Windows e Linux.
Os pesquisadores de segurança da VulnCheck detectaram o primeiro repositório GitHub malicioso que afirmava ser um dia zero do Signal em maio. Eles relataram o golpe ao GitHub e ele foi retirado. No dia seguinte, o VulnCheck descobriu “um repositório quase” idêntico que pretendia ser um dia zero do WhatsApp.
Isso continuou ao longo de maio, com os pesquisadores encontrando os repositórios falsos e o GitHub removendo-os.
Aparentemente, as remoções também forçaram os malfeitores a se esforçarem mais para espalhar malware. “O invasor criou meia dúzia de contas GitHub e um punhado de contas associadas no Twitter”, Jacob Baines, pesquisador do VulnCheck disse em um blog sobre o golpe. “Todas as contas fingem fazer parte de uma empresa de segurança inexistente chamada High Sierra Cyber Security”.
As contas incluem fotos de perfil – pelo menos uma usou uma foto real pertencente a um funcionário da Rapid7 – e tinha seguidores, identificadores no Twitter e links (mortos) para o site da (falsa) empresa de segurança.
As contas tentam induzir pesquisadores de segurança reais a baixar binários maliciosos marcando um exploit para um produto popular como Chrome, Exchange, Discord, Signal ou WhatsApp.
E embora o binário do Windows tenha uma alta taxa de detecção no VirusTotal (43/71), VulnCheck observa que o binário do Linux é mais furtivo (3/62), mas “contém algumas strings muito óbvias indicando sua natureza”.
O VulnCheck inclui uma lista de sete contas falsas do GitHub, sete repositórios do GitHub e quatro contas do Twitter, e adverte que, se você interagiu com qualquer um deles, pode ter sido comprometido.
Malware: quente. Botnets, backdoors: não
O ransomware é o malware como serviço (MaaS) mais difundido, respondendo por 58% de todas as famílias de malware entre 2015 e 2022.
Isso é de acordo com os pesquisadores da Kaspersky, que basearam seus último relatório em 97 famílias de malware que circulam na dark web.
Em segundo lugar, os infostealers representaram 24%. Os 18% restantes foram divididos entre botnets, loaders e backdoors.
“Apesar do fato de que a maioria das famílias de malware detectadas eram ransomware, as famílias mencionadas com mais frequência nas comunidades da dark web eram infostealers”, indica o relatório. “O ransomware ocupa o segundo lugar em termos de atividade na dark web, mostrando um aumento desde 2021.”
Enquanto isso, as menções de botnet, backdoor e loader estão em declínio. ®
.
