.
Infosec em resumo A infame gangue de ransomware LockBit tem estado ocupada nos últimos dez dias desde que uma operação internacional de aplicação da lei derrubou muitos de seus sistemas. Mas apesar de sua postura, a gangue pode ter sofrido mais do que deixa transparecer.
Embora tenha havido muitas revelações – e decepções – desde que as autoridades apreenderam o site da LockBit e interromperam suas operações em 20 de fevereiro, a gangue fez tudo menos desaparecer.
A LockBit rapidamente criou um novo site e o atualizou com uma lista dos próximos prazos de resgate das vítimas – um dos quais incluía dados supostamente roubados do condado de Fulton, na Geórgia. Entre esses dados, afirmou a LockBit, estavam informações sobre os processos judiciais em andamento do ex-presidente Donald Trump no condado, que a LockBit alegou que poderiam ter afetado a eleição presidencial de 2024.
Mas o prazo de 29 de fevereiro para o condado de Fulton pagar o resgate chegou e passou sem que nenhum dado fosse publicado. A LockBit alegou que o condado de Fulton pagou o resgate para evitar a exposição dos dados, mas as autoridades do condado de Fulton protestaram que não fizeram tal coisa – nem usaram um intermediário para pagar ao grupo.
Brett Callow, analista de ameaças da Emsisoft, sugeriu que, em vez de o resgate ser pago, é mais provável que quaisquer dados que o LockBit possa ter sobre o condado de Fulton ou Donald Trump tenham sido apreendidos pelas autoridades no início deste mês.
“Acho que foi o caso deles tentarem convencer seus afiliados de que ainda estavam em boa forma”, disse Callow a Krebs sobre Segurança.
Ainda não se sabe se o LockBit está apenas tentando salvar a face e está efetivamente desativado, mas Callow parece acreditar que é esse o caso.
“Trata-se de tentar acalmar os nervos dos afiliados e dizer: 'Está tudo bem, não estávamos tão comprometidos quanto sugeriu a aplicação da lei'”, opinou Callow. “Mas acho que você teria que ser um tolo para trabalhar com uma organização que foi tão completamente hackeada como a LockBit.”
Vulnerabilidades críticas da semana
Não há muito a relatar em termos de CVEs com classificação CVSS de 8,0 ou superior esta semana – apenas algumas vulnerabilidades no sistema operacional de datacenter NX-OS da Cisco.
- CVSS 8.6 – CVE-2024-20267: O NX-OS está lidando incorretamente com o tráfego MPLS, o que pode permitir que um invasor remoto não autenticado faça com que o processo netstack seja reiniciado, fazendo com que os dispositivos afetados não processem o tráfego de rede.
- CVSS 8.6 – CVE-2024-20321: A implementação do eBGP do NX-OS está mapeando o tráfego para uma fila limitada de taxa de hardware compartilhada, o que significa que um invasor pode causar DoS bombardeando um dispositivo vulnerável com tráfego.
Patches estão disponíveis para ambos os problemas, portanto, instale-os o mais rápido possível.
As mitigações de vulnerabilidade da Ivanti podem não funcionar, alerta CISA
Todas essas vulnerabilidades da Ivanti sob exploração ativa podem ser mais difíceis de detectar e mitigar do que aquilo que a Ivanti levou seus clientes a acreditar, de acordo com a CISA e suas agências parceiras.
Em um comunicado de segurança cibernética publicado em 29 de fevereiro, a CISA explicou que a ferramenta Integrity Checker Tool (ICT) da Ivanti, lançada publicamente em resposta às vulnerabilidades relatadas no início do mês passado, pode não apenas falhar na detecção de comprometimento, mas uma redefinição de fábrica pode não eliminar a persistência no nível raiz. obtido por um atacante.
Enquanto isso, a Ivanti nos disse que deseja que os clientes estejam cientes de que o aviso CISA não inclui nenhuma nova vulnerabilidade e que não tem conhecimento de nenhum caso de um ator de ameaça ganhando persistência após a instalação de atualizações de segurança e uma redefinição de fábrica.
A Ivanti recomenda que os clientes sigam as orientações de patch e executem o ICT. A CISA, por outro lado, diz que os usuários da Ivanti devem considerar seu último aviso “ao determinar se devem continuar a operar esses dispositivos”.
O próximo incidente da SolarWinds pode começar na nuvem
O comprometimento devastador do software SolarWinds no final de 2020 levou ao comprometimento generalizado das redes afetadas quando os invasores conseguiram roubar certificados de servidores ADFS instalados localmente e usá-los para falsificar tokens SAML. Os investigadores de segurança alertam agora que um ataque semelhante é possível – mesmo contra empresas que utilizam fornecedores de identidade localizados na nuvem.
A vulnerabilidade, apelidada de Silver SAML por pesquisadores da Semperis, pode permitir que um invasor forje tokens SAML sem qualquer acesso ao ADFS. A chave para esse ataque é o uso de certificados de assinatura SAML gerados externamente – como o tipo usado pelo Microsoft Entra ID e outros serviços semelhantes.
Semperis não tem conhecimento de quaisquer ataques que utilizem a técnica recentemente relatada, mas alerta que qualquer organização que dependa de certificados gerados externamente é vulnerável. Infelizmente, a única maneira de se proteger contra tal ataque é proteger seus certificados, para que um futuro invasor não faça uso de tal método com efeitos devastadores.
“Os ataques Silver SAML têm potencial para serem leves – ou devastadores”, escreveram os pesquisadores da Semperis em seu relatório. “Encorajamos as organizações a tomarem medidas decisivas agora para colmatar lacunas e vulnerabilidades nestes ambientes”. ®
.
