.
Infosec em resumo Incapaz de acessar o smartphone Samsung do falecido atirador de Trump em busca de pistas, o FBI recorreu a uma fonte conhecida — embora controversa — para atingir seu objetivo: o fornecedor de ferramentas forenses digitais Cellebrite.
A Cellebrite tem sido usada há anos por autoridades policiais para invadir smartphones bloqueados. Neste caso, o dispositivo do atirador era um modelo mais novo, tornando seus sistemas Cellebrite existentes inúteis. Sem se deixar abater, as autoridades policiais ligaram para a equipe de suporte da Cellebrite, e o fornecedor rapidamente entregou uma versão atualizada de seu software.
O software não lançado, informou a Bloomberg citando pessoas familiarizadas com o assunto, quebrou o telefone em 40 minutos.
O cracking de dispositivos dessa forma não é bem-vindo pelos fabricantes, que há muito se opõem ao desejo do governo e da polícia de enfraquecer a criptografia em dispositivos. A Apple enfrentou o procurador-geral dos EUA no início de 2020, recusando-se a permitir o acesso do FBI ao dispositivo de um atirador em massa porque isso exigiria que a Apple desenvolvesse um backdoor que inevitavelmente encontraria seu caminho para os cantos mais escuros da internet.
“Sempre defendemos que não existe backdoor só para os mocinhos”, disse a Apple em 2020.
Com a cooperação recusada pelos fabricantes de smartphones, a Cellebrite conta com vulnerabilidades de dia zero e não descobertas em dispositivos para invadir sistemas sem a permissão do fornecedor.
Mas, de acordo com documentos internos vazados recentemente pela Cellebrite, os usuários da Apple podem não ter muito com que se preocupar — muitos iPhones e versões mais recentes do iOS continuam inacessíveis às ferramentas do cracker.
A 404 Media informou que obteve documentos internos da Cellebrite de abril de 2024, indicando que a empresa (pelo menos até abril) não conseguia acessar nenhum dispositivo Apple com iOS 17.4 ou posterior, e a maioria dos dispositivos com iOS 17.1 a 17.3.1, com exceção do iPhone XR e 11.
No entanto, a maioria dos dispositivos Android, além de alguns modelos do Google Pixel, são vulneráveis.
Não está claro qual modelo específico o atirador de Trump possuía, mas, dado o fato de que o software pré-lançamento da Cellebrite poderia quebrá-lo, é seguro assumir que essa corrida armamentista pela privacidade está em andamento.
Vulnerabilidades críticas da semana: hora da atualização do Oracle
Pode ser uma semana de folga em relação ao ritmo regular do Patch Tuesday, mas a Oracle lidera as notícias sobre vulnerabilidades esta semana com um comunicado de segurança de julho com 386 novos patches de segurança.
Destes, cerca de 90 obtiveram uma pontuação CVSS acima de 8,0, então é melhor instalar as atualizações do Oracle o mais rápido possível.
Junto com o conjunto habitual de alertas sobre sistemas de controle industrial, algumas vulnerabilidades críticas também foram identificadas como exploradas ativamente esta semana:
- CVSS 9.8 – CVE-2024-34102: Certas versões do Adobe Commerce estão restringindo incorretamente referências de entidades externas XML, permitindo a execução de código arbitrário sem interação do usuário.
- CVSS 9.8 – CVE-2024-36401: Algumas versões do GeoServer da OSGeo estão permitindo múltiplas solicitações OGC, o que pode levar a RCE de usuários não autenticados.
- CVSS 6.5 – CVE-2022-22948: O VMware vCenter Server tem permissões de arquivo padrão incorretas, permitindo que um usuário não administrativo tenha acesso a informações confidenciais.
Hackers menos capazes da Rússia são sancionados
O governo dos EUA sancionou dois criminosos cibernéticos associados ao chamado “Exército Cibernético da Rússia” (CARR).
Yulia Vladimirovna Pankratova e Denis Olegovich Degtyarenko foram acusados de serem os líderes e os principais hackers, respectivamente, da equipe CARR, que, segundo o Departamento de Estado, invadiu vários sistemas de infraestrutura crítica nos EUA desde 2022.
Embora a dupla e o CARR tenham tido algum sucesso, eles não são considerados uma ameaça séria nem estão entre os principais agentes de Moscou.
“Apesar da CARR ter brevemente obtido o controle de… sistemas de controle industrial, casos de grandes danos às vítimas foram evitados até agora devido à falta de sofisticação técnica da CARR”, continuou o departamento do Tesouro, lançando sombras sutis.
Senadores exigem respostas de Snowflake
O fornecedor de análise Snowflake foi oficialmente notificado pelo Congresso, com dois senadores escrevendo uma carta [PDF] à empresa na semana passada, pedindo que explicassem como um desastre de segurança tão facilmente evitável pôde acontecer.
“Incomodantemente, as violações da Ticketmaster e da AT&T parecem ter sido facilmente evitadas”, escreveram a dupla, apontando para o fato de que o acesso às contas comprometidas da Snowflake se deveu, em grande parte, a senhas roubadas e reutilizadas e à falha no uso da autenticação multifator.
“A recente divulgação da AT&T — três meses após a violação e após outras violações anunciadas — levanta preocupações de que ainda não sabemos o escopo total ou o impacto da campanha direcionada aos clientes da Snowflake”, afirmaram os senadores, dando à Snowflake até 29 de julho para fornecer uma explicação.
Banco de dados de registros de testes de COVID encontrado exposto online
O pesquisador de segurança Jeremiah Fowler, que tem o hábito de encontrar dados confidenciais e desprotegidos online, encontrou mais alguns — desta vez, quase 150.000 registros totalizando 12 GB contendo resultados de exames de COVID.
Os registros — todos supostamente pertencentes à empresa de recrutamento médico local InHouse Physicians — incluem resultados de triagem de COVID-19 de conferências e outros eventos. Incluídos nos registros de resultados de testes estão nomes e números de telefone de indivíduos que Fowler disse que conseguiu usar para “obter facilmente mais detalhes de identificação” sobre os indivíduos no banco de dados.
A InHouse Physicians fechou o acesso ao banco de dados depois que Fowler o relatou. Não está claro se ele já havia sido acessado por alguém com intenção mais maliciosa.
Nova campanha APT41 descoberta
Os caçadores de ameaças do Google identificaram uma nova campanha sustentada sendo executada pelo agente de ameaças chinês APT41 – também conhecido como Barium Wicked Panda, etc. – visando empresas globais de transporte e logística ao redor do mundo.
O objetivo final dos ataques parece ser ganhar persistência e estabelecer uma conexão com a infraestrutura controlada pelo APT41 para a exfiltração de dados confidenciais, com a Mandiant relatando que viu o ataque usando SQLULDR2 para roubar dados de bancos de dados Oracle e PINEGROVE para roubar grandes volumes de dados de redes comprometidas para serem exfiltrados para o OneDrive.
A Mandiant incluiu indicadores de comprometimento em seu relatório. Você sabe o que fazer com eles. ®
.
