.
A Agência de Segurança Cibernética e Infraestrutura (CISA) do governo dos EUA está adicionando mais três falhas à sua lista de vulnerabilidades exploradas conhecidas, incluindo uma envolvendo roteadores TP-Link que está sendo visada pelos operadores do notório botnet Mirai.
Os outros dois colocados em a lista esta semana envolvem versões do software WebLogic Server da Oracle e da biblioteca Log4j Java da Apache Foundation.
A falha de injeção de comando nos roteadores Archer AX21 Wi-Fi 6 da TP-Link – rastreada como CVE-2023-1389 – se esconde no firmware do dispositivo antes da versão 1.1.4 Build 20230219, que aborda o problema. Um invasor não autorizado pode explorar essa brecha para injetar comandos que podem levar à execução remota de código (RCE), permitindo que o intruso assuma o controle do dispositivo pela rede ou pela Internet.
Grupo de caça a ameaças Zero Day Initiative (ZDI) da Trend Micro no início da semana passada escreveu em um relatório que em meados de abril os malfeitores por trás do por favor-não-pode-simplesmente-morrer Rede de bots Mirai estavam começando a explorar a falha principalmente atacando dispositivos na Europa Oriental, embora a campanha logo se expandisse além dessa região.
O malware Mirai acumula dispositivos de Internet das Coisas (IoT) baseados em Linux infectados em uma botnet que pode ser controlada remotamente para realizar ataques de rede em larga escala, incluindo negação de serviços distribuídos (DDoS) agressões.
A vulnerabilidade de injeção de comando foi encontrada por várias equipes participantes do concurso Pwn2Own Toronto da ZDI no ano passado e, como dissemos, a TP-Link já emitiu firmware para corrigir o problema. Depois de ouvir da ZDI que os operadores do botnet Mirai estavam tentando explorá-lo, a TP-Link emitiu um declaração instando os usuários a instalar o firmware atualizado.
Para dispositivos vinculados a uma conta TP-Link Cloud, o firmware foi atualizado automaticamente. Outros usuários precisam atualizar os próprios roteadores.
Os pesquisadores da ZDI escreveram que ver a falha sendo explorada tão rapidamente após o lançamento do patch é outro exemplo da diminuição do tempo entre a descoberta de uma vulnerabilidade e o início das tentativas de exploração.
“Dito isso, isso não é novidade para os mantenedores do botnet Mirai, que são conhecidos por explorar rapidamente os dispositivos IoT para manter sua posição na empresa”, escreveram eles.
Oráculo, entretanto, remendado a vulnerabilidade destacada pela CISA em seu software WebLogic Server em janeiro. A falha, encontrada nas versões 12.2.1.2.0, 12.2.1.4.0 e 12.1.1.0.0 do WebLogic Server e rastreada como CVE-2023-21839é facilmente explorável e pode permitir que um invasor não autenticado que tenha acesso à rede por meio de protocolos T3 ou IIOP comprometa o servidor e obtenha acesso aos dados no sistema.
Não parece haver exploração ativa tentativas da falha RCE nos últimos 30 dias, segundo a GreyNoise, que coleta e analisa dados da internet. No entanto, o que ajuda a torná-lo uma ameaça é que nenhuma interação ou autenticação do usuário precisa acontecer para que o intruso consiga obter o controle de um servidor.
Em seu aviso de atualização de patch em janeiro, a Oracle deu um aceno a vários pesquisadores de segurança por alertar o gigante do banco de dados sobre a vulnerabilidade.
Desejamos que o Log4j continue correndo
A falha do Apache, rastreada como CVE-2021-45046envolve a biblioteca Log4j Java, mas não é o Log4j Vulnerabilidade RCE (apelidada de Log4Shell e publicada como CVE-2021-44228) que foi encontrado na mesma época que se tornou uma ameaça para as empresas devido ao seu uso onipresente em serviços comerciais e de consumo, produtos, sites e aplicativos em todo o mundo.
A vulnerabilidade Log4j citada esta semana pela CISA também é uma falha RCE. De acordo com a Apache Software Foundation e a CISA, uma correção para resolver a vulnerabilidade Log4Shell no Log4j 2.15.0 não cobriu certas configurações de log que usam um layout de padrão não padrão com uma pesquisa de contexto. Por causa disso, os invasores que controlam os dados de entrada do Thread Context Map (MDC) podem criar dados de entrada mal-intencionados usando um padrão de pesquisa JNDI.
Isso pode levar a um RCE e vazamento de informações em algumas instâncias e execução de código local em todos os ambientes. Log4j 2.16.0 (em Java 8) e 2.12.1 (Java 7) corrigem o problema desativando o JNDI por padrão e removendo o suporte para padrões de pesquisa de mensagens.
Em dezembro de 2021, a CISA, o FBI e as agências de segurança em países como Austrália, Canadá e Reino Unido avisou que os malfeitores estavam explorando ativamente ambas as vulnerabilidades do Log4j. GreyNoise encontrado indicações que ambos os buracos estavam sendo visados nos últimos 30 dias por até 74 IPs exclusivos, embora não se saiba quantos estavam relacionados ao CVE-2021-45046. ®
.
