.
Imagens Getty
Hackers de ransomware começaram a explorar uma ou mais vulnerabilidades corrigidas recentemente que representam uma grave ameaça às redes corporativas em todo o mundo, disseram os pesquisadores.
Uma das vulnerabilidades tem uma classificação de gravidade de 10 em 10 possíveis e outra de 9,9. Eles residem no WS_FTP Server, um aplicativo de compartilhamento de arquivos desenvolvido pela Progress Software. A Progress Software é a criadora do MOVEit, outro software de transferência de arquivos que foi recentemente atingido por uma vulnerabilidade crítica de dia zero que levou ao comprometimento de mais de 2.300 organizações e aos dados de mais de 23 milhões de pessoas, de acordo com segurança. empresa Emsisoft. As vítimas incluem a Shell, a British Airways, o Departamento de Energia dos EUA e o registo de nascimento do governo de Ontário, BORN Ontario, o último dos quais levou ao comprometimento de informações de 3,4 milhões de pessoas.
Tão ruim quanto parece
CVE-2023-40044, como a vulnerabilidade no servidor WS_FTP é rastreada, e uma vulnerabilidade separada rastreada como CVE-2023-42657 que foi corrigida na mesma atualização de 27 de setembro da Progress Software, são tão críticas quanto as vulnerabilidades surgem. Com uma classificação de gravidade de 10, o CVE-2023-40044 permite que invasores executem códigos maliciosos com altos privilégios de sistema, sem necessidade de autenticação. CVE-2023-42657, que tem uma classificação de gravidade de 9,9, também permite a execução remota de código, mas exige que o hacker primeiro seja autenticado no sistema vulnerável.
Na sexta-feira passada, investigadores da empresa de segurança Rapid7 forneceram a primeira indicação de que pelo menos uma destas vulnerabilidades pode estar sob exploração ativa em “múltiplas instâncias”. Na segunda-feira, os pesquisadores atualizaram sua postagem para observar que haviam descoberto uma cadeia de ataque separada que também parecia ter como alvo as vulnerabilidades. Pouco depois, pesquisadores da Huntress confirmaram uma “exploração em estado selvagem de CVE-2023-40044 em um número muito pequeno de casos dentro de nossa base de parceiros (atualmente um dígito)”. Em uma atualização na terça-feira, a Huntress disse que em pelo menos um host hackeado, o agente da ameaça adicionou mecanismos de persistência, o que significa que estava tentando estabelecer uma presença permanente no servidor.
Também na terça-feira veio uma postagem no Mastodon de Kevin Beaumont, um pesquisador de segurança com amplos laços com organizações cujas redes corporativas estão sob ataque.
“Uma organização atingida por ransomware está me dizendo que o agente da ameaça entrou via WS_FTP, para obter informações, então você pode querer priorizar a correção disso”, escreveu ele. “O grupo de ransomware direcionado ao WS_FTP tem como alvo a versão web.” Ele acrescentou conselhos para administradores que usam o programa de transferência de arquivos para procurar pontos de entrada vulneráveis usando a ferramenta de pesquisa Shodan.
Um pouco chocante
No mesmo dia em que o Rapid7 viu pela primeira vez explorações ativas, alguém Publicados código de exploração de prova de conceito nas redes sociais. Em uma declaração enviada por e-mail, os funcionários da Progress Software criticaram tais ações. Eles escreveram:
Estamos desapontados com a rapidez com que terceiros lançaram uma prova de conceito (POC), com engenharia reversa a partir de nossa divulgação e correção de vulnerabilidade, lançada em 27 de setembro. ainda estavam no processo de aplicação do patch. Não temos conhecimento de nenhuma evidência de que essas vulnerabilidades estivessem sendo exploradas antes desse lançamento. Infelizmente, ao criar e lançar um POC rapidamente após o lançamento do nosso patch, um terceiro forneceu aos criminosos cibernéticos uma ferramenta para tentar ataques contra nossos clientes. Estamos incentivando todos os clientes do servidor WS_FTP a corrigirem seus ambientes o mais rápido possível.
CVE-2023-40044 é conhecida como vulnerabilidade de desserialização, uma forma de bug no código que permite que a entrada enviada pelo usuário seja convertida em uma estrutura de dados conhecida como objeto. Na programação, objetos são variáveis, funções ou estruturas de dados às quais um aplicativo se refere. Ao transformar essencialmente a entrada de usuários não confiáveis em código criado pelo invasor, as explorações de desserialização têm o potencial de trazer consequências graves. A vulnerabilidade de desserialização no servidor WS_FTP é encontrada no código escrito na linguagem de programação .NET.
Pesquisadores da empresa de segurança Assetnote descobriram a vulnerabilidade descompilando e analisando o código do servidor WS_FTP. Eles finalmente identificaram um “sink”, que é um código projetado para receber eventos de entrada, que era vulnerável à desserialização e retornava à fonte.
“No final das contas, descobrimos que a vulnerabilidade poderia ser acionada sem qualquer autenticação e afetou todo o componente de transferência ad hoc do WS_FTP”, escreveram os pesquisadores da Assetnote na segunda-feira. “Foi um pouco chocante termos conseguido chegar ao coletor de desserialização sem qualquer autenticação.”
Além de não exigir autenticação, a vulnerabilidade pode ser explorada enviando uma única solicitação HTTP a um servidor, desde que exista o que é conhecido como gadget ysoserial.
A vulnerabilidade do servidor WS_FTP pode não representar uma ameaça tão grave para a Internet como um todo em comparação com a vulnerabilidade explorada no MOVEit. Um dos motivos é que uma correção para o servidor WS_FTP tornou-se disponível publicamente antes do início das explorações. Isso deu às organizações que usavam o software de transferência de arquivos tempo para corrigir seus servidores antes que fossem atacados. Outro motivo: as varreduras da Internet encontram muito menos servidores executando o servidor WS_FTP em comparação com o MOVEit.
Ainda assim, os danos às redes que ainda não corrigiram o CVE-2023-40044 serão provavelmente tão graves quanto os causados aos servidores MOVEit não corrigidos. Os administradores devem priorizar a aplicação de patches e, se isso não for possível imediatamente, desabilitar o modo de transferência ad hoc do servidor. Eles também devem analisar seus ambientes em busca de sinais de que foram hackeados. Os indicadores de compromisso incluem:
- 103[.]163[.]187[.]12:8080
- 64[.]227[.]126[.]135
- 86[.]48[.]3[.]172
- 103[.]163[.]187[.]12
- 161[.]35[.]27[.]144
- 162[.]243[.]161[.]105
- C:WindowsTEMPzpvmRqTOsP.exe
- C:WindowsTEMPZzPtgYwodVf.exe
Outras orientações úteis de segurança estão disponíveis aqui na empresa de segurança Tenable.
.
