.
Infosec em resumo O fornecedor de software de segurança cibernética Check Point está alertando os clientes para atualizarem seu software imediatamente à luz de uma vulnerabilidade de dia zero sob exploração ativa.
A Check Point anunciou no início da semana passada que detectou “um pequeno número de tentativas de login” visando alguns dos ambientes VPN de seus clientes. A empresa disse mais tarde que descobriu a causa raiz, atribuiu um CVE (CVE-2024-24919, CVSS 8.6) e pediu aos clientes que atualizassem seu software o mais rápido possível.
A vulnerabilidade afeta a rede CloudGuard da Check Point, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e Quantum Spark Appliances. Aqueles com VPN de acesso remoto, também chamado de “Mobile Access Blade”, habilitado são vulneráveis.
A Check Point não deu muitas explicações sobre a vulnerabilidade, mas disse que ela envolve invasores “usando contas locais VPN antigas, dependendo de um método de autenticação somente com senha não recomendado”.
“A autenticação somente por senha é considerada um método desfavorável para garantir os mais altos níveis de segurança e recomendamos não confiar nisso ao fazer login na infraestrutura de rede”, acrescentou Check Point.
Patches estão disponíveis para todos os sistemas afetados. A Check Point disse na página do patch que a exploração bem-sucedida da vulnerabilidade pode resultar no acesso de um invasor a informações confidenciais em um gateway de segurança e permitir que um invasor se mova lateralmente com privilégios de administrador de domínio.
A empresa de inteligência de ameaças Mnemonic, que disse ter sido contatada pela Check Point sobre a vulnerabilidade, descobriu que ela estava sendo explorada desde o final de abril.
“Agora está provado que a vulnerabilidade permite que um agente de ameaça recupere todos os arquivos do sistema de arquivos local”, disse Mnemonic. “Isso inclui hashes de senha para todas as contas locais, chaves SSH, certificados e outros arquivos críticos.”
Juntamente com a instalação de patches, a Check Point recomenda que os usuários reforcem sua postura VPN, uma vez que a vulnerabilidade depende da exploração de contas sem autenticação adicional habilitada.
Um bom começo seria exigir vários fatores de autenticação. A Check Point também recomenda revisar e remover contas VPN locais desnecessárias e garantir que quaisquer contas necessárias tenham medidas de autenticação adicionais adicionadas. O MFA pode ser uma dor de cabeça, mas você quer uma brecha na sua cabeça?
Vulnerabilidades críticas: Só estou perguntando, mas qual é a versão dos seus kernels Linux?
Não quero soar o alarme, mas aquela vulnerabilidade “fácil” de acesso root ao kernel Linux que abordamos em março está agora sob exploração ativa.
A CISA adicionou CVE-2024-1086 ao seu catálogo de vulnerabilidades exploradas conhecidas esta semana. Para aqueles que não têm certeza se estão vulneráveis, o problema afeta qualquer distribuição Linux com uma versão de kernel entre 5.14 e 6.6.14. É hora de verificar a versão do kernel e atualizar o mais rápido possível.
Em outro lugar:
- CVSS 9.8 – vários CVEs: Os conversores serial para Ethernet Westermo EDW-100 usam credenciais codificadas armazenadas em texto simples que podem ser facilmente extraídas e usadas para comprometer o dispositivo.
- CVSS 9.4 – CVE-2024-5176: A ferramenta de configuração de produto da Baxter Welch Allyn protege indevidamente as credenciais, facilitando o roubo delas e comprometendo os dispositivos afetados.
- CVSS 9.3 – vários CVEs: As versões do software de monitoramento de eventos Netbox do LenelS2 anteriores à 5.6.2 usam senhas codificadas e estão disponíveis para injeções de comandos maliciosos.
- CVSS 9.1 – CVE-2024-1275: Os dispositivos Baxter Welch Allyn Connex Spot Monitor estão usando chaves de criptografia padrão, permitindo que um invasor adultere dispositivos e modifique software.
- CVSS 8.5 – vários CVEs: O software de configuração de tela Monitouch V-SFT da Fuji Electric contém gravação OOB e vulnerabilidades de buffer overflow baseadas em pilha que podem permitir que um invasor execute código arbitrário.
- CVSS 8.5 – CVE-2023-31468: O software de engenharia mecânica VisiWin 7 da Inosoft usa permissões padrão incorretas, permitindo que um invasor obtenha facilmente privilégios de sistema.
Desculpe, mas o piano grátis provavelmente não virá
Os golpistas da Internet podem ser bastante transparentes para aqueles que sabem como identificá-los, mas ninguém diga que não são criativos.
Para ilustrar isso, apresentamos um relatório da empresa de segurança Proofpoint, que afirma estar rastreando um golpe surpreendentemente grande de fraude de taxas avançadas (AFF), centrado no descarregamento de um “piano grátis” para suas vítimas.
Identificado como alvo principal de estudantes universitários e professores na América do Norte, o golpe envolve um indivíduo que oferece um piano grátis devido à redução do tamanho do escritório, aposentadoria, morte de família ou alguma outra desculpa. O piano é grátis, mas o frete terá que ser pago, naturalmente.
“Como alguém poderia cair nessa?” você pergunta. Bem, um endereço de carteira Bitcoin vinculado ao golpe contém mais de US$ 900.000. Como observa a Proofpoint, provavelmente ele está sendo usado para uma série de golpes diferentes, de modo que nem todos podem estar enviando dinheiro para pianos não enviados, mas alguns podem ser.
“Se um e-mail não solicitado parece bom demais para ser verdade, provavelmente é”, disse Proofpoint. Fique feliz por este não incluir malware.
Cooler Master divulga dados de clientes
A Cooler Master, fabricante de componentes de computador e uma variedade de equipamentos para jogadores super-leet, foi atacada como um novato, com um haxxor alegando ter roubado 103 GB de dados do site de suporte Fanzone da empresa.
A Cooler Master confirmou o incidente em um aviso postado em seu site, dizendo que suas “ações rápidas” em resposta à intrusão significaram que “evitou que a grande maioria de nossos dados e suas informações pessoais fossem acessadas indevidamente”.
Os “poucos dados do consumidor” que “foram acessados indevidamente” ainda incluem nomes, números de telefone, endereços físicos e informações de cartão de crédito de um número “limitado” de membros fidelizados – algumas coisas bastante confidenciais.
E não é como se fossem apenas alguns clientes cujos dados foram supostamente roubados. Ghostr, o indivíduo que alegou ter invadido o Fanzone e baixado alguns de seus bancos de dados vinculados, afirmou que havia mais de 500 mil dados de clientes no pedaço roubado.
Ghostr teria dito que planeja vender os dados roubados em um fórum de hackers, então, se você já foi cliente da Cooler Master, é uma boa ideia tomar as medidas apropriadas para proteger sua identidade. ®
.
