.
Infosec em resumo Uma falha de segurança no Google Cloud Build pode ter permitido que invasores adulterassem os repositórios de código e as imagens de aplicativos das organizações, de acordo com os pesquisadores da Orca Security.
O Research Pod da empresa publicou hoje detalhes sobre uma falha “crítica” e alertou que ela poderia ter sido explorada para realizar um ataque à cadeia de suprimentos nos moldes do SolarWinds – ou, mais recentemente, do MOVEit – com “consequências de longo alcance”.
Depois que a notícia da vulnerabilidade chegou à Chocolate Factory, o Google implantou uma correção – embora não resolva totalmente o problema, de acordo com o pesquisador da Orca, Roi Nisimi.
“Isso apenas limita – transformando-o em uma falha de design que ainda deixa as organizações vulneráveis ao maior risco da cadeia de suprimentos”, disse Nisimi. “Isso exige que as equipes de segurança implementem outras medidas para proteger contra esse risco”.
O problema, como o Google descreve, é mais sobre permissões mal definidas.
O Cloud Build, como um serviço de automação, usa contas de serviço para autenticar solicitações feitas durante um build.
Como descobriram os pesquisadores da Orca, se alguém ativar a API Cloud Build em um projeto, o produto criará automaticamente uma conta de serviço padrão para executar compilações. Até junho, isso continha uma falha que dava aos builds acesso aos logs de auditoria privados, mostrando uma lista completa de todas as permissões do projeto.
Quando questionado sobre a alegação de Orca de que isso forneceu apenas uma correção parcial, um porta-voz do Google deu Strong The One pouco em termos de explicação – dizendo apenas que seu programa de recompensas por vulnerabilidade existe para encontrar esses tipos de problemas e que agradece a ajuda da Orca.
Mas o Goog implantará uma correção adicional para o bug?
“Agradecemos o trabalho dos pesquisadores e incorporamos uma correção com base em seu relatório, conforme descrito em um boletim de segurança divulgado no início de junho”, disse o Google. Vamos tomar isso como um não.
Enquanto isso, é com vocês, líderes de TI.
“É importante que as organizações prestem muita atenção ao comportamento da conta de serviço padrão do Google Cloud Build”, disse Nisimi, acrescentando que a aplicação do princípio do menor privilégio é vital para reduzir o risco de uma organização.
Vulnerabilidades críticas da semana
A Adobe lidera o pacote de vulnerabilidades críticas esta semana com uma série de tropeços de segurança.
Com o assistência dos pesquisadores de segurança Rapid7, a Adobe determinou que emitiu uma correção incompleta para um desvio de controle de acesso no ColdFusion que, quando encadeado com uma vulnerabilidade subsequente, levou à exploração ativa.
Ele se divide assim: Pesquisadores do Project Discovery publicaram uma exploração para o que Rapid7 disse que o PD provavelmente pensava ser uma desserialização de exploração de dados não confiáveis no ColdFusion remendado pela Adobe em 11 de julho. O PD realmente encontrou uma nova vulnerabilidade que exige outra correção em 14 de julho.
Infelizmente, o patch implantado em 11 de julho estava incompleto e permitiu que fosse encadeado com o exploit corrigido em 14 de julho. terceiro remendo foi emitido. Melhor atualizar agora.
Outras vulnerabilidades graves relatadas esta semana:
- CVS 10.0 – Múltiplos CVEs: O software ScrutisWeb da Iagona, usado para monitorar frotas de caixas eletrônicos, contém várias vulnerabilidades que podem permitir que um invasor carregue e execute arquivos arbitrários.
- CVS 9.8 – CVE-2023-3638: O modelo GV-ADR2701 de câmeras de segurança GeoVision tem um problema na página de login que um invasor pode explorar editando a resposta de login para obter acesso ao aplicativo da web da câmera.
- CVS 8.1 – Múltiplos CVEs: Os bancos de dados de séries temporais KingHistorian feitos pela WellinTech contêm um par de vulnerabilidades que um invasor pode usar para enviar dados maliciosos e divulgar informações confidenciais.
Também, ambos Oráculo e atlassiano lançou patches mensais esta semana para resolver vários problemas críticos.
Apenas um par de novas vulnerabilidades exploradas conhecidas esta semana, mas elas são bastante destacadas:
- CVS 9.8 – CVE-2023-3519: Os atacantes são explorando ativamente uma vulnerabilidade de execução remota de código no Citrix Gateway e ADC identificada pela empresa e corrigida em 18 de julho.
- CVS 8.8 – CVE-2023-36884: A Microsoft disse que está investigando uma série de vulnerabilidades RCE em produtos Office e Windows que estão sob exploração ativa por meio de documentos maliciosos do Office.
Amazon concorda em pagar US$ 25 milhões para resolver violações da Alexa COPPA
O Departamento de Justiça dos Estados Unidos disse esta semana que havia chegado a um acordo com a Amazon sobre suas supostas violações da Lei de Proteção à Privacidade Online das Crianças (COPPA).
O acordo decorre de acusações de que a Amazon tinha uma política de reter gravações de voz de menores de 13 anos indefinidamente por padrão – o que viola as regras da COPPA – entre outras violações de privacidade.
A Amazon concordou em pagar ao DoJ US$ 25 milhões, ou 0,78% de seu Lucro do primeiro trimestre de 2023, para resolver o problema sem admitir ou negar responsabilidade. Juntamente com a ninharia de uma multa, a Amazon concordou em excluir perfis de crianças inativas, parar de deturpar sua política de retenção de gravações Alexa e relatar ao DoJ sua conformidade com os pedidos para a próxima década.
O terno, que foi trouxe no final de maio, extraiu uma pechincha da Amazon assim que foi arquivada. Escrevendo no mesmo dia em que as acusações vieram à tona, a Amazon disse discordava das alegações da FTC, mas ainda estava decidida a deixar o assunto para trás.
“Continuaremos a inventar mais recursos de privacidade em nome de nossos clientes e garantir que eles estejam cientes dos controles e opções disponíveis para eles”, disse a Amazon, conforme ordenado.
Etiquetas de segurança cibernética em breve para tecnologia inteligente dos EUA
A administração Biden anunciou planos esta semana para apresentar uma Marca de Confiança Cibernética dos EUA para dispositivos inteligentes – pense Estrela de energiamas para dispositivos conectados à Internet.
Proposto pela presidente da Comissão Federal de Comunicações, Jessica Rosenworcel, o Cyber Trust Mark pode começar a aparecer em geladeiras inteligentes, micro-ondas, TVs, sistemas de controle climático, rastreadores de condicionamento físico e outros dispositivos já no próximo ano.
“Este novo programa de rotulagem ajudaria a fornecer aos americanos maiores garantias sobre a segurança cibernética dos produtos que usam e nos quais confiam em suas vidas cotidianas”, disse a Casa Branca em um comunicado. “Também seria benéfico para as empresas, pois ajudaria a diferenciar produtos confiáveis no mercado”.
O plano real para implementar a Marca de Confiança Cibernética está por vir, com a FCC ainda para apresentar as regras propostas para comentários públicos.
O que um dispositivo precisará fazer para se qualificar também ainda está para ser definido. A administração Biden disse que o programa voluntário seria baseado em critérios de segurança cibernética do Instituto Nacional de Padrões e Tecnologia e pode incluir “senhas padrão exclusivas e fortes, proteção de dados, atualizações de software e recursos de detecção de incidentes”. ®
.
