Redbelt alerta sobre vulnerabilidades encontradas nos sistemas Microsoft, Fortinet e VWMare

0

A segurança digital é uma preocupação constante com novos ataques cibernéticos cada vez mais sofisticados e novas vulnerabilidades sendo identificadas diariamente. Com o objetivo de contribuir para que as empresas se mantenham protegidas, a Redbelt alerta sobre algumas vulnerabilidades recentemente encontradas:

• A Microsoft vincula invasor a exploração de vulnerabilidades no Progress Software MOVEit Transfer – trata-se de uma exploração contínua de uma falha no aplicativo atribuída ao invasor Lace Tempest, que possibilita aos invasores se autenticarem como qualquer usuário e acessarem o banco de dados do aplicativo. A falha é identificada como CVE-2023-34362, uma vulnerabilidade de injeção de SQL.

"As agências federais devem aplicar os patches fornecidos pelo fornecedor para proteger seus sistemas, pois é fundamental manter o aplicativo MOVEit Transfer atualizado, além de adotar boas práticas de segurança, como autenticação forte, monitoramento de atividades suspeitas e implementação de soluções de segurança em camadas para proteger contra-ataques cibernéticos", afirma Marcos de Almeida, gerente de Red Team da Redbelt.

• Fortinet tem vulnerabilidade crítica em seu software FortiOS e FortiProxy, que pode ter sido explorada em ataques direcionados ao governo dos EUA, setores de manufatura e de infraestrutura crítica. A vulnerabilidade, conhecida como XORtigate e rastreada como CVE-2023-27997, envolve uma vulnerabilidade de estouro de buffer, baseada em heap no FortiOS e FortiProxy SSL-VPN, que possibilita a um invasor remoto executar um código arbitrário. A Fortinet avisou que todos os atores de ameaças podem explorar vulnerabilidades não corrigidas.

"A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e solicitou que os órgãos federais apliquem as correções até 4 de julho de 2023. A Fortinet recomenda que os clientes atualizem para a versão mais recente do firmware para mitigar o risco", avisa Almeida.

• Host VMWare ESXi para sistemas Windows e Linux tem vulnerabilidades exploradas por grupo de hackers chineses UNC3886, patrocinado pelo estado chinês. A falha de desvio de autenticação do VMware Tools, conhecida como CVE-2023-20867, permite a execução de comandos privilegiados em máquinas virtuais sem autenticação. O grupo é conhecido por infectar servidores VMware com backdoors chamados VIRTUALPITA e VIRTUALPIE. Além disso, eles foram ligados à exploração de uma falha no Fortinet FortiOS e são descritos como um coletivo altamente hábil, visando organizações de defesa e tecnologia. O UNC3886 utiliza o canal de comunicação VMCI para movimento lateral e persistência contínua, estabelecendo um canal secreto entre o host ESXi e as máquinas virtuais. "O grupo apresenta desafios aos investigadores, desativando serviços de registro e removendo eventos de log relacionados à sua atividade", diz o executivo da Redbelt.

• Cibercriminosos brasileiros usam scripts maliciosos, como LOLBaS e CMD, para atacar estrangeiros – ocorreram aumentos preocupantes nos ataques para drenar contas bancárias on-line, tendo como público-alvo principalmente vítimas de língua espanhola e portuguesa, localizadas no México, Peru e Portugal.

"Os hackers brasileiros se aproveitam da engenharia social, enviando e-mails com iscas temáticas relacionadas a impostos ou violações de trânsito. Ao receber esses e-mails, é importante ter cautela e evitar download e execução de arquivos anexos de origem desconhecida. Manter os softwares, em especial de segurança, atualizados é fundamental para detectar e bloquear essas ameaças", enfatiza Almeida.

• Falha no WordPress permite vazar dados de usuários – falha crítica de segurança no CVE-2023-2982 permite desvio de contas pela autenticação no plugin Social Login and Register do miniOrange para WordPress. A chave de criptografia usada para proteger as informações durante o login usando contas de mídia social é codificada. Para evitar ter seus dados vazados, é importante atualizar para a versão 7.6.5 ou posterior do plugin Social Login and Register.

"É fundamental monitorar a atividade de login e revisar as contas de usuário para identificar atividades suspeitas. Considere também adicionar camadas extras de segurança, como autenticação de dois fatores, para proteger as contas dos usuários. Além disso, mantenha-se atualizado sobre as últimas vulnerabilidades e patches do WordPress e de seus plugins", completa o executivo da Redbelt.

• Arquivos em PDF falsos são usados para roubar dados – é preciso ter cuidado com o malware ThirdEye recém-descoberto, no Windows, que rouba dados confidenciais e se disfarça como um arquivo PDF. O vetor de chegada ainda não é conhecido, mas há indícios de que possa ser usado em campanhas de phishing. Ele coleta metadados do sistema, como informações do BIOS, espaço em disco e processos em execução, transmitindo-os para um servidor de comando e controle (C2). Nessa situação, é importante manter seu sistema operacional e aplicativos atualizados com os patches de segurança mais recentes.

"Tenha sempre cuidado ao abrir arquivos ou links suspeitos, especialmente aqueles recebidos por e-mail ou de fontes não confiáveis. Utilize soluções de segurança confiáveis, como antivírus e firewalls, para proteger seu sistema contra malware. Esteja ciente das últimas tendências de ataques cibernéticos e dissemine e solicite aos colaboradores que sigam as melhores práticas de segurança on-line", conclui Almeida.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.