A segurança digital é uma preocupação constante com novos ataques cibernéticos cada vez mais sofisticados e novas vulnerabilidades sendo identificadas diariamente. Com o objetivo de contribuir para que as empresas se mantenham protegidas, a Redbelt alerta sobre algumas vulnerabilidades recentemente encontradas:
• A Microsoft vincula invasor a exploração de vulnerabilidades no Progress Software MOVEit Transfer – trata-se de uma exploração contínua de uma falha no aplicativo atribuída ao invasor Lace Tempest, que possibilita aos invasores se autenticarem como qualquer usuário e acessarem o banco de dados do aplicativo. A falha é identificada como CVE-2023-34362, uma vulnerabilidade de injeção de SQL.
"As agências federais devem aplicar os patches fornecidos pelo fornecedor para proteger seus sistemas, pois é fundamental manter o aplicativo MOVEit Transfer atualizado, além de adotar boas práticas de segurança, como autenticação forte, monitoramento de atividades suspeitas e implementação de soluções de segurança em camadas para proteger contra-ataques cibernéticos", afirma Marcos de Almeida, gerente de Red Team da Redbelt.
• Fortinet tem vulnerabilidade crítica em seu software FortiOS e FortiProxy, que pode ter sido explorada em ataques direcionados ao governo dos EUA, setores de manufatura e de infraestrutura crítica. A vulnerabilidade, conhecida como XORtigate e rastreada como CVE-2023-27997, envolve uma vulnerabilidade de estouro de buffer, baseada em heap no FortiOS e FortiProxy SSL-VPN, que possibilita a um invasor remoto executar um código arbitrário. A Fortinet avisou que todos os atores de ameaças podem explorar vulnerabilidades não corrigidas.
"A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e solicitou que os órgãos federais apliquem as correções até 4 de julho de 2023. A Fortinet recomenda que os clientes atualizem para a versão mais recente do firmware para mitigar o risco", avisa Almeida.
• Host VMWare ESXi para sistemas Windows e Linux tem vulnerabilidades exploradas por grupo de hackers chineses UNC3886, patrocinado pelo estado chinês. A falha de desvio de autenticação do VMware Tools, conhecida como CVE-2023-20867, permite a execução de comandos privilegiados em máquinas virtuais sem autenticação. O grupo é conhecido por infectar servidores VMware com backdoors chamados VIRTUALPITA e VIRTUALPIE. Além disso, eles foram ligados à exploração de uma falha no Fortinet FortiOS e são descritos como um coletivo altamente hábil, visando organizações de defesa e tecnologia. O UNC3886 utiliza o canal de comunicação VMCI para movimento lateral e persistência contínua, estabelecendo um canal secreto entre o host ESXi e as máquinas virtuais. "O grupo apresenta desafios aos investigadores, desativando serviços de registro e removendo eventos de log relacionados à sua atividade", diz o executivo da Redbelt.
• Cibercriminosos brasileiros usam scripts maliciosos, como LOLBaS e CMD, para atacar estrangeiros – ocorreram aumentos preocupantes nos ataques para drenar contas bancárias on-line, tendo como público-alvo principalmente vítimas de língua espanhola e portuguesa, localizadas no México, Peru e Portugal.
"Os hackers brasileiros se aproveitam da engenharia social, enviando e-mails com iscas temáticas relacionadas a impostos ou violações de trânsito. Ao receber esses e-mails, é importante ter cautela e evitar download e execução de arquivos anexos de origem desconhecida. Manter os softwares, em especial de segurança, atualizados é fundamental para detectar e bloquear essas ameaças", enfatiza Almeida.
• Falha no WordPress permite vazar dados de usuários – falha crítica de segurança no CVE-2023-2982 permite desvio de contas pela autenticação no plugin Social Login and Register do miniOrange para WordPress. A chave de criptografia usada para proteger as informações durante o login usando contas de mídia social é codificada. Para evitar ter seus dados vazados, é importante atualizar para a versão 7.6.5 ou posterior do plugin Social Login and Register.
"É fundamental monitorar a atividade de login e revisar as contas de usuário para identificar atividades suspeitas. Considere também adicionar camadas extras de segurança, como autenticação de dois fatores, para proteger as contas dos usuários. Além disso, mantenha-se atualizado sobre as últimas vulnerabilidades e patches do WordPress e de seus plugins", completa o executivo da Redbelt.
• Arquivos em PDF falsos são usados para roubar dados – é preciso ter cuidado com o malware ThirdEye recém-descoberto, no Windows, que rouba dados confidenciais e se disfarça como um arquivo PDF. O vetor de chegada ainda não é conhecido, mas há indícios de que possa ser usado em campanhas de phishing. Ele coleta metadados do sistema, como informações do BIOS, espaço em disco e processos em execução, transmitindo-os para um servidor de comando e controle (C2). Nessa situação, é importante manter seu sistema operacional e aplicativos atualizados com os patches de segurança mais recentes.
"Tenha sempre cuidado ao abrir arquivos ou links suspeitos, especialmente aqueles recebidos por e-mail ou de fontes não confiáveis. Utilize soluções de segurança confiáveis, como antivírus e firewalls, para proteger seu sistema contra malware. Esteja ciente das últimas tendências de ataques cibernéticos e dissemine e solicite aos colaboradores que sigam as melhores práticas de segurança on-line", conclui Almeida.