10 exploits (CVEs) que preocupam os profissionais da cibersegurança

Qualquer tipo de software e algumas peças de hardware podem conter vários tipos de vulnerabilidades. Para obter acesso ou escalar privilégios na infraestrutura de TI de uma organização, existem vários atores de ameaças  que estão muito ansiosos e treinados para tirar proveito dessas vulnerabilidades. Elas são conhecidas como ameaças do dia zero quando são descobertas antes que o fornecedor saiba. As ameaças de dia zero são perigosas porque essas vulnerabilidades ainda não têm soluções alternativas ou patches, e qualquer pessoa que tenha um dispositivo afetado pode ser atacado.

Porém, mesmo as vulnerabilidades conhecidas continuam muito perigosas. Pode ser que já exista uma solução disponível, mas os usuários podem não tê-la aplicado com sucesso, se é que aplicaram. Os profissionais de segurança cibernética estão muito atentos a vários níveis de gravidade de milhares de vulnerabilidades. Mas como se manter sempre alerta? A lista abaixo destaca as vulnerabilidades mais preocupantes no momento, e sabemos que à medida que novas ameaças surgem, o resposta também será outra.

Exploit 1: Microsoft Exchange

CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065

Embora a Microsoft rapidamente tenha lançado pacotes para corrigir essas vulnerabilidades conhecidas como Dia Zero, este sempre será um dos tópicos de segurança cibernética popular nos noticiários. Mesmo após o lançamento e divulgação da correção, nas semanas seguintes, os ataques continuam a aumentar, o que significa que muitos usuários não implementam os pacotes de correção. No caso da vulnerabilidade mencionada aqui, isso foi e continua particularmente preocupante, dada a gravidade das vulnerabilidades. CVE-2021-26855 pode permitir que um invasor acesso às caixas de correio, enquanto CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 permitem a execução remota de código.

A Microsoft divulgou e corrigiu outra série de vulnerabilidades de execução remota de código em sua última atualização de segurança que afetam o Exchange Server 2013, 2016 e 2019, tornando a atualização do sistema ainda mais crítica.

Exploit 2: Fortinet FortiGate SSL VPN

CVE-2018-13379, CVE-2020-12812, CVE-2019-5591

Vários avisos oficiais sobre essas vulnerabilidades foram enviados por agências governamentais, incluindo o National Cyber Security Center (NCSC) do Reino Unido, o Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA). Segundo estes alertas, os atores da Advanced Persistent Threat (APT) e os criminosos cibernéticos procuravam e usavam essas vulnerabilidades para fins de espionagem cibernética contra serviços governamentais, bem como em ataques de ransomware (sequestro digital de equipamentos) contra empresas comerciais. Foram lançados há quase dois anos atrás pacotes para todas essas vulnerabilidades, mas em novembro de 2020, os invasores publicaram uma lista de mais de 50.000 IPs que permaneciam sem a correção.

Exploit 3: Suíte de Colaboração Synacor Zimbra (XXE)

CVE-2019-9670

A Agência de Segurança Nacional (NSA), CISA e o FBI, alertaram que o Serviço de Inteligência Estrangeiro Russo (SVR) explorou em várias ocasiões cinco vulnerabilidades já conhecidas, visando redes Americanas e aliadas, incluindo segurança nacional e sistemas relacionados ao governo. Toda agência governamental, bem como pessoas com contratos governamentais, foram alertados a verificar se alguma dessas vulnerabilidades se aplica a seus ambientes de TI e, em caso afirmativo, a tomar medidas para reduzir ou eliminar essas vulnerabilidades.

O recurso de caixa de correio do Synacor Zimbra Collaboration Suite possui um XML Eternal Entity Injection que pode ser explorado para obter acesso às credenciais. Além de estar listado na declaração conjunta, ele também foi relatado em um comunicado anterior pela NCSC sobre vulnerabilidades sendo exploradas em ataques direcionados à pesquisa e desenvolvimento da vacina COVID-19. Foi lançado um pacote com a versão 8.7.11. para corrigir esta vulnerabilidade.

PENETRATION TESTING

Um guia simples para realizar um teste de intrusão bem sucedido

Exploit 4: Pulse Secure Pulse Connect Secure VPN

CVE-2019-11510

Esta vulnerabilidade está entre as cinco vulnerabilidades exploradas pelo SVR – Serviço de Inteligência Estrangeiro Russo. Este Pulse VPN contém uma vulnerabilidade de passagem de caminho em certas versões que permite que atacantes remotos não autenticados acessem  informações confidenciais. Apesar de um pacote de correção ter sido lançado em abril de 2019 – mesmo antes de um comunicado anterior da CISA em 2020, foi observado um amplo uso da exploração  desta vulnerabilidade.

Exploit 5: Citrix Application Delivery Controller and Gateway

CVE-2019-19781

Esta vulnerabilidade – semelhante ao Pulse VPN , também estava sendo explorada pelo SVR – Serviço de Inteligência Estrangeiro Russo . Identificada como Dia Zero, ela permitiu que invasores não autenticados acessassem informações confidenciais e arquivos de configuração. Esta vulnerabilidade pode também ser usada para ataques DoS, phishing e execução remota de código. Mesmo sabendo que são alvos fáceis, 19% das 80.000 empresas afetadas ainda não fizeram as correções recomendadas meses depois – apesar de conhecidamente várias instâncias desse exploit serem usadas por agentes de ameaças.

Exploit 6: VMware Workspace ONE Access

CVE-2020-4006

Também explorada pelo SVR e aberta a invasores, esta vulnerabilidade de injeção de comando também estava na lista, e é usada para executar comandos em sistemas para acessar dados protegidos. A NSA alertou sobre a vulnerabilidade em dezembro de 2020 e aconselhou o fortalecimento das senhas, uma vez que a vulnerabilidade ainda exigia acesso autenticado para ser utilizada. Apesar de já haver um pacote de correção disponível e vinculado ao alerta, ele ainda não foi amplamente implementado, uma vez que a vulnerabilidade continua sendo usada  ativamente em novos ataques. 

Exploit 7: Microsoft SMBGhost

CVE-2020-0796

Essa vulnerabilidade de execução remota de código utiliza o protocolo Microsoft Server Message Block (SMB), que era o mesmo protocolo visado pelo ransomware WannaCry – isto a torna muito preocupante. Com danos estimados em mais de um bilhão de dólares em mais de 100 países, os especialistas em segurança cibernética querem fazer o que puderem para evitar que o WannaCry repita este incidente. Mesmo já corrigida há mais de um ano, essa vulnerabilidade continua existindo – apesar de toda a preocupação, e mais de 100.000 sistemas ainda não haviam sido atualizados até outubro de 2020.

Exploit 8: VMWare vCenter RCE

CVE-2021-21972

Semelhante à vulnerabilidade Citrix listada anteriormente, esta vulnerabilidade de execução remota de código é simples de explorar, já que qualquer usuário não autorizado pode tirar proveito dela. Apesar de postar correções rapidamente, muitos atores de ameaças já estavam postando Provas de Conceitos para explorar esta vulnerabilidade no Github, por isso é muito importante as organizações atualizarem seus sistemas que se encontram vulneráveis o mais rápido possível.

Relatório de Pentest 2021

As tendências de Pentest mudam constantemente. Conheça as mudanças mais recentes

Exploit 9: Google Chrome Browser

CVE-2021-21193, CVE-2021-21206, CVE-2021-21220

Essas três vulnerabilidades foram diagnosticadas como ameaças de Dia Zero – (CVE-2021-21193) no mecanismo do navegador Chrome, Blink, que pode permitir que um atacante remoto explore a falha de heap. Os dois últimos (CVE-2021-21206, CVE-2021-21220) foram anunciados na mesma semana, podendo ambos ser usados para execução remota de código. Embora o Google tenha lançado rapidamente novas versões para corrigir essas vulnerabilidades, a preocupação real é que esta falha está se tornando um padrão de ameaças de Dia Zero. Com o uso em escala do Chrome, uma vulnerabilidade desta natureza pode causar danos em uma escala global. Alguns especialistas ficaram muito cautelosos com sua abordagem de segurança geral após a descoberta de três ameaças de Dia Zero em um período tão curto de tempo – os especialistas devem ficar de olho no navegador.

Exploit 10: Cisco AnyConnect Posture

CVE-2021-1366

Foram descobertas no canal de comunicação entre processos (IPC) do Cisco AnyConnect Secure Mobility Client para Windows, vulnerabilidades de controle de acesso impróprio e de caminho de pesquisa não controlado. podem permitir que Um usuário local autenticado pode elevar  privilégios com essas vulnerabilidades e execute qualquer aplicativo na conta SYSTEM.  A Cisco lançou Atualizações de software gratuitas foram lançadas pela Cisco para corrigir esta vulnerabilidade.

O caminho da segurança: descobertas, atualizações regulares e validação de correção.

Quanto antes uma vulnerabilidade for encontrada e corrigida, melhor. 

O Core Labs está constantemente procurando vulnerabilidades de cibersegurança – existem vários grupos de pesquisa para detectá-las,  antes que um agente de ameaça possa executar um ataque de Dia Zero. Grupos como o Core Labs entram em contato com os fornecedores para lançar um comunicado informando os usuários o mais rápido possível, e imediatamente trabalham para deixar  um pacote de correção  disponível pronto. Para às organizações, o gatilho para todas essas vulnerabilidades é claro: se houver um pacote de correções disponível, aplique-o! Embora as atualizações regulares possam ser demoradas e tediosas, a recuperação de uma violação a segurança leva ainda mais tempo, paciência e custa caro. As vezes, algo tão simples como uma falha na reinicialização do sistema pode significar que você ainda está em risco – por isso as atualizações e pacotes de correção são inúteis se não forem aplicados corretamente. é Faça regularmente um teste de invasão em seu ambiente –  a melhor maneira de avaliar o estado de sua segurança,  tanto para descobrir vulnerabilidades quanto para garantir que quaisquer esforços de correção tenham sido implementados corretamente.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima