Ataques em Massa a Ferramentas Corporativas
Invasores exploram vulnerabilidades em fornecedores para ter acesso não autorizado e conduzir atividades prejudiciais.
Ataque à supply chain, refere-se a uma ação maliciosa direcionada a sistemas e processos que facilitam o fluxo de produtos, informações e serviços entregues por fornecedores. Esse tipo de ataque pode ter impactos em larga escala, uma vez que compromete a integridade, confidencialidade e disponibilidade dos dados críticos envolvidos na gestão da cadeia de suprimentos, que por definição, é composta por servidores, softwares, entre outros componentes da infraestrutura das áreas de logística, distribuição de recursos, gerenciamento, manutenção e até mesmo segurança.
Invasores exploram vulnerabilidades em fornecedores terciários, para ganhar acesso não autorizado e, posteriormente, conduzir atividades prejudiciais, como roubo de informações, interrupção de serviços ou até mesmo a inclusão de malware nos produtos distribuídos ou diretamente em seus clientes finais.
Esta prática tem crescido nos últimos tempos, e abordaremos aqui, alguns casos que ganharam notoriedade na mídia, devido ao volume do seu alcance, muitas vezes a nível global.
VMWare
Se você utiliza o vCenter, prepare-se, pois uma vulnerabilidade crítica de execução remota de código (RCE) foi confirmada pela VMWare.
Para quem não conhece, o vCenter é uma plataforma de gestão de ambientes virtualizados VMWare vSphere, amplamente utilizada por administradores de infraestrutura para gerenciar ESX e ESXi e VMs.
Registrada através da CVE-2023-34048, a vulnerabilidade cuja exploração é feita através das portas TCP 2012, 2014 e 2020, causa uma falha de gravação fora dos limites na implementação do protocolo DCE/RPC, possibilitando a execução remota de código (RCE) no vCenter Server.
Um ataque bem sucedido, pode levar o invasor ao controle total de servidores, que vende estes acessos na Dark Web para grupos de ransomware, o que facilita seu acesso posterior às redes corporativas.
Classificada como nível crítico, devido à baixa complexidade dos ataques e alto impacto, ao comprometer a integridade, confidencialidade e disponibilidade dos dados, a vulnerabilidade que havia sido corrigida em outubro de 2023, voltou a ser explorada.
Ferramentas de busca e análise de infraestrutura online como Shodan e Censys apontam que mais de 2.000 servidores podem estar vulneráveis a esta falha.
A VMWare disponibilizou atualizações para as versões recentes do software, bem como para produtos em fim de vida útil, que não possuem mais suporte ativo, devido à natureza crítica e a impossibilidade de uma solução alternativa para a vulnerabilidade.
Se você utiliza o vCenter, confira a publicação da VMWare com as correções para as respectivas versões.
Citrix
Empresas que utilizam o Citrix Netscaler também enfrentaram desafios para atualizar suas versões do software após duas falhas de dia zero serem descobertas.
Citrix NetScaler é uma linha de produtos de entrega de aplicativos e balanceamento de carga desenvolvida pela Citrix Systems. Uma solução projetada para otimizar o desempenho de aplicativos e garantir uma entrega segura e eficiente de serviços online.
Frequentemente utilizado em ambientes empresariais para melhorar o desempenho e a segurança de aplicativos, especialmente em ambientes em que a entrega de aplicativos é essencial para a operação diária.
Identificadas como CVE-2023-6548 e CVE-2023-6549, as vulnerabilidades impactam o gerenciador do Netscaler expondo instâncias à execução remota de código (RCE) e ataques de negação de serviço (DoS) respectivamente.
Citrix pediu aos clientes que corrigissem urgentemente os dispositivos Netscaler ADC e Gateway expostos online contra as vulnerabilidades que vem sendo exploradas ativamente.
De acordo com a plataforma de monitoramento de ameaças online Shadowserver, 1335 aplicações se encontram vulneráveis no momento da publicação desta matéria.
Na data de publicação das CVEs (17/01/2024), o número de servidores expostos era 1505. Isso significa que após praticamente uma semana, mesmo com o apelo do fabricante, apenas 12% dos servidores foram corrigidos.
A seguir, as versões afetadas:
NetScaler ADC and NetScaler Gateway 14.1-12.35 and later releases
NetScaler ADC and NetScaler Gateway 13.1-51.15 and later releases of 13.1
NetScaler ADC and NetScaler Gateway 13.0-92.21 and later releases of 13.0
NetScaler ADC 13.1-FIPS 13.1-37.176 and later releases of 13.1-FIPS
NetScaler ADC 12.1-FIPS 12.1-55.302 and later releases of 12.1-FIPS
NetScaler ADC 12.1-NDcPP 12.1-55.302 and later releases of 12.1-NDcPP
Em comunicado, a Citrix Systems disponibilizou correções para os softwares afetados. Empresas que utilizam NetScaler ADC e NetScaler Gateway 12.1 (EOL) também são aconselhados a atualizá-los para uma versão que possua suporte.
SonicWall
Até mesmo empresas e produtos cujo foco é prover proteção na rede estão suscetíveis a descoberta de falhas e vulnerabilidades.
A gigante SonicWall fabricante de soluções de segurança avançada, se viu com mais de 178.000 (mais de 10.000 somente no Brasil) firewalls de próxima geração (NGFW) vulneráveis a ataques de execução remota de código (RCE) e negação de serviço (DoS).
Identificadas pelas CVE-2022-22274 e CVE-2023-0656, as vulnerabilidades de níveis crítica e alta respectivamente, exploram a possibilidade de negação de serviço (DoS), sendo que a primeira também explora a execução de código remoto (RCE).
Assim como outras grandes marcas de soluções de segurança em redes, não é a primeira vez, e não será última que vulnerabilidades como esta sejam descobertas e exploradas, devido ao seu potencial de estar presente em uma larga escala de instalações.
Segundo a própria empresa, os administradores são aconselhados a garantir que a interface de gerenciamento de seus dispositivos SonicWall NGFW não seja exposta on-line e atualize para as versões de firmware mais recentes o mais rápido possível.
GitLab
A famosa plataforma de gerenciamento e versionamento de software lançou atualizações de segurança tanto para a versão Community quanto Enterprise para corrigir duas vulnerabilidades críticas que exploram o roubo de contas.
Recomendam fortemente que seja atualizado o mais rápido possível devido ao risco do roubo das contas, uma vez que não é necessária a interação do usuário. Para aplicações auto hospedadas é necessário fazer atualização manual, e como não foi mencionado nenhum tipo de implementação, considera-se que todos tipos sejam afetados (omnibus, source code, helm chart, etc.).
Identificada pela CVE-2023-7028, a primeira vulnerabilidade consiste em um problema de autenticação que permite que solicitações de redefinição de senha sejam enviadas para endereços de e-mail não verificados, permitindo a aquisição da conta. Se a autenticação de dois fatores (2FA) estiver ativa, é possível redefinir a senha, mas o segundo fator de autenticação ainda é necessário para o login após a redefinição. Caso contrário, o roubo da conta é executado sem maiores esforços.
O segundo problema crítico é identificado pela CVE-2023-5356, onde um invasor pode explorar integrações do Slack/Mattermost para executar comandos de barra como outro usuário.
No Slack os comandos de barra atuam como atalhos para invocar aplicativos na caixa de composição do mesasge, e no Mattermost, permitem a integração de aplicativos externos ao espaço de trabalho.
A seguir, as versões afetadas:
6.1 antes de 16.1.5
16.2 Antes de 16.2.8
16.3 Antes de 16.3.6
16.4 Antes de 16.4.4
16.5 Antes de 16.5.6
16.6 Antes de 16.6.4
16.7 Antes de 16.7.2
Pra conferir as correções dos produtos nas páginas de atualizações, acesse GitLab e Gitlab Runner.
Atlassian
Quatro vulnerabilidades críticas (níveis entre 8.3 e 9.8) de execução de código remoto (RCE) que afetam os servidores Confluence, Jira e Bitbucket, juntamente com um aplicativo complementar para macOS.
Embora não tenha sido identificada nenhuma exploração da falha até o momento, devido à sua popularidade nos mais variados ambientes de TI, a Altlassian preconiza que seus usuários avaliem suas estruturas a fim de verificar se necessitam empregar as correções destas falhas que, agora publicadas, podem chamar a atenção dos cibercriminosos que buscam por estruturas desatualizadas para atacar.
CVE-2023-22522: Falha de injeção de modelo que permite que usuários autenticados, incluindo acesso anônimo, injetarem entrada de dados insegura em uma página Confluence. A falha afeta todas as versões do Confluence Data Center e do Server entre 4.0.0 e até 8.5.3;
CVE-2023-22523: RCE privilegiado no agente de Descoberta de Ativos impactando o Jira Service Management Cloud, Server e Data Center. As versões de Descoberta de Ativos Vulneráveis estão abaixo de 3.2.0 para Cloud e abaixo de 6.2.0 para Data Center e Server;
CVE-2023-22524: Ignorar o blocklist e o macOS Gatekeeper no aplicativo complementar para o Confluence Server e o Data Center para macOS, afetando todas as versões do aplicativo infriores a 2.0.0;
CVE-2022-1471: RCE na biblioteca SnakeYAML impactando várias versões dos produtos Jira, Bitbucket e Confluence.
A empresa também publicou artigos dedicados em seu fórum para detalhamento das vulnerabilidades e suas mitigações: CVE-2023-22522, CVE-2023-22523, CVE-2023-22524 e CVE-2022-1471.
A seguir, as versões atualizadas contra as quatro vulnerabilidades:
Confluence Data Center e Server 7.19.17 (LTS), 8.4.5 e 8.5.4 (LTS);
Jira Service Management Cloud (Assets Discovery) 3.2.0 ou posterior e Jira Service Management Data Center e Server (Assets Discovery) 6.2.0 ou posterior;
Atlassian Companion App para MacOS 2.0.0 ou posterior;
Automação para Jira (A4J) Marketplace App 9.0.2 e 8.2.4;
Bitbucket Data Center and Server 7.21.16 (LTS), 8.8.7, 8.9.4 (LTS), 8.10.4, 8.11.3, 8.12.1, 8.13.0, 8.14.0, 8.15.0 (Data Center Only) e 8.16.0 (Data Center Only);
Confluence Cloud Migration App (CCMA) 3.4.0;
Jira Core Data Center and Server, Jira Software Data Center e Server 9.11.2, 9.12.0 (LTS) e 9.4.14 (LTS);
Data Center e Servidor de Gerenciamento de Serviços do Jira 5.11.2, 5.12.0 (LTS) e 5.4.14 (LTS).
Se a desinstalação dos agentes do Asset Discovery para aplicar o patch para o CVE-2023-22523 não for possível no momento ou tiver que ser adiada, A Atlassian fornece uma mitigação temporária que consiste em bloquear a porta usada para comunicação com agentes, que por padrão é 51337.
No caso do CVE-2023-22522, não há solução de mitigação. Se os administradores não puderem aplicar o patch imediatamente, a Atlassian recomenda que os administradores façam backup das instâncias afetadas e as coloquem offline.
Se os administradores não puderem aplicar o patch para o CVE-2023-22524, a empresa recomenda a desinstalação do aplicativo Atlassian Companion.
Bosch
Não é somente no setor executivo que acontecem as falhas e respectivos ataques. Também muito recentemente, foram descobertas falhas em termostatos da linha Bosch BCC100 e Rexroth NXA015S-36V-B, que são equipamentos de tecnologia operacional (OT), integrados à rede, e utilizados pela sua empregabilidade em automações industriais.
As falhas podem ser usadas para obter a execução remota de código (RCE) com privilégios de root nos sistemas afetados e tornar os equipamentos inutilizáveis, “sequestrando” a tela e desabilitando o botão de gatilho paralisando a operação a fim de exigir um resgate.
Identificada pela CVE-2023-49722, a vulnerabilidade de alta gravidade (8.3) foi resolvida pela Bosch em novembro de 2023.
"Uma porta de rede 8899 está sempre aberta nos produtos de termostato BCC101/BCC102/BCC50, o que permite uma conexão não autenticada a partir de uma rede WiFi local", afirmou a empresa Bitdefender em um comunicado à Bosch.
A Bosch corrigiu o problema na versão do firmware 4.13.33 fechando a porta 8899, que, segundo a empresa, era usada para fins de depuração.
Além disso, em outras ocasiões a gigante alemã da indústria e tecnologia também foi notificada de mais de 20 outras falhas nas pistolas de mão Rexroth Nexo cordless nutrunner, onde um invasor não autenticado pode explorar para interromper operações, alterar configurações críticas e até mesmo instalar malware.
Estas vulnerabilidades podem permitir que um invasor envie comandos aos equipamentos, incluindo gravar uma atualização maliciosa, que pode torná-los inoperáveis ou atuar como uma backdoor para monitorar o tráfego, mudar para outros dispositivos e realizar outras atividades criminosas.
Team Viewer
Devido à sua simplicidade, e popularidade, a ferramenta amplamente empregada por empresas para acesso remoto, tem sido utilizada para a implantação de ramsomwe.
Com base no que vimos até agora, quando lemos esta notícia, à primeira vista pensamos que a ferramenta apresentou uma falha e os seus clientes ficaram à mercê de sua vulnerabilidade, tendo de aguardar uma correção para se proteger de ataques futuros. Mas a verdade é que neste caso, especificamente, a ferramenta está apenas sendo usada como um meio para obtenção de acesso não autorizado às redes, por conta de vazamentos na internet.
Ou seja, por descuido e negligência das empresas e seus funcionários em não possuir ou empregar boas práticas na segurança de dados, como a utilização de senhas complexas, autenticação de múltiplo fator (MFA), e principalmente, evitar o uso das mesmas senhas para serviços distintos, os cibercriminosos se aproveitam desta brecha para atacar empresas.
A própria empresa desenvolvedora do Team Viewer declara repúdio ao uso do seu software para atividades criminosas e ressalta a importância do cuidado, inclusive possui um guia de boas práticas para a utilização do software.
Em uma entrevista dada à BleepingComputer, declarou:
“Na TeamViewer, levamos a segurança e a integridade da nossa plataforma extremamente a sério e condenamos inequivocamente qualquer forma de uso malicioso do nosso software.”
Conclusão
Podemos perceber que além do ramsomware que tem sido centro dos holofotes nas notícias que vemos diariamente, os ataques de execução remota de código (RCE) também são muito visados, justamente por proporcionarem acesso a redes internas de empresas.
Com isso pode ser possível uma movimentação lateral na rede do alvo a fim de identificar outros dispositivos que também possam ser comprometidos, e aí sim, efetuar uma distribuição maior de malwares (incluindo, mas não limitando-se a ransomware), bem como o roubo de dados.
Estes acontecimentos nos revelam o quanto ainda é necessário desenvolver maturidade em ambientes corporativos e até mesmo industriais.
Nos preocupamos com celulares, computadores, roteadores e servidores, mas esquecemos que a tecnologia Operacional (OT) também está conectada e muitas vezes não segmentada, o que pode fazer com que, mesmo que tenhamos bons dispositivos de segurança, e até mesmo usuários capacitados, soframos ataques pelo chamado “shadow IT” ou em tradução livre, “infraestrutura à sombra”, onde não enxergamos tudo o que se conecta à nossa rede, e muito menos quais riscos nos oferecem.
Por isso é muito importante ter os usuários treinados, realizar análises de vulnerabilidade e testes de invasão periodicamente, bem como manter o ambiente monitorado de forma ativa, para, antes de ter de corrigir incidentes, evitá-los.
A Overnine oferece várias soluções de segurança. Caso tenha ficado com alguma dúvida ou busca uma solução robusta de segurança para seu ambiente, entre em contato conosco que estaremos prontos para lhe atender.
Clique aqui para ver outras matérias.
Pior do que termos nossos sistemas e redes invadidos por conta de uma vulnerabilidade da qual somos responsáveis, como um servidor ou datacenter próprio, roteadores ou outros equipamentos ou sistemas, dos quais temos (ou deveríamos ter) total controle, é sofrer um ataque por intermédio de serviços oferecidos por terceiros. Esse conceito é mais comum do que se imagina, e possui um nome: Supply Chain Attack, ou ataque à cadeia de suprimentos.