Boletim de Segurança

➡️ FBI emite alerta sobre a gangue de ransomware Cuba.
A grupo de cibercriminosos atingiu mais de 100 organizações em todo o mundo, exigindo mais de US$ 145 milhões em pagamentos e extorquindo com sucesso pelo menos US$ 60 milhões desde agosto, de acordo com um comunicado conjunto do FBI e da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA). Embora esse ransomware seja conhecido pela indústria como “ransomware de Cuba”, não há indicação de que os agentes do ransomware de Cuba tenham qualquer conexão ou afiliação com a República de Cuba. O FBI alertou pela primeira vez sobre a gangue do cibercrime em dezembro de 2021 e, desde então, a contagem de vítimas apenas nos EUA dobrou. Ao mesmo tempo, os pagamentos de resgates recebidos também dispararam. Os criminosos continuam visando cinco setores críticos de infraestrutura: serviços financeiros, governo, assistência médica e saúde pública, manufatura crítica e TI, de acordo com o FBI. Os criminosos tendem a usar bugs conhecidos em software comercial, e-mails de phishing, credenciais comprometidas e ferramentas de protocolo de área de trabalho remota para obter acesso inicial às redes de suas vítimas. Uma vez invadidos, eles distribuem o ransomware Cuba em sistemas comprometidos via Hancitor, um carregador que pode descartar ou executar outros programas maliciosos, incluindo RATs.

➡️ Pesquisadores divulgam falha na cadeia de suprimentos da IBM Cloud.
A IBM corrigiu uma vulnerabilidade de segurança de alta gravidade que afeta seu produto Cloud Databases (ICD) para PostgreSQL, que pode ser potencialmente explorada para adulterar repositórios internos e executar código não autorizado. A falha de escalonamento de privilégios apelidada de “Hell’s Keychain”, foi descrita como um vetor de ataque de cadeia de suprimentos inédito que afeta a infraestrutura de um provedor de nuvem. A exploração bem-sucedida do bug pode permitir que um agente mal-intencionado execute códigos remotamente nos ambientes dos clientes e até mesmo leia ou modifique dados armazenados no banco de dados PostgreSQL. A vulnerabilidade consiste em uma cadeia de três segredos expostos (token de conta de serviço Kubernetes, senha de registro de contêiner privado, credenciais de servidor CI/CD) juntamente com acesso de rede excessivamente permissivo a servidores internos de compilação. O Hell’s Keychain começa com uma falha de injeção de SQL no ICD que concede privilégios de superusuário (também conhecido como “ibm”) ao invasor, que é então usado para executar comandos arbitrários na máquina virtual subjacente que hospeda a instância do banco de dados. Esse recurso é armado para acessar um arquivo de token da API do Kubernetes, permitindo esforços de pós-exploração mais amplos que envolvem extrair imagens de contêiner do registro de contêiner privado da IBM, que armazena imagens relacionadas ao ICD para PostgreSQL, e digitalizar essas imagens em busca de segredos adicionais.

➡️ Vulnerabilidade no Linux permite que qualquer usuário tenha privilégios de root.
A nova vulnerabilidade, rastreada como CVE-2022-3328, afeta o programa ‘snap-confine’ usado pelo Snapd para construir o ambiente de execução para aplicativos Snap. O programa afetado está presente por padrão no Ubuntu, cujos desenvolvedores descreveram o como uma falha de alta gravidade que pode ser explorada para escalonamento de privilégio local e execução de código arbitrário. Segundo os pesquisadores a falha pode ser combinada com outras vulnerabilidades para um ataque de alto impacto. Encadear a vulnerabilidade do Snapd com as duas falhas do Multipathd pode permitir que qualquer usuário sem privilégios obtenha privilégios de root em um dispositivo vulnerável. A vulnerabilidade não pode ser explorada remotamente, mas os pesquisadores advertem que é perigosa porque pode ser explorada por um usuário sem privilégios. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está ciente de mais de uma dúzia de vulnerabilidades do Linux que foram exploradas em ataques, incluindo uma falha explorada na natureza por um malware furtivo do Linux chamado Shikitega e a falha de segurança conhecida como PwnKit.

Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/

from boletim-diario-seguranca.