A atividade hacker tem apresentado um aumento significativo na tentativa de comprometer dispositivos mal mantidos que são vulneráveis a problemas de segurança antigos, datados de 2022 e 2023.
A plataforma de monitoramento de ameaças GreyNoise está relatando picos em ataques explorando as vulnerabilidades
CVE-2022-47945
e
CVE-2023-49103
, que afetam o ThinkPHP Framework e a solução de compartilhamento e sincronização de arquivos em código aberto, ownCloud.
Ambas as vulnerabilidades possuem severidade crítica e podem ser exploradas para executar comandos arbitrários no sistema operacional ou para obter dados sensíveis (por exemplo, senha do administrador, credenciais do servidor de e-mail, chave de licença).
A primeira vulnerabilidade é um problema de inclusão de arquivo local (LFI) no parâmetro de linguagem do ThinkPHP Framework antes da versão 6.0.14.
Um atacante remoto não autenticado pode explorá-la para executar comandos arbitrários no sistema operacional em implantações onde o recurso de pacote de idiomas está habilitado.
A Akamai relatou no último verão que atores de ameaças chineses têm explorado essa falha desde outubro de 2023 em operações de escopo restrito.
De acordo com a plataforma de monitoramento de ameaças GreyNoise, a
CVE-2022-47945
está sob exploração em alto volume no momento, com ataques lançados de um número crescente de IPs fonte.
"A GreyNoise observou 572 IPs únicos tentando explorar essa vulnerabilidade, com a atividade aumentando nos últimos dias", alerta o boletim.
Isso ocorre apesar de sua baixa classificação no Exploit Prediction Scoring System (EPSS) de 7% e da falha não estar incluída no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA.
A segunda vulnerabilidade afeta o popular software de compartilhamento de arquivos em código aberto e surge da dependência do aplicativo em uma biblioteca de terceiros que expõe detalhes do ambiente PHP por meio de uma URL.
Logo após a divulgação inicial da vulnerabilidade pelos desenvolvedores em novembro de 2023, hackers começaram a explorá-la para roubar informações sensíveis de sistemas não atualizados.
Um ano depois, a
CVE-2023-49103
foi listada pelo FBI, CISA e NSA, entre as 15 vulnerabilidades mais exploradas de 2023.
Apesar de terem passado mais de 2 anos desde que o fornecedor lançou uma atualização que aborda a questão de segurança, muitas instâncias permanecem sem atualização e expostas a ataques.
A GreyNoise observou um aumento na exploração da
CVE-2023-49103
recentemente, com atividade maliciosa originada de 484 IPs únicos.
Para proteger os sistemas contra a exploração ativa, é aconselhado que os usuários atualizem para o ThinkPHP 6.0.14 ou posterior, e ownCloud GraphAPI para 0.3.1 ou mais recente.
Também é recomendado que instâncias potencialmente vulneráveis sejam retiradas do ar ou colocadas atrás de um firewall para reduzir a superfície de ataque.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...