CISA alerta sobre bugs ativamente explorados no Chrome e na biblioteca de análise do Excel
4 de Janeiro de 2024

A Agência de Segurança Cibernética e Infraestrutura dos EUA adicionou duas vulnerabilidades ao catálogo de vulnerabilidades exploradas conhecidas, uma falha recentemente corrigida no Google Chrome e um bug que afeta uma biblioteca em Perl de código aberto para leitura de informações em um arquivo Excel chamado Spreadsheet::ParseExcel.

A agência de defesa cibernética americana deu às agências federais até 23 de janeiro para mitigar as duas questões de segurança rastreadas como CVE-2023-7024 e CVE-2023-7101 , de acordo com as instruções do fornecedor, ou para parar de usar os produtos vulneráveis.

A primeira questão que a CISA adicionou ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV) é a CVE-2023-7101 , uma vulnerabilidade de execução de código remoto que afeta as versões 0.65 e anteriores da biblioteca Spreadsheet::ParseExcel.

“Spreadsheet::ParseExcel contém uma vulnerabilidade de execução de código remoto devido à passagem de entrada não validada de um arquivo para uma string do tipo “eval”.

Especificamente, a questão decorre da avaliação de strings de formato de número dentro da lógica de análise do Excel”, lê-se na descrição da CISA da falha.

A Spreadsheet::ParseExcel é uma biblioteca de uso geral que permite operações de importação/exportação de dados em arquivos Excel, execução de análises e de scripts de automação.

O produto também oferece uma camada de compatibilidade para processamento de arquivos Excel em aplicativos web baseados em Perl.

Um produto que usa a biblioteca de código aberto é o Barracuda ESG (Email Security Gateway), que foi alvo em dezembro de hackers chineses que exploraram a CVE-2023-7101 na Spreadsheet::ParseExcel para comprometer dispositivos.

Em colaboração com a empresa de segurança cibernética Mandiant, a Barracuda avalia que o ator de ameaças por trás dos ataques é a UNC4841, que aproveitou a falha para implantar os malwares 'SeaSpy' e 'Saltwater'.

A Barracuda aplicou mitigações para o ESG em 20 de dezembro, e uma atualização de segurança que abordou a CVE-2023-7101 foi disponibilizada em 29 de dezembro de 2023, com a versão 0.66 do Spreadsheet::ParseExcel.

A última vulnerabilidade explorada ativamente adicionada ao KEV é a CVE-2023-7024, uma questão de estouro de buffer de heap no WebRTC no navegador web Google Chrome.

“O Google Chromium WebRTC, um projeto de código aberto que fornece navegadores web com comunicação em tempo real, contém uma vulnerabilidade de estouro de buffer heap que permite a um invasor causar travamentos ou execução de código”, lê-se no resumo da CISA sobre a falha.

“Essa vulnerabilidade pode impactar navegadores web que usam WebRTC, incluindo mas não se limitando ao Google Chrome”, acrescenta a agência.

A falha foi descoberta pelo Grupo de Análise de Ameaças (TAG) do Google e recebeu uma correção por meio de uma atualização de emergência em 20 de dezembro, nas versões 120.0.6099.129/130 para Windows e 120.0.6099.129 para Mac e Linux.

Esta foi a oitava vulnerabilidade de zero-day que o Google corrigiu no Chrome em 2023, destacando o contínuo esforço e tempo que os hackers dedicam para encontrar e explorar falhas no navegador web amplamente utilizado.

O catálogo KEV da CISA é um recurso valioso para organizações ao redor do mundo que visam melhor gestão e priorização de vulnerabilidades.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...