Na sexta-feira, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA, na sigla em inglês) aumentou em cinco a sua lista de problemas de segurança que os agentes de ameaças usaram em ataques, sendo três deles no Veritas Backup Exec, explorados para implantar ransomware.
Uma das vulnerabilidades foi explorada como zero-day como parte de uma cadeia de exploração que visava o navegador da web da Samsung e outra que permite que os atacantes aumentem os privilégios em máquinas Windows.
Das cinco vulnerabilidades que a CISA adicionou hoje ao catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), apenas uma foi classificada como crítica, um problema no software de proteção de dados da Veritas, rastreado como
CVE-2021-27877
, que permite acesso remoto e execução de comando com privilégios elevados.
Um relatório divulgado no início desta semana pela empresa de segurança cibernética Mandiant informa que o
CVE-2021-27877
foi usado por um afiliado da operação de ransomware ALPHV/BlackCat para obter acesso inicial à rede-alvo.
As outras duas falhas (
CVE-2021-27876
,
CVE-2021-27878
) que afetam o Veritas Backup Exec também foram exploradas no ataque, permitindo ao invasor acessar arquivos arbitrários e executar comandos arbitrários no sistema.
Vale ressaltar que a Veritas corrigiu todas as três vulnerabilidades em março de 2021 e que milhares de instâncias do Backup Exec estão atualmente acessíveis pela web pública.
A vulnerabilidade zero-day explorada contra o navegador da web da Samsung é rastreada como
CVE-2023-26083
e afeta o driver Mali GPU da Arm.
]
Parte de uma cadeia de exploração que entregou spyware comercial em uma campanha descoberta em dezembro de 2022 pelo Threat Analysis Group (TAG) do Google, o problema de segurança é uma falha de informação que permite expor metadados sensíveis do kernel.
Em uma atualização anterior do KEV no final de março, a CISA incluiu no catálogo as outras vulnerabilidades exploradas na cadeia de exploração, algumas das quais eram zero-days na época do ataque.
A quinta vulnerabilidade que a CISA adicionou ao KEV é identificada como
CVE-2019-1388
.
Ela afeta o Diálogo de Certificado do Windows da Microsoft e foi usada em ataques para executar processos com privilégios elevados em uma máquina previamente comprometida.
As agências federais nos Estados Unidos têm até 28 de abril para verificar se seus sistemas são afetados pelas vulnerabilidades recém-adicionadas e aplicar as atualizações necessárias.
Como parte da diretiva operacional vinculante (BOD 22-01) de novembro de 2021, as agências do Poder Executivo Civil Federal (FCEB) devem verificar e corrigir suas redes para todos os bugs incluídos no catálogo KEV, que atualmente tem 911 entradas.
Mesmo que o KEV seja principalmente direcionado a agências federais, é altamente recomendável que empresas privadas em todo o mundo tratem com prioridade as vulnerabilidades no catálogo.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...