CISA ordena que agências governamentais corrijam bugs explorados por hackers russos
23 de Junho de 2023

Na quinta-feira, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou seis falhas de segurança à sua lista de vulnerabilidades exploradas conhecidas (KEV).

Três delas foram exploradas por ciberespiões russos APT28 para hackear servidores de e-mail Roundcube pertencentes a organizações governamentais ucranianas.

O grupo de ciberespionagem (também rastreado como BlueDelta, Fancy Bear) foi anteriormente vinculado à Diretoria de Inteligência Principal do Estado Maior General da Rússia (GRU), o serviço de inteligência militar do país.

De acordo com uma investigação conjunta da Insikt Group, divisão de pesquisa de ameaças da Recorded Future, e da Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA), os atacantes exploraram o conflito Rússia-Ucrânia para enganar os destinatários a abrir e-mails maliciosos para explorar as vulnerabilidades ( CVE-2020-35730 , CVE-2020-12641 e CVE-2021-44026 ) no software Roundcube Webmail e conceder acesso não autorizado a servidores não corrigidos.

Depois que os servidores de e-mail foram comprometidos, eles usaram scripts maliciosos para reconhecimento, colheita de e-mails de interesse e roubo do livro de endereços do Roundcube, cookies de sessão e outras informações valiosas armazenadas no banco de dados do Roundcube.

As evidências coletadas durante a investigação sugerem que o objetivo principal dessa campanha era extrair informações militares para apoiar a invasão da Ucrânia pela Rússia.

"Identificamos atividade da BlueDelta com alta probabilidade de visar um escritório de promotoria ucraniano regional e uma autoridade executiva ucraniana central, bem como atividade de reconhecimento envolvendo entidades governamentais ucranianas adicionais e uma organização envolvida na atualização e reforma de infraestrutura de aeronaves militares ucranianas", disse o Insikt Group.

Outras vulnerabilidades adicionadas hoje ao catálogo KEV pela CISA incluem um bug crítico do VMware agora corrigido que permite a execução remota de código ( CVE-2023-20887 ), bem como falhas de escalonamento de privilégios do Mozilla Firefox/Thunderbird ( CVE-2016-9079 ) e do Microsoft Win32k ( CVE-2016-0165 ) corrigidas em 2016.

As agências federais dos EUA devem verificar se seus sistemas são impactados por essas vulnerabilidades e aplicar atualizações ou medidas de segurança necessárias para protegê-los até 13 de julho.

De acordo com a Diretiva Operacional Obrigatória 22-01 emitida em novembro de 2021, as agências executivas civis federais (FCEB) devem avaliar e proteger suas redes para todas as vulnerabilidades listadas no catálogo KEV, que atualmente contém mais de 950 entradas.

Embora o foco principal do catálogo KEV seja alertar as agências federais sobre vulnerabilidades exploradas que devem ser corrigidas o mais rápido possível, é altamente recomendável que empresas privadas em todo o mundo priorizem a correção desses bugs.

No início deste mês, a agência de segurança cibernética ordenou que as agências federais dos EUA corrigissem uma vulnerabilidade do MOVEit explorada pelo grupo de crimes cibernéticos Clop para roubo de dados.

Na semana passada, a CISA também emitiu uma ordem pedindo às agências governamentais que protegessem o equipamento de rede mal configurado ou exposto à Internet dentro de 14 dias após a descoberta.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...