Na quinta-feira, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou seis falhas de segurança à sua lista de vulnerabilidades exploradas conhecidas (KEV).
Três delas foram exploradas por ciberespiões russos APT28 para hackear servidores de e-mail Roundcube pertencentes a organizações governamentais ucranianas.
O grupo de ciberespionagem (também rastreado como BlueDelta, Fancy Bear) foi anteriormente vinculado à Diretoria de Inteligência Principal do Estado Maior General da Rússia (GRU), o serviço de inteligência militar do país.
De acordo com uma investigação conjunta da Insikt Group, divisão de pesquisa de ameaças da Recorded Future, e da Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA), os atacantes exploraram o conflito Rússia-Ucrânia para enganar os destinatários a abrir e-mails maliciosos para explorar as vulnerabilidades (
CVE-2020-35730
,
CVE-2020-12641
e
CVE-2021-44026
) no software Roundcube Webmail e conceder acesso não autorizado a servidores não corrigidos.
Depois que os servidores de e-mail foram comprometidos, eles usaram scripts maliciosos para reconhecimento, colheita de e-mails de interesse e roubo do livro de endereços do Roundcube, cookies de sessão e outras informações valiosas armazenadas no banco de dados do Roundcube.
As evidências coletadas durante a investigação sugerem que o objetivo principal dessa campanha era extrair informações militares para apoiar a invasão da Ucrânia pela Rússia.
"Identificamos atividade da BlueDelta com alta probabilidade de visar um escritório de promotoria ucraniano regional e uma autoridade executiva ucraniana central, bem como atividade de reconhecimento envolvendo entidades governamentais ucranianas adicionais e uma organização envolvida na atualização e reforma de infraestrutura de aeronaves militares ucranianas", disse o Insikt Group.
Outras vulnerabilidades adicionadas hoje ao catálogo KEV pela CISA incluem um bug crítico do VMware agora corrigido que permite a execução remota de código (
CVE-2023-20887
), bem como falhas de escalonamento de privilégios do Mozilla Firefox/Thunderbird (
CVE-2016-9079
) e do Microsoft Win32k (
CVE-2016-0165
) corrigidas em 2016.
As agências federais dos EUA devem verificar se seus sistemas são impactados por essas vulnerabilidades e aplicar atualizações ou medidas de segurança necessárias para protegê-los até 13 de julho.
De acordo com a Diretiva Operacional Obrigatória 22-01 emitida em novembro de 2021, as agências executivas civis federais (FCEB) devem avaliar e proteger suas redes para todas as vulnerabilidades listadas no catálogo KEV, que atualmente contém mais de 950 entradas.
Embora o foco principal do catálogo KEV seja alertar as agências federais sobre vulnerabilidades exploradas que devem ser corrigidas o mais rápido possível, é altamente recomendável que empresas privadas em todo o mundo priorizem a correção desses bugs.
No início deste mês, a agência de segurança cibernética ordenou que as agências federais dos EUA corrigissem uma vulnerabilidade do MOVEit explorada pelo grupo de crimes cibernéticos Clop para roubo de dados.
Na semana passada, a CISA também emitiu uma ordem pedindo às agências governamentais que protegessem o equipamento de rede mal configurado ou exposto à Internet dentro de 14 dias após a descoberta.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...