Hackers exploram cookies do F5 BIG-IP
11 de Outubro de 2024

A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) está alertando que observou atores de ameaças se aproveitando de cookies persistentes não criptografados gerenciados pelo módulo F5 BIG-IP Local Traffic Manager (LTM) para realizar reconhecimento de redes-alvo.

A agência informou que o módulo está sendo utilizado para enumerar outros dispositivos que não estão voltados para a internet na rede.

Contudo, a agência não revelou quem está por trás da atividade, nem quais são os objetivos finais da campanha.

"Um ator malicioso de cibersegurança poderia aproveitar as informações coletadas a partir de cookies de persistência não criptografados para inferir ou identificar recursos adicionais da rede e potencialmente explorar vulnerabilidades encontradas em outros dispositivos presentes na rede," disse a CISA em um comunicado.

Também recomendou que as organizações criptografem cookies persistentes utilizados em dispositivos F5 BIG-IP configurando a criptografia de cookies dentro do perfil HTTP.

Além disso, está instando os usuários a verificar a proteção de seus sistemas executando uma utilidade diagnóstica fornecida pela F5 chamada BIG-IP iHealth para identificar possíveis problemas.

"O componente Diagnósticos BIG-IP iHealth do sistema BIG-IP iHealth avalia os registros, saída de comandos e configuração do seu sistema BIG-IP contra um banco de dados de problemas conhecidos, erros comuns e melhores práticas publicadas pela F5," observa a F5 em um documento de suporte.

Os resultados priorizados fornecem feedback personalizado sobre problemas de configuração ou defeitos de código e fornecem uma descrição do problema, [e] recomendações para resolução.

A divulgação ocorre enquanto as agências de cibersegurança do Reino Unido e dos EUA publicaram um boletim conjunto detalhando as tentativas de atores patrocinados pelo estado russo de atacar os setores diplomático, de defesa, tecnológico e financeiro para coletar inteligência estrangeira e habilitar futuras operações cibernéticas.

A atividade foi atribuída a um ator de ameaça rastreado como APT29, também conhecido como BlueBravo, Cloaked Ursa, Cozy Bear e Midnight Blizzard.

Entende-se que o APT29 seja uma peça chave na máquina de inteligência militar russa e está afiliado ao Serviço de Inteligência Estrangeira (SVR).

"Intrusões cibernéticas do SVR incluem um foco intenso em permanecer anônimo e não detectado.

Os atores usam o TOR extensivamente durante as intrusões – desde o alvo inicial até a coleta de dados – e em toda a infraestrutura de rede," disseram as agências.

"Os atores alugam infraestrutura operacional usando uma variedade de identidades falsas e contas de e-mail de baixa reputação.O SVR obtém infraestrutura de revendedores de grandes provedores de hospedagem.

Ataques realizados pelo APT29 foram categorizados como aqueles projetados para colher inteligência e estabelecer acesso persistente de modo a facilitar comprometimentos da cadeia de suprimentos (ou seja, alvos de intenção), bem como aqueles que permitem hospedar infraestrutura maliciosa ou conduzir operações subsequentes de contas comprometidas aproveitando-se de falhas publicamente conhecidas, credenciais fracas, ou outras configurações incorretas (ou seja, alvos de oportunidade).

Algumas das vulnerabilidades de segurança significativas destacadas incluem CVE-2022-27924 , uma falha de injeção de comando no Zimbra Collaboration, e CVE-2023-42793 , um bug crítico de bypass de autenticação que permite a execução remota de código no TeamCity Server.

O APT29 é um exemplo relevante de atores de ameaças inovando continuamente em suas táticas, técnicas e procedimentos na tentativa de permanecer furtivos e contornar defesas, chegando ao ponto de destruir sua infraestrutura e apagar quaisquer evidências caso suspeite que suas intrusões tenham sido detectadas, seja pela vítima ou pela aplicação da lei.

Outra técnica notável é o uso extensivo de redes proxy, que compreendem provedores de telefonia móvel ou serviços de internet residencial, para interagir com vítimas localizadas na América do Norte e se misturar ao tráfego legítimo.

"Para interromper essa atividade, as organizações devem estabelecer uma linha de base para dispositivos autorizados e aplicar um escrutínio adicional aos sistemas que acessam seus recursos de rede e que não aderem à linha de base," disseram as agências.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...