A empresa de cibersegurança Trend Micro lançou correções e hotfixes para resolver uma falha de segurança crítica nas soluções Apex One e Worry-Free Business Security para Windows que tem sido explorada ativamente em ataques do mundo real.
Rastreada como
CVE-2023-41179
(pontuação CVSS: 9,1), ela se relaciona a um módulo desinstalador de antivírus de terceiros que vem junto com o software.
A lista completa de produtos impactados é a seguinte:
Apex One - versão 2019 (on-premise), corrigida no SP1 Patch 1 (B12380)
Apex One como um Serviço - corrigido no SP1 Patch 1 (B12380) e versão do agente 14.0.12637
Worry-Free Business Security - versão 10.0 SP1, corrigida no 10.0 SP1 Patch 2495
Worry-Free Business Security Services - corrigido em 31 de julho de 2023, Release de Manutenção Mensal
A Trend Micro disse que uma exploração bem-sucedida da falha poderia permitir que um invasor manipulasse o componente para executar comandos arbitrários em uma instalação afetada.
No entanto, requer que o adversário já tenha acesso ao console administrativo no sistema alvo.
A empresa também alertou que "observou pelo menos uma tentativa ativa de exploração potencial dessa vulnerabilidade na natureza", tornando essencial que os usuários se movam rapidamente para aplicar as correções.
Como solução alternativa, está recomendando que os clientes limitem o acesso ao console de administração do produto a redes confiáveis.
O desenvolvimento vem quando a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) adicionou nove falhas ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), citando evidências de exploração ativa na natureza:
CVE-2014-8361
(pontuação CVSS: N/A) - Vulnerabilidade de Validação de Entrada Impropera do SDK da Realtek
CVE-2017-6884
(pontuação CVSS: 8,8) - Vulnerabilidade de Injeção de Comando dos Roteadores Zyxel EMG2926
CVE-2021-3129
(pontuação CVSS: 9,8) - Vulnerabilidade de Upload de Arquivo Laravel Ignition
CVE-2022-22265
(pontuação CVSS: 7,8) - Vulnerabilidade de Uso após Livre em Dispositivos Móveis da Samsung
CVE-2022-31459
(pontuação CVSS: 6,5) - Vulnerabilidade de Força de Criptografia Inadequada da Meeting Owl da Owl Labs
CVE-2022-31461
(pontuação CVSS: 6,5) - Vulnerabilidade de Autenticação Ausente para Função Crítica da Meeting Owl da Owl Labs
CVE-2022-31462
(pontuação CVSS: 8,8) - Vulnerabilidade de Uso de Credenciais codificadas da Meeting Owl da Owl Labs
CVE-2022-31463
(pontuação CVSS: 7,1) - Vulnerabilidade de Autenticação Impropera na Meeting Owl da Owl Labs
CVE-2023-28434
(pontuação CVSS: 8,8) - Vulnerabilidade de Violação de Segurança MinIO
Vale destacar que uma quinta falha impactando a Meeting Owl da Owl Labs (
CVE-2022-31460
, pontuação CVSS: 7,4), um caso de credenciais codificadas, foi adicionada anteriormente ao catálogo KEV em 8 de junho de 2022, apenas dias após a Modzero divulgar detalhes das falhas.
"Explorando as vulnerabilidades [...], um invasor pode encontrar dispositivos registrados, seus dados e proprietários de todo o mundo", disse a empresa suíça de consultoria em segurança na época. "
Os invasores também podem acessar capturas de tela confidenciais de quadros brancos ou usar a Owl para acessar a rede do proprietário.
A proteção de PIN, que protege a Owl contra o uso não autorizado, pode ser contornada por um invasor por (pelo menos) quatro abordagens diferentes."
Ainda mais preocupante, os dispositivos podem ser transformados em gateways de rede sem fio desonestos para uma rede corporativa local remotamente via Bluetooth por usuários arbitrários e podem ser abusados para agir como uma porta dos fundos para as redes locais dos proprietários.
Atualmente, não se sabe como essas vulnerabilidades são exploradas na natureza.
A fraqueza de segurança que impacta o MinIO tem sido abusada nos últimos meses, com a Security Joes revelando que um ator de ameaças não identificado está explorando isso em conjunto com o
CVE-2023-28432
(pontuação CVSS: 7,5) para alcançar a execução de código não autorizado em servidores suscetíveis e enviar cargas úteis subsequentes.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...