segurança
Boletins de Segurança - Heimdall Security Research
O Heimdall, grupo de Threat Intelligence da ISH, apresenta os boletins sobre agentes de ameaças, Malwares utilizados por grupos maliciosos, Indicadores de Comprometimento, Técnicas, Táticas e Procedimentos (TTPs) e Análises de Artefatos e Mitigações, visando a prevenção de ataques e a evolução da maturidade da segurança cibernética.
ISH
Novo trojan com recursos avançados utilizado para acesso remoto.
Pesquisadores identificaram mediante exame aprofundado ao Xeno-RAT, que se trata de um trojan de acesso remoto disponibilizado no Github. O malware foi escrito na linguagem de programação C#, estável e totalmente open-source, sendo compatível com sistemas Windows 10 e 11.
ISH
Ransomware BlackCat/ALPHV para operação após alegações de roubo de US$ 22 milhões
A administração do ransomware ALPHV teria desativado seus servidores em meio a supostas alegações publicadas por um suposto afiliado, o qual foi responsável pelo ataque a Optum. O afiliado alegou que o administrador fugiu com 22 milhões de dólares advindos do pagamento de resgate.
ISH
Novo malware focado em ambientes Linux utiliza domínio falso para evasão
Pesquisadores identificaram um novo remote access trojan (RAT) denominado BIFROSE (Bifrost), o qual utilizava um falso domínio semelhante ao da VMWare.
ISH
Novas vulnerabilidades identificadas no TeamCity On-Premises
Duas novas vulnerabilidades críticas foram descobertas no TeamCity On-Premises e publicadas pela JetBrains. Caso sejam exploradas pode permitir que um ator não autenticado com acesso HTTP(S) a um servidor TeamCity contorne as verificações de autenticação e obtenha acesso administrativo.
ISH
CISA adiciona vulnerabilidade explorada ao catálogo KEV
A CISA adicionou uma nova vulnerabilidade ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A vulnerabilidade adicionada é a CVE-2023-29360, referente a uma vulnerabilidade de elevação de privilégios o Serviço de Streaming da Microsoft.
ISH
CISA alerta contra o uso de gateways Ivanti VPN hackeados
A CISA compartilhou aviso referente a invasores que hacekaram os dispositivos Ivanti VPN utilizando múltiplas vulnerabilidades exploradas ativamente podem conseguir manter a persistência de root mesmo após realizar a redefinições de fábricas.
ISH
Vulnerabilidade do Facebook pode ter permitido invasões de contas
Uma vulnerabilidade no Facebook pode ter permitido que atores de ameaça assumissem o controle de uma conta do Facebook sem que a vítima clicasse em nada (zero click). A vulnerabilidade foi encontrada por um caçador de recompensas do Nepal.
ISH
Governo alerta usuários do Ubiquiti EdgeRouter para ameaça MooBot do APT28
Agências de seguranças cibernéticas e de inteligência de diversas nações alertaram os usuários do Ubiquiti EdgeRouter para que estes adorem medidas de seguranças adicionais, tendo em vista que uma botnet chamada MooBot foi identificada.
ISH
Serviço de Inteligência Artificial Cutout.Pro tem seus dados vazados em fórum clandestino.
O serviço de Inteligência Artificial conhecido como Cutout.Pro teria sofrido uma violação de dados, expondo as informações pessoais de 20 milhões de membros, incluindo endereços de e-mail, hashes de senhas "salted", endereços IP e nomes.
ISH
Novo malware Lúcifer tem como alvo aplicações apache.
Pesquisadores da Aqua Nautilus, informaram sobre uma nova campanha direcionada à pilha de big data do Apache, especificamente Apache Hadoop e Apache Druid. Após investigação, descobriu-se que o agente malicioso explora configurações incorretas e vulnerabilidades existentes em honeypots na nuvem Apache para executar os ataques.
ISH
Wordfence alerta para falha critica em plug-in do WordPress
Recentemente a Wordfence alertou sobre uma falha crítica não autenticada de SQL Injection no plug-in Ultimate Member do WordPress, a qual foi classificada como CVE-2024-1071 com pontuação CVSS: 9,8 (crítico). O Ultimate Member, é um plugin de subscrição para WordPress, oferecendo uma gama de recursos premium, incluindo diretórios de membros para listar os usuários do site.
ISH
Grupo Russo APT Turla implanta novo backdoor para se manter oculto
Recentemente pesquisadores da Cisco Talos identificaram um novo backdoor criado e operado pelo grupo Turla APT, grupo russo de ameaças de espionagem cibernética. Este novo backdoor que atende por “TinyTurla-NG” (TTNG).
ISH
Nova campanha MaaS do Rhadamanthys Stealer direcionada ao setor de petróleo e gás
Recentemente a Cofense Intelligence tem monitorado uma campanha de avançada de Malware-as-a-Service information stealers do Rhadamanthys Stealer, onde a mesma está atingindo com sucesso os alvos pretendidos na indústria de Petróleo e Gás.
ISH
Novo worm automodificável de código aberto utilizado para ataques de rede
Recentemente pesquisadores da Sysdig Threat Research Team (TRT), alertaram sobre uma nova ferramenta de mapeamento de rede de código aberto chamada SSH-Snake, que está sendo reaproveitada por agentes de ameaças para fins maliciosos.
ISH
CISA, EPA e FBI lançam principais ações cibernéticas para proteger sistemas de água
Uma iniciativa recente da Agência de Segurança da Infraestrutura e Cibersegurança (CISA), do Federal Bureau of Investigation (FBI) e da Agência de Proteção Ambiental (EPA) resultou na publicação de uma ficha informativa com as principais ações cibernéticas a serem tomadas para proteger sistemas de água.
ISH
Campanhas de malwares tem como alvo serviços Google Cloud Run
Pesquisadores da Cisco TALOS, alertaram sobre o uso indevido do Google Cloud Run em campanhas maliciosas em alta escala, que disseminam diversos trojans bancários, entre eles Astaroth (também conhecido som Guildma), Mekotio e Ousaban, visando vítimas na América Latina e na Europa.
ISH
Ataque de ransomware confirmado por fabricante de software de infraestrutura crítica
A PSI Software SE, uma empresa alemã especializada em desenvolvimento de software para processos complexos de produção e logística, confirmou que o recente incidente cibernético relatado é, de fato, um ataque de ransomware que afetou sua infraestrutura interna.
ISH
Falhas perigosas encontradas no software ConnectWise ScreenConnect
Foram lançadas pela ConnectWise atualizações de software visando resolver duas vulnerabilidades de segurança encontradas no ScreenConnect, uma aplicação para desktop e acesso remoto. Destas, uma é considerada crítica, podendo possibilitar a execução de código de forma remota em sistemas vulneráveis.
ISH
Vulnerabilidades crítica e alta são corrigidas em produtos VMware
Recentemente a VMware solicitou aos administradores que renovem o plugin de autenticação que encontra-se descontinuado e visível a exposição de autenticação e ataques de sequestro de sessão em ambientes Windows em duas vulnerabilidades CVE-2024-22245 e CVE-2024-22250.
ISH
Vulnerabilidade alta e críticas são corrigidas em produtos Solarwind
Recentemente a SolarWinds lançou correções de cinco falhas de execução remota em sua solução Access Rights Manager (ARM), em que três delas tem como gravidade crítica, permitindo a exploração de acesso não autorizado. As CVE-2024-23476 e CVE-2024-23479 categorizadas como críticas, estão relacionadas a pontos fracos de path traversal, conhecido também como passagem de diretório, enquanto a CVE-2023-40057, também categorizada como crítica, é causada pela desserialização dos dados não confiáveis. As CVE-2024-23477 e CVE-2024-23478, categorizadas como alta, podem ser utilizadas para ataques de Remote code execution (RCE) tendo como nível de gravidade alta.
ISH
Várias vulnerabilidades publicadas em produtos F5
A F5 anunciou recentemente várias vulnerabilidades de segurança em seus produtos e suas correções, este relatório tem como objetivo servir como uma visão geral dessas vulnerabilidades e exposições de segurança para ajudar a determinar o impacto nos seus dispositivos F5
ISH
Vulnerabilidade de alta criticidade encontrada em produtos Ivanti
A Ivanti alertou recentemente sobre uma vulnerabilidade CVE-2024-22024 conhecida como XML External Entity Injection (XXE) de criticidade alta em dispositivos de gateway Conect Secure, Policy Secure e ZTA, permitindo que os invasores consigam contornar autenticações de segurança.
ISH
CISA adiciona duas vulnerabilidades exploradas conhecidas ao catálogo KEV
Recentemente a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA), anunciou a adição de duas novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Essas adições são baseadas em evidências de explorações ativas, pois esses tipos de vulnerabilidades são vetores de ataque frequentes para atores mal-intencionados e representam riscos significativos para as organizações.
ISH
RansomHouse cria ferramenta para automatizar a implantação em seu criptografador
Recentemente, foi identificada uma operação de ransomware denominada 'RansomHouse', que desenvolveu uma nova ferramenta denominada ‘MrAgent’. Ferramenta essa que tem a capacidade de automatizar a disseminação do software de criptografia de dados através de diversos hipervisores VMware ESXi.
ISH
100 Hospitais na Romênia afetados por ataque de Ransomware
Mais de 100 hospitais em toda a Romênia ficaram offline devido a um ataque de ransomware que atingiu o sistema de gestão de saúde. O Sistema de Informação Hipócrates (HIS) utilizado por hospitais para gerenciar atividades médicas e dados de pacientes foi alvo do ataque no fim de semana e ficou offline após o banco de dados ser criptografado.
ISH
CVE-2024-21413 - Vulnerabilidade crítica no Microsoft Outlook
Recentemente o pesquisador da Check Point, Haifei Li, descobriu uma vulnerabilidade de execução remota de código (RCE) CVE-2024-21413 ao abrir e-mails com links maliciosos usando uma versão vulnerável do Microsoft Outlook.
ISH
CVE-2024-21410, falha crítica em servidores Exchange Server
Na quarta-feira, a Microsoft confirmou que a vulnerabilidade crítica de segurança no Exchange Server, recentemente divulgada, estava sendo ativamente explorada. A vulnerabilidade CVE-2024-21410 é uma falha de segurança identificada nos servidores Microsoft Exchange que permite a elevação de privilégios. Isso ocorreu logo após o lançamento das correções para essa falha como parte das atualizações do Patch Tuesday, um dia antes.
ISH
Vulnerabilidade crítica do carregador de inicialização no Shim encontrada em distribuições Linux
Recentemente o pesquisador Bill Demirkapi, do Centro de Resposta de Segurança da Microsoft (MSRC) descobriu uma vulnerabilidade CVE-2023-40547) classificada como crítica em todos os carregadores de inicialização SHIM dos distribuições linux como, Red Hat, Debian, Ubuntu e SUSE.
ISH
Vulnerabilidades críticas da CISCO expõe gateways Expressway a ataques CSRF
A Cisco recentemente tomou medidas para corrigir diversas falhas que afetam os gateways de colaboração da série Expressway, sendo duas delas consideradas críticas. Essas falhas deixavam dispositivos vulneráveis a ataques de falsificação de solicitação entre sites (CSRF). As vulnerabilidades Cross-site Request Forgery (CSRF) podem ser exploradas por invasores para enganar usuários autenticados, levando-os a clicar em links maliciosos ou visitar páginas da web controladas pelos invasores.
ISH
Patch Tuesday de Fevereiro de 2024
Na terça feira saiu o Patch Tuesday de fevereiro de 2024 da Microsoft, o qual incluiu atualizações de segurança para um total de 73 falhas e 02 zero days. 05 vulnerabilidades foram classificadas como críticas.
ISH
Fortinet alerta para falha RCE em SSL VPN sendo explorada em ataques
A Fortinet emitiu um aviso sobre uma nova vulnerabilidade crítica de execução remota de código no FortiOS SSL VPN, que está sendo potencialmente explorada em ataques. Identificada como CVE-2024-21762, esta falha é classificada com uma gravidade de 9,8. Trata-se de uma vulnerabilidade de gravação fora dos limites no FortiOS, que possibilita a invasores não autenticados a execução remota de código (RCE) através de solicitações maliciosamente elaboradas.
ISH
JetBrains alerta sobre nova vulnerabilidade de desvio de autenticação do TeamCity
A JetBrains comunicou os clientes para que corrijam seus servidores TeamCiy On-Premises contra uma vulnerabilidade crítica de desvio de autenticação que pode permitir que invasores assumam o controle de instâncias vulneráveis com privilégios de administrador. A vulnerabilidade foi catalogada como CVE-2024-23917.
ISH
Vulnerabilidades encontradas em serviços Azure HDInsight
Recentemente pesquisadore de sgurança da Orca, descobriram três vulnerabilidades em serviços como Apache Hadoop, Spark e Kafka do Azure HDInsight. Duas delas tratam-se de vulnerabilidade de Privilege Escalation (PE) CVE-2023-36419 e CVE-2023-38156, e uma relacionada a Regex Denial of Service (ReDoS) no momento sem CVE.
ISH
Atualização sobre as vulnerabilidades FortiSIEM da Fortinet
A Fortinet comunicou que as vulnerabilidades identificadas como CVE-2024-23108 e CVE-2024-23109, que inicialmente foram apresentadas como novas vulnerabilidades no FortiSIEM, foram, na verdade, um erro. A empresa esclareceu que "não há novas vulnerabilidades publicadas para o FortiSIEM até agora em 2024" e que se tratava de "um erro de nível de sistema", comprometendo-se a corrigir e retirar as entradas errôneas.
ISH
Mispadu, Trojan bancário explorando falha do Windows SmartScreen
Pesquisadores da Unit42 descobriram recentemente atividades atribuídas ao Mispadu Stealer, um infostealer furtivo relatado pela primeira vez em 2019. Esse malware foi observado em relação com a exploração da vulnerabilidade CVE-2023-36025 neste caso, descobriram uma família de infostealer que tem como alvo regiões da América Latina.
ISH
Duas vulnerabilidades de pontuação máxima encontradas no FortiSIEM da Fortinet
Agora em fevereiro de 2024, a Fortinet atualizou discretamente um comunicado de 2023, unindo dois falhas críticas a lista de vulnerabilidades de execução de códigos ou comandos não autorizado, que afetam seu produto FortiSIEM. Se exploradas, essas vulnerabilidades podem permitir que um invasor remoto não autenticado execute comandos no sistema.
ISH
CVE-2024-21893, Ivanti, adicionada ao catálogo KEV da CISA devido a explorações
Recentemente a Ivanti, alertou sobre a vulnerabilidade server-side request forgery (SSRF) dos produtos Ivanti Connect Secure e do Ivanti Policy Secure que está classificada como criticidade alta. A CVE-2024-21893 é classificada como uma vulnerabilidade de falsificação de solicitação do lado do servidor no componente SAML.
ISH
CVE-2023-6246, falha na biblioteca GLIBC causa estouro de buffer em distribuições Linux
Recentemente a Qualys alertou sobre a vulnerabilidade CVE-2023-6264, uma falha de buffer overflow na biblioteca glibc pertencente a classe de Local Privilege Escalation (LPE) em heap. Isso permite que um atacante local sem privilégios possa escalar seus privilégios para o nível de acesso root.
ISH
Fabricante do software de acesso remoto AnyDesk confirmou ataque cibernético
A empresa fabricante de software de acesso remoto AnyDesk divulgou na sexta-feira (02 de fevereiro) que teria sofrido um ataque cibernético que comprometeu seus sistemas de produção. De acordo com a empresa, todos os certificados relacionados à segurança e os sistemas foram corrigidos ou substituídos quando necessário, afirmando ainda que iriam revogar o certificado de assinatura de código anterior para os binários da empresa, substituindo-o por um novo.
ISH
CISA alerta sobre vulnerabilidade sendo explorada no Apple iOS e macOS
Recentemente a CISA adicionou a vulnerabilidade CVE-2022-48618 da Apple ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (Known Exploited Vulnerabilities, KEV). Uma vulnerabilidade onde um invasor com capacidade arbitrária de leitura e gravação podendo ignorar o pointer authentication.
ISH
CISA lança dois comunicados sobre sistemas de controle industrial
Foram lançados recentemente pela CISA dois comunicados de Sistemas de Controle Industrial (ICS). Esses comunicados fornecem informações oportunas sobre problemas atuais de segurança, vulnerabilidades e explorações em torno do ICS.
ISH
Ataque do ransomware Cactus a Gigante de energia Schneider Electric
Ocorreu em janeiro de 2024 um ataque do ransomware Cactus à Schneider Electric, uma gigante no setor de gestão de energia e automação, o ataque foi direcionado especificamente à divisão de Sustentabilidade da empresa. Esta divisão é responsável por fornecer serviços de consultoria relacionados a soluções de energia renovável e conformidade regulatória climática para organizações empresariais pelo mundo.
ISH
Plugin de banco de dados do WordPress, sendo alvo de atividades maliciosas
Foi identificada uma vulnerabilidade crítica no plugin WordPress 'Better Search Replace'. Essa falha de segurança foi alvo de atividades mal-intencionadas, com relatos de milhares de tentativas de exploração em um curto perído de tempo. A vulnerabilidade de segurança foi classificada como CVE-2023-6933 e informa que o plugin Better Search Replace para WordPress é vulnerável à injeção de objetos PHP em todas as versões até 1.4.4, inclusive, por meio da desserialização de entradas não confiáveis.
ISH
Grupo malicioso APT 29 (Midnight Blizzard) direcionados a organizações globais
A Microsoft alertou sobre o ator de ameaça Midnight Blizzard (Conhecidos anteriormente como Nobelium), APT29, um grupo malicioso apoiado pelo governo Russo. Este grupo é conhecido por ter como alvo principal governos, entidades diplomáticas, organizações não governamentais (ONGs) e prestadores de serviços de TI, principalmente nos EUA e na Europa”. O grupo foi responsável por um ataque aos sistemas da Microsoft no final de novembro de 2023.
ISH
CVE-2024-23897 – Vulnerabilidade crítica no software Jenkins
A Jenkins corrigiu nove falhas de segurança, incluindo um bug crítico que, se explorado com sucesso, pode resultar em execução remota de código (RCE).
A vulnerabilidade identificada como CVE-2024-23897 foi caracterizada como uma falha que permite a leitura arbitrária de arquivos através da interface de linha de comando (CLI) embutida.
ISH
Ataque cibernético deixa a empresa global de fintech EquiLend offline
A EquiLend, uma importante empresa de fintech baseada em Nova York, enfrentou uma interrupção operacional significativa devido a um ataque cibernético que resultou no desligamento de parte de seus sistemas nesta semana.
ISH
Fortra alerta sobre nova vulnerabilidade crítica no GoAnywhere MFT
A Fortra recentemente emitiu um alerta referente a uma nova vulnerabilidade de desvio de autenticação. Esta falha afeta todas as versões anteriores à 7.4.1 do GoAnywhere MFT (Managed File Transfer), possibilitando que um atacante crie um novo usuário com privilégios administrativos.
ISH
Ransomware Kasseika realizando ataques BYOVD
Foi identificada recentemente uma nova operação de ransomware denominada Kasseika, que adotou a estratégia de usar a técnica Bring Your Own Vulnerable Driver (BYOVD). Essa abordagem é utilizada para neutralizar programas antivírus antes de iniciar o processo de criptografia de arquivos.
ISH
CVE-2024-23222 – Apple corrige primeira vulnerabilidade Zero-Day em 2024
Recentemente a Apple disponibilizou atualizações de segurança para corrigir a primeira vulnerabilidade zero-day identificada neste ano, a qual estava sendo utilizada em ataques e poderia comprometer dispositivos como iPhones, Macs e Apple TVs.
A vulnerabilidade foi classificada como CVE-2024-23222 é um problema de confusão do WebKit que os invasores podem explorar para obter execução de código em dispositivos direcionados.
ISH
Malware infecta milhares de TV Box Android tendo como principal alvo o Brasil
O botnet Bigpanzi foi observado infectando milhares de dispositivos de TV Android (TVBOX) e set-top boxes eCos principalmente através de atualizações de firmware maliciosas ou aplicativos com backdoors. No entanto, pesquisadores viram 1,3 milhão de endereços IP exclusivos associados à botnet desde agosto, a maioria no Brasil.
ISH
Vulnerabilidade do Apache ActiveMQ sendo explorada em ataques do Godzilla Web Shell
Pesquisadores de segurança cibernética da Trustwave observaram um aumento notável nos ataques que exploram a vulnerabilidade crítica CVE-2023-46604 em hosts Apache ActiveMQ. A exploração desta vulnerabilidade permite que os agentes da ameaça obtenham potencialmente acesso não autorizado a um sistema alvo, executando comandos shell arbitrários.
ISH
CVE-2023-34048, falha crítica na solução VMware vCenter Server sendo explorada em ataques
A empresa VMWare confirmou que a vulnerabilidade crítica (CVE-2023-34048) na solução VMware vCenter Server está sendo explorada em ataques por atores maliciosos, está falha ocorre especificamente na implementação do protocolo DCERPC. Esta vulnerabilidade permite a execução remota de código (RCE) por um ator malicioso com acesso à rede ao vCenter Server.
ISH
CVE-2023-6548 e CVE-2023-6549, adicionadas ao catálogo KEV da CISA
A Citrix, alertou sobre duas vulnerabilidades Zero Day que estão classificadas como criticidade média e alta nos produtos Netscaler ADC e Netscaler Gateway. A CVE-2023-6548 é classificada como uma vulnerabilidade de Execução Remota de Código (RCE) enquanto a CVE-2023-6549, uma vulnerabilidade de Negação de Serviço (DoS).
ISH
TeamViewer sendo utilizado novamente em ataques de ransomware
Recentemente, os especialistas em segurança cibernética da Huntress notificaram seus clientes acerca da identificação de dois endpoints levemente afetados por um ataque de ransomware. Isso significa que somente uma pequena quantidade de arquivos iscas de ransomware foi criptografada.
ISH
Google realiza correção do primeiro zero day explorado desde o início do ano
Recentemente a Google, alertou sobre uma vulnerabilidade Zero Day que está classificada como criticidade alta no navegador Chrome. A vulnerabilidade CVE-2024-0519 se refere a um acesso a memória V8 do Javascript e no mecanismo de WebAssembly, podendo ser usado como aliado por agentes maliciosos desencadeando uma falha.
ISH
Vulnerabilidades críticas em produtos Juniper Networks
A Juniper Networks identificou e alertou sobre vulnerabilidades críticas em seus firewalls da série SRX, switches da série EX, Junos OS e Junos OS Evolved, potencialmente expondo dispositivos a ataques de execução remota de código (RCE) e de negação de serviço (DoS).
ISH
CVE-2023-22527, falha crítica RCE no Confluence Data Center e Server da Atlassian
Recentemente a Atlassian, alertou sobre uma vulnerabilidade crítica com pontuação máxima nos produtos Confluence Data Center and Confluence Server. A vulnerabilidade CVE-2023-22527 é uma falha de execução remota de código (RCE) em versões desatualizadas do Confluence Data Center e Server da Atlassian.
ISH
CISA adiciona vulnerabilidade crítica do Microsoft SharePoint ao catálogo KEV
Recentemente a CISA adicionou a vulnerabilidade CVE-2023-29357 do Microsoft SharePoint Server ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (Known Exploited Vulnerabilities, KEV). Uma vulnerabilidade de elevação de privilégio do Microsoft SharePoint Server, a qual possui uma pontuação de criticidade de 9.8 CVSS.
ISH
Vulnerabilidade crítica zero-click CVE-2023-7028 no GitLab
Recentemente a GitLab alertou sobre a vulnerabilidade CVE-2023-7028, uma falha crítica zero-click descoberta no GitLab, afetando tanto a Edição Comunitária (CE) quanto a Edição Empresarial (EE) do software. Esta vulnerabilidade permite que atacantes realizem a redefinição de senha de contas de usuário sem a necessidade de interação do usuário, o que pode levar à tomada de controle dessas contas.
ISH
Ivanti alerta sobre zero days do Connect Secure e Policy Secure sendo explorados em ataques
Recentemente, a Ivanti anunciou a descoberta de duas vulnerabilidades críticas em seus produtos Connect Secure (ICS) e Policy Secure (IPS), que teriam sido exploradas por hackers chineses. Essas falhas permitem que atacantes remotos executem comandos não autorizados em gateways específicos.
ISH
Cisco corrigi falha de segurança importante no software Unity Connection
A Cisco recentemente corrigiu uma falha de segurança de alta importância no Unity Connection, a qual pode permitir que invasores não autenticados obtenham remotamente privilégios de root em dispositivos não corrigidos.
ISH
Patch Tuesday de janeiro de 2024 corrige 49 falhas, 12 bugs RCE
Na terça feira saiu o Patch Tuesday de janeiro de 2024 da Microsoft, o qual incluiu atualizações de segurança para um total de 49 falhas e 12 vulnerabilidades de execução remota de código. Duas vulnerabilidades foram classificadas como críticas, sendo uma delas um Windows Kerberos Security Feature Bypass e a outra um Hyper-V RCE.
ISH
CISA adiciona seis vulnerabilidades exploradas conhecidas ao KEV
Recentemente a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA), anunciou a adição de seis novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Essas adições são baseadas em evidências de explorações ativas realizadas por atores maliciosos.
ISH
Atores de ameaças explorando a CVE-2017-11882 para entregar o malware agente Tesla
Recentemente a pesquisadores da Zscaler ThreatLabz observaram uma onda de ataques onde criminosos cibernéticos utilizam o CVE-2017-11882 XLAM para disseminar em sistemas com versões desatualizadas do Microsoft Office o malware Agent Tesla, um keylogger sofisticado descoberto em 2014, projetado para roubar informações sensíveis.
ISH
Ataques Terrapin, milhões de servidores SSH vulneráveis
Recentemente pesquisadores da shadowserver, mapearam quase 11 milhões de servidores SSH expostos à Internet que estão vulneráveis ao ataque Terrapin. O ataque Terrapin é uma vulnerabilidade de segurança identificada no protocolo SSH (Secure Shell), que é amplamente utilizado para comandos seguros e controle através da Internet. Esta vulnerabilidade recebeu o identificador CVE-2023-48795.
ISH
CISA alerta sobre vulnerabilidades sendo exploradas na biblioteca de análise do Chrome e Excel
Recentemente a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou duas vulnerabilidades ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), uma falha recentemente corrigida no Google Chrome e um bug que afeta uma biblioteca Perl de código aberto para leitura de informações em um arquivo Excel chamado Spreadsheet::ParseExcel.
ISH
Os 07 tipos de malware mais comuns
Recentemente a ANY.RUN, uma plataforma de análise de malware que oferece um ambiente virtual para testar e investigar ameaças cibernéticas com a execução e observação de malwares, disponibilizou um relatório sobre os 07 principais tipos de malwares mais comuns em sua base, os quais serão apresentados logo mais neste boletim de segurança.
ISH
Atores de ameaças usando o App Installer de forma maliciosa para ganhos financeiros
Recentemente a equipe de inteligência da Microsoft, publicou em seu blog, sobre o abuso do esquema de URI do App Installer por atores de ameaças com motivações financeiras para disseminar malware. Grupos como Storm-0569, Storm-1113, Sangria Tempest, e Storm-1674 estão envolvidos nessa atividade desde meados de novembro de 2023.
ISH
Vulnerabilidade crítica no Apache OFBiz - CVE-2023-49070
Recentemente foi encontrada uma vulnerabilidade crítica no software Apache OFBiz - CVE-2023-49070, um sistema de planejamento de recursos empresariais (ERP) de código aberto. Esta vulnerabilidade é uma falha de execução remota de código (RCE) pré-autenticação que afeta versões anteriores à 18.12.10. Ela permite que atores mal-intencionados executem código arbitrário no servidor Apache OFBiz.
ISH
Emergências em hospitais alemães parados devido ao Ransomware Lockbit
O recente ataque de ransomware LockBit impactou gravemente três hospitais da rede hospitalar alemã Katholische Hospitalvereinigung Ostwestfalen (KHO). Afetou significativamente os sistemas que dão suporte às operações de três hospitais nas cidades de Bielefeld, Rheda-Wiedenbrück e Herford, na Alemanha.
ISH
Barracuda corrige novo zero day ESG explorado por ator de ameaça Chinês
A Barracuda, empresa de segurança de rede e e-mail, corrigiu recentemente uma vulnerabilidade zero-day em seus dispositivos Email Security Gateway (ESG), que estava sendo explorada por um grupo de hackers chinês conhecido como UNC4841. A vulnerabilidade, identificada como CVE-2023-7102, estava relacionada a uma falha na biblioteca de terceiros Spreadsheet::ParseExcel.
ISH
Ressurgimento do malware bancário Carbanak com novas táticas
O malware bancário Carbanak, que surgiu pela primeira vez em 2014, ressurgiu recentemente com novas táticas e métodos de ataque. Este malware é notório por ter sido usado por grupos de ransomware para infiltrar sistemas financeiros, empregando técnicas avançadas de phishing para comprometer funcionários de bancos.
ISH
CISA lança mais dois comunicados de segurança sobre sistemas de controle industrial (ICS)
Recentemente foram lançados mais dois comunicados de Sistemas de Controle Industrial (ICS) em dezembro de 2023. Esses comunicados fornecem informações oportunas sobre problemas atuais de segurança, vulnerabilidades e explorações em torno do ICS.
ISH
Ivanti corrige várias falhas críticas do produto Avalanche em atualização de segurança
Recentemente a Ivanti lançou atualizações de segurança para corrigir 13 vulnerabilidades críticas no Avalanche, sua solução de gerenciamento de dispositivos móveis empresariais (MDM). Essas vulnerabilidades incluem riscos de execução remota de código (RCE) e negação de serviço (DoS).
ISH
Novo malware Info-stealer JaskaGO
Recentemente pesquisadores da AT&T Alien Labs, descobriram um novo malware do tipo info-stealer baseado na linguagem Go, o qual foi chamado JaskaGO, mais detalhes sobre o mesmo, seguem no relatório.
ISH
8220 Gang explorando CVE-2020-14882 da Oracle Weblogic Server
A equipe de pesquisa da Imperva detectou atividades anteriormente não documentada da 8220 Gang, a qual é conhecida por implantar malwares em massa, utilizando uma variedade de TTPs em constante evolução. Sabe-se que esse agente de ameaça teria como alvo servidores web Windows e Linux com malware de cryptojacking.
ISH
Microsoft descobre falha crítica de RCE no Perforce Helix Core Server
Quatro vulnerabilidades foram identificadas, uma das quais, classificada como crítica fora descoberta no Perforce Helix Core Server, uma plataforma de gerenciamento de código-fonte amplamente utilizada pelos setores de jogos, governo, militar e tecnologia.
ISH
FBI alerta, ransomware Play já violou cerca de 300 organizações em todo o mundo
Recentemente, o Federal Bureau of Investigation (FBI), a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Centro Australiano de Segurança Cibernética da Diretoria de Sinais da Austrália (ASD's ACSC) lançaram um Conselho de Segurança Cibernética (CSA), conjunto chamados, #StopRansomware contra o Ransomware Play, o qual já violou cerca de 300 organizações em todo o mundo.