Relatório aponta vulnerabilidades críticas em importantes sistemas

Siga o Olhar Digital no Google Discover

*Atualização de 12/03/2024, às 19h57: Atualizamos a reportagem com as respostas de Cloudfare, Ivanti e Fortinet

Ofertas

Vendido por Amazon

Carregador Fonte para Notebook Asus 19V 2.37A 45W com Pino Fino 4.0x1.35mm, compatível com VivoBook X543ua X543ma X515 X512 X510U ZenBook 14 UX433FA UX431FA X512F, referência Ad2108020 bivolt

De: R$ 67,44
Por: R$ 59,95

Vendido por Amazon

Garmin Relógio Venu 3 Branco 45mm com Monitor Cardíaco de Pulso e GPS

De: R$ 4.699,00
Por: R$ 3.099,00

Vendido por Amazon

eufy Câmera S3 Pro Kit 2+1 por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Energia Solar, Visão Noturna MaxColor, Reconhecimento Facial por IA, Compatível com Alexa, Sem taxas mensais

De: R$ 3.499,00
Por: R$ 3.324,00

Vendido por Amazon

eufy HomeBase3, Câmera de segurança, Reconhecimento Facial por IA, Armazenamento Local Expansível até 16TB, Criptografia Avançada, Ecossistema de Segurança eufy, Sem taxas mensais

De: R$ 1.049,00
Por: R$ 799,00

Vendido por Amazon

Bettdow SmartWatch, Relogio Smartwatch Feminino, 1.27" Ecrã tátil, à prova d'água IP68, 100+ Modos Esportivos, chamada Bluetooth, Compatível com Android iOS, voz por IA (Azul)

De: R$ 299,00
Por: R$ 241,44

Vendido por Amazon

Combo Teclado e Mouse sem fio Logitech POP Icon com Teclas e Botões Personalizáveis, Clique Silencioso, Easy-Switch para até 3 dispositivos e Conexão Bluetooth - Grafite

De: R$ 499,90
Por: R$ 349,90

Vendido por Amazon

eufy Câmera S330 (eufyCam 3) 2-Cam Kit por anker, Câmera De Segurança Wi-Fi Externa Sem Fio, 4K, Painel Solar, Forever Power, Reconhecimento Facial IA, Armazenamento Local Até 16TB, Sem Taxa Mensal

De: R$ 2.399,00
Por: R$ 2.159,00

Vendido por Amazon

soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios

De: R$ 339,00
Por: R$ 188,99

Vendido por Amazon

WB Smart Tag Localizador Bluetooth, Rastreador Compatível com o Apple Find My, bateria substituível, Localizador de itens para bolsas

De: R$ 88,00
Por: R$ 45,00

Vendido por Amazon

Anker Nano Carregador Portátil, Power Bank Compacto 10000mAh 45W Máx., Bateria Portátil Essencial para Viagens com Cabo Retrátil InstaCord de 70 cm para iPhone 17/16 Series, iPad, Galaxy, Pixel e Mais

De: R$ 399,00
Por: R$ 379,00

Vendido por Amazon

Capa com Teclado Combo Touch para iPad (10ª geração e A16) Com Teclado Retroiluminado Destacável com Suporte, Trackpad Preciso e Tecnologia Smart Connector - Cinza

De: R$ 1.629,90
Por: R$ 1.239,90

Vendido por Amazon

ULANZI VL-200Bi 200W luz de estúdio bicolor, luz de preenchimento COB, iluminação de saída contínua com controle de APP, 2700K-6500K, 6 cenas, montagem Bowens

De: R$ 1.179,00
Por: R$ 943,20

Vendido por Amazon

eufy Câmera S350, Camera de Segurança Wi-Fi, 4K Inteligente com Câmera Dupla, Visão 360°, Zoom 8×, Visão Noturna, Babá Eletrônica, Rastreamento por IA, Compatível com Alexa e HomeBase 3

De: R$ 999,00
Por: R$ 798,99

Vendido por Amazon

WAAW By ALOK Fone de Ouvido Bluetooth SENSE 310 Com Cancelamento de Ruído e Assistente de Voz, 30h de Bateria

De: R$ 329,90
Por: R$ 205,91

Vendido por Amazon

WAAW by ALOK Caixa de Som US 200SB DUO Bluetooth 2 em 1, Resistente à Água, Acabamento Metálico, TWS, 20W RMS

De: R$ 599,90
Por: R$ 476,10

Vendido por Amazon

Eufy Cam E340 Câmera De Segurança Wi-Fi Dual Band (2.4/5GHz) Exterior, 360° PTZ, Gravação 24/7, 2000 Lúmens, Detecção de Movimento + Sirene Integrada, Câmera Dupla, Sem Taxa Mensal, Branco

De: R$ 1.199,00
Por: R$ 1.139,05

Vendido por Amazon

Novo Kindle Paperwhite Signature Edition (32 GB) - O Kindle mais rápido já lançado, com luz frontal autoadaptável, carregamento sem fio e bateria que dura semanas - Cor Preta Metálica

De: R$ 1.199,00
Por: R$ 949,00

Vendido por Amazon

Cis Cola Em Bastão Fix 34 Gramas, Blister

De: R$ 9,60
Por: R$ 7,60

Vendido por Amazon

Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar (Azul)

Por R$ 38,70

Vendido por Amazon

Compasso Escolar 106-S, CIS, 18.7700, Estojo c/1 sortido (Não é possível escolher cor)

De: R$ 31,40
Por: R$ 21,77

Vendido por Amazon

Ecolapis Cor Pastel F.Castell 10 Cores, Faber-Castell, 120510P, Multicor, pacote de 10

De: R$ 21,00
Por: R$ 16,63

Vendido por Amazon

Tilibra - Estojo Box Académie Cinza

De: R$ 106,90
Por: R$ 59,95

Vendido por Amazon

Estojo Escolar Box Grande Organizador com Divisórias e Alça - Estojo Necessaire Unissex Capacidade Ampla para Lápis, Canetas, Material Escolar (Preto)

Por R$ 34,90

Vendido por Amazon

Chamequinho Papel A4, 75 g, 100 Folhas, Verde Sulfite

De: R$ 9,90
Por: R$ 7,20

Vendido por Amazon

Combo Teclado e Mouse Sem Fio Logitech MK250 Bluetooth com Conectividade Rápida e Fácil, Design Compacto, Mouse Ambidestro, Layout ABNT2, Construção Durável, Compatível com PC e Mac - Rosa

De: R$ 169,90
Por: R$ 139,90

Vendido por Amazon

Combo Teclado e Mouse sem fio Logitech MK235 com Conexão USB, Pilhas Inclusas e Layout ABNT2

De: R$ 149,90
Por: R$ 119,90

Vendido por Amazon

Anker MagGo Power Bank, Carregador Portátil com Certificação Qi2 de 15W, Compatível com MagSafe, 10.000mAh, Tela Inteligente e Suporte Dobrável, para iPhone 17/15/14/13/12, Inclui Cabo USB-C, Branco

De: R$ 699,00
Por: R$ 398,99

Vendido por Amazon

Mouse Sem Fio Logitech M330 SILENT com Clique Silencioso, Design Destro, Bateria de 18 Meses, Receptor USB, Compatível com Windows, macOS, ChromeOS e Pilha Inclusa - Preto

De: R$ 109,90
Por: R$ 79,90

Vendido por Amazon

Webcam Full HD Logitech Brio 100 com Microfone Integrado, Proteção de Privacidade, Correção Automática de Luz e Conexão USB-C - Grafite

De: R$ 299,90
Por: R$ 199,90

A Redbelt Security, consultoria especializada em segurança cibernética, liberou novo relatório, que traz as principais vulnerabilidades de segurança identificadas em algumas das maiores empresas do mundo pela companhia.

Segundo a Redbelt, este relatório visa fornecer visão mais abrangente das ameaças atuais enfrentadas pelo cenário corporativo global e tenta conscientizar as corporações acerca da importância de fortalecerem seus ambientes digitais contra ataques cibernéticos.

Leia mais:

• AliExpress: como denunciar produtos e vendedores
• Assistência técnica: qual a diferença entre autorizada e especializada?
• Hackers russos roubaram código-fonte da Microsoft, segundo a empresa

Relatório acusa vulnerabilidades nos sistemas AWS, Microsoft, Fortinet e Cloudflare

A análise da companhia trouxe, entre outros alertas, supostas vulnerabilidades nos sistemas AWS, Microsoft, Fortinet e Cloudflare. Confira, a seguir, todas as vulnerabilidades identificadas recentemente:

• Violação da Cloudflare: Conforme a Redbelt, a Cloudflare revelou ter sofrido ataque, no qual o invasor usou credenciais roubadas para obter acesso não-autorizado ao servidor Atlassian, acessando documentações e quantidade limitada de código-fonte. O objetivo do objetivo seria obter acesso persistente e generalizado a rede global da Cloudflare. O invasor foi descrito como sofisticado e a Cloudfare diz ter operado de forma ponderada e metódica;
• Malware surge em ataques que exploram vulnerabilidades da Ivanti VPN: a Mandiant, empresa do Google, disse ter encontrado novo malware empregado por atacante de ameaça de espionagem no nexo da China, conhecido como UNC5221, e por outros grupos de ameaças durante atividades pós-exploração que visavam dispositivos Ivanti Connect Secure VPN e Policy Secure, informa a Redbelt. As falhas foram realizadas como zero-day desde o início de dezembro de 2023. O Escritório Federal de Segurança da Informação (BSI) da Alemanha informou estar ciente de múltiplos sistemas comprometidos no país;
• Novas falhas no Azure Hdisight Spark, Kafka e Hadoop: três novas vulnerabilidades de segurança teriam sido descobertas no Apache Hadoop, Kafka e Spark do Azure HDInsight, que poderiam ser exploradas para obter escalonamento de privilégios e uma condição de negação de serviço (ReDoS) de expressão regular. Segundo relatório técnico, as novas vulnerabilidades afetam qualquer usuário autenticado dos serviços Azure HDInsight, como Apache Ambari e Apache Oozie. Após a divulgação, a Microsoft lançou correções nas atualizações lançadas em 26 de outubro de 2023;
• Patches críticos lançados para novas falhas em produtos Cisco, Fortinet e VMware: Cisco, Fortinet e VMware lançaram correções de segurança para várias vulnerabilidades de segurança. Entre elas, diz a Redbelt, pontos fracos críticos que poderiam ser explorados para executar ações arbitrárias nos dispositivos afetados. Os problemas foram encontrados durante testes de segurança internos e resultam de proteções CSRF insuficientes para a interface de gerenciamento baseada na Web, o que poderia permitir que um invasor executasse ações arbitrárias com nível de privilégio do usuário afetado;
• Fortinet alerta sobre falha crítica sob exploração ativa: a Fortinet divulgou nova falha crítica de segurança no FortiOS SSL VPN. A vulnerabilidade, nomeada CVE-2024-21762 (pontuação CVSS: 9,6), permite execução de códigos e comandos arbitrários. Em boletim, a empresa afirmou que “uma vulnerabilidade de gravação fora dos limites [CWE-787] no FortiOS pode permitir que um invasor remoto não autenticado execute código ou comando arbitrário por meio de solicitações HTTP especialmente criadas”. A empresa também indicou que a questão pode estar sendo potencialmente explorada, mas não deu detalhes sobre como está sendo transformada em arma e por quem;
• Script malicioso “remetente do sns” se aproveita da AWS e faz ataques em massa de smishing: um script, escrito em Python, malicioso, conhecido como SNS Sender, vem sendo anunciado como maneira de os agentes de ameaças enviarem mensagens smishing em massa, abusando do Serviço de Notificação Simples (SNS) da Amazon Web Services (AWS). As mensagens de phishing enviadas via SMS são desenvolvidas para propagação de links maliciosos e captura de informações de identificação pessoal, além de detalhes do cartão de pagamento das vítimas. A Fortinet FortiGuard Labs alertou sobre o malware e disse que ele é instalado por meio de cadeia de infecção de quatro estágios que começa com um arquivo ISO embutido em mensagens de e-mail.

“Reconhecemos a gravidade dos ataques e os impactos que podem gerar. Por isso, enfatizamos a importância de uma abordagem cada vez mais personalizada em segurança cibernética”, afirma Marcos de Almeida, gerente de Red Team da Redbelt.

Respostas das empresas citadas

Confira, a seguir, o posicionamento da Fortinet sobre o tema enviado ao Olhar Digital:

Na Fortinet, equilibramos diligentemente o nosso compromisso com a segurança dos nossos clientes e a nossa cultura de transparência. A equipe de segurança de produtos da Fortinet trabalha diligentemente para identificar bugs antes da publicação do código. Mesmo com processos implementados que colocam a segurança na vanguarda do ciclo de vida de desenvolvimento de produtos e o compromisso de fornecer o mais alto padrão de garantia de segurança, ocorrem vulnerabilidades que são as mesmas para todos os outros fornecedores. Por exemplo, em 2022, havia 25.227 vulnerabilidades rastreadas em mais de dois mil fornecedores, de acordo com o banco de dados de Vulnerabilidades Nacionais do NIST.

Testamos rigorosamente a segurança dos nossos produtos em todos os estágios do ciclo de vida de desenvolvimento do produto, desde testes internos e externos até a certificação do produto – incluindo SAST (teste estático de segurança de aplicações), DAST (teste dinâmico de segurança das aplicações), SCA (análise de composição de software) e teste de penetração, entre outros – mas, um dos métodos mais produtivos tem sido as auditorias manuais de código seguro dos nossos produtos.

Este é um trabalho intensivo e árduo no qual muitos fornecedores optam conscientemente por não investir, mas que gerou resultados significativos para o objetivo da Fortinet de melhor proteger e proteger nossos clientes – com mais de 80% de todas as vulnerabilidades publicadas em 2022 provenientes de pesquisas internas.

Ao descobrir a maioria das vulnerabilidades usando mecanismos internos, a Fortinet é mais capaz de se antecipar aos adversários cibernéticos e desenvolver correções antes que possam ser exploradas. Estamos particularmente orgulhosos desta estatística de 80% porque destaca a nossa dedicação à divulgação responsável e o nosso compromisso em ajudar os clientes a tomar decisões informadas com base no risco.

A cultura da Fortinet de divulgação PSIRT proativa, transparente e responsável é uma das muitas maneiras pelas quais nos mostramos como membros responsáveis de um ecossistema maior de segurança cibernética.

Em contraste, existem fornecedores de segurança que dependem de pesquisadores independentes ou de uma violação ativa para os notificar sobre problemas e, nesses cenários, os clientes não se beneficiam do benefício do planejamento e da mitigação antecipados.

Fortinet, em nota enviada ao Olhar Digital

Por sua vez, a Cloudfare dedicou um post de blog inteiro para tratar sobre o tema e o enviou ao Olhar Digital. Nele, a empresa destaca que o ataque foi identificado em 23 de novembro de 2023. “Nossa equipe de segurança iniciou imediatamente uma investigação, cortou o acesso do agente da ameaça e, no domingo, 26 de novembro, trouxemos a equipe forense da CrowdStrike para realizar sua própria análise independente”, relatou.

Queremos enfatizar aos nossos clientes que nenhum sistema ou dados de clientes da Cloudflare foram afetados por este evento.  Devido aos nossos controles de acesso, regras de firewall e uso de chaves de segurança rígidas aplicadas por meio de nossas próprias ferramentas Zero Trust, a capacidade do agente da ameaça de se mover lateralmente foi limitada.  Nenhum serviço foi implicado e nenhuma alteração foi feita em nossos sistemas ou configurações de rede global.  Esta é a promessa de uma arquitetura Zero Trust: é como compartimentos estanques em um navio, onde um comprometimento em um sistema é limitado para não comprometer toda a organização.

Cloudfare, em post de blog

A companhia explicou que um agente de ameaças fez reconhecimento e depois acessou seu wiki interno (que usa o Atlassian Confluence) e seu banco de dados de bugs (Atlassian Jira). “Em 20 e 21 de novembro, observamos acesso adicional indicando que o agente poderia ter voltado para testar o acesso e garantir que tinha conectividade”, prosseguiu.

“Ele, então, retornou em 22 de novembro e estabeleceu acesso persistente ao nosso servidor Atlassian usando ScriptRunner for Jira, obteve acesso ao nosso sistema de gerenciamento de código-fonte (que usa Atlassian Bitbucket) e tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil.”

A Cloudfare destacou ainda que o atacante fez isso usando token de acesso e três credenciais de conta de serviço que foram obtidas e que ela não foi capaz alternar após o comprometimento do Okta de outubro de 2023. “Todos os acessos e conexões do agente da ameaça foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade de ameaça foi em 24 de novembro às 7h44 [horário de Brasília]”, pontuou.

Embora entendamos que o impacto operacional do incidente foi extremamente limitado, levamos esse incidente muito a sério porque um agente de ameaça usou credenciais roubadas para obter acesso ao nosso servidor Atlassian e acessou alguma documentação e uma quantidade limitada de código-fonte. Com base em nossa colaboração com colegas do setor e do governo, acreditamos que este ataque foi realizado por um invasor de um estado-nação com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare.

Cloudfare, em post de blog

O agente invasou tentou, ainda, acessar servidor de console do novo data center da empresa, porora inativo, em São Paulo (SP). Lá, contudo, todas as tentativas de obter acesso foram infrutíferas. Para garantir que esses sistemas sejam 100% seguros, a Cloudfare resolveu devolver todos os equipamentos do data center brasileiro aos seus respectivos fabricantes.

Após a remoção do agente invasor, a Cloudfare disse ter iniciado “projeto chamado de ‘Code Red”. O foco foi fortalecer, validar e corrigir qualquer controle em nosso ambiente para garantir que estamos seguros contra futuras intrusões e para validar que o agente da ameaça não poderia obter acesso ao nosso ambiente.  Além disso, continuamos investigando cada sistema, conta e registro para garantir que o agente da ameaça não tivesse acesso persistente e que conhecíamos completamente quais sistemas ele tinha tocado e quais tinha tentado acessar”.

Para ler todo o ocorrido e as ações tomadas pela empresa, leia o post completo neste link (em português).

A Ivanti enviou ao Olhar Digital o seguinte posicionamento:

A Ivanti, Mandiant, CISA e outras organizações da JCSA continuam a recomendar que os resposnáveis pela segurança apliquem as orientações de patch disponíveis fornecidas pela Ivanti, caso ainda não o tenham feito, e executem a Ferramenta Verificadora de Integridade (ICT) atualizada da Ivanti, lançada em 27 de fevereiro, para ajudar a detectar vetores de ataque conhecidos, juntamente com monitoramento contínuo. A Ivanti e nossos parceiros não têm conhecimento de nenhum caso de persistência bem-sucedida do agente de ameaça após a implementação das atualizações de segurança e redefinições de fábrica recomendadas pela Ivanti.

Ivanti, em nota enviada ao Olhar Digital

O Olhar Digital segue aguardando resposta das demais empresas citadas pelo relatório da Redbelt e aguarda retorno. Assim que elas se manifestarem, atualizaremos esta reportagem.