Relatório aponta vulnerabilidades críticas em importantes sistemas

*Atualização de 12/03/2024, às 19h57: Atualizamos a reportagem com as respostas de Cloudfare, Ivanti e Fortinet

A Redbelt Security, consultoria especializada em segurança cibernética, liberou novo relatório, que traz as principais vulnerabilidades de segurança identificadas em algumas das maiores empresas do mundo pela companhia.

Segundo a Redbelt, este relatório visa fornecer visão mais abrangente das ameaças atuais enfrentadas pelo cenário corporativo global e tenta conscientizar as corporações acerca da importância de fortalecerem seus ambientes digitais contra ataques cibernéticos.

Leia mais:

• AliExpress: como denunciar produtos e vendedores
• Assistência técnica: qual a diferença entre autorizada e especializada?
• Hackers russos roubaram código-fonte da Microsoft, segundo a empresa

Relatório acusa vulnerabilidades nos sistemas AWS, Microsoft, Fortinet e Cloudflare

A análise da companhia trouxe, entre outros alertas, supostas vulnerabilidades nos sistemas AWS, Microsoft, Fortinet e Cloudflare. Confira, a seguir, todas as vulnerabilidades identificadas recentemente:

• Violação da Cloudflare: Conforme a Redbelt, a Cloudflare revelou ter sofrido ataque, no qual o invasor usou credenciais roubadas para obter acesso não-autorizado ao servidor Atlassian, acessando documentações e quantidade limitada de código-fonte. O objetivo do objetivo seria obter acesso persistente e generalizado a rede global da Cloudflare. O invasor foi descrito como sofisticado e a Cloudfare diz ter operado de forma ponderada e metódica;
• Malware surge em ataques que exploram vulnerabilidades da Ivanti VPN: a Mandiant, empresa do Google, disse ter encontrado novo malware empregado por atacante de ameaça de espionagem no nexo da China, conhecido como UNC5221, e por outros grupos de ameaças durante atividades pós-exploração que visavam dispositivos Ivanti Connect Secure VPN e Policy Secure, informa a Redbelt. As falhas foram realizadas como zero-day desde o início de dezembro de 2023. O Escritório Federal de Segurança da Informação (BSI) da Alemanha informou estar ciente de múltiplos sistemas comprometidos no país;
• Novas falhas no Azure Hdisight Spark, Kafka e Hadoop: três novas vulnerabilidades de segurança teriam sido descobertas no Apache Hadoop, Kafka e Spark do Azure HDInsight, que poderiam ser exploradas para obter escalonamento de privilégios e uma condição de negação de serviço (ReDoS) de expressão regular. Segundo relatório técnico, as novas vulnerabilidades afetam qualquer usuário autenticado dos serviços Azure HDInsight, como Apache Ambari e Apache Oozie. Após a divulgação, a Microsoft lançou correções nas atualizações lançadas em 26 de outubro de 2023;
• Patches críticos lançados para novas falhas em produtos Cisco, Fortinet e VMware: Cisco, Fortinet e VMware lançaram correções de segurança para várias vulnerabilidades de segurança. Entre elas, diz a Redbelt, pontos fracos críticos que poderiam ser explorados para executar ações arbitrárias nos dispositivos afetados. Os problemas foram encontrados durante testes de segurança internos e resultam de proteções CSRF insuficientes para a interface de gerenciamento baseada na Web, o que poderia permitir que um invasor executasse ações arbitrárias com nível de privilégio do usuário afetado;
• Fortinet alerta sobre falha crítica sob exploração ativa: a Fortinet divulgou nova falha crítica de segurança no FortiOS SSL VPN. A vulnerabilidade, nomeada CVE-2024-21762 (pontuação CVSS: 9,6), permite execução de códigos e comandos arbitrários. Em boletim, a empresa afirmou que “uma vulnerabilidade de gravação fora dos limites [CWE-787] no FortiOS pode permitir que um invasor remoto não autenticado execute código ou comando arbitrário por meio de solicitações HTTP especialmente criadas”. A empresa também indicou que a questão pode estar sendo potencialmente explorada, mas não deu detalhes sobre como está sendo transformada em arma e por quem;
• Script malicioso “remetente do sns” se aproveita da AWS e faz ataques em massa de smishing: um script, escrito em Python, malicioso, conhecido como SNS Sender, vem sendo anunciado como maneira de os agentes de ameaças enviarem mensagens smishing em massa, abusando do Serviço de Notificação Simples (SNS) da Amazon Web Services (AWS). As mensagens de phishing enviadas via SMS são desenvolvidas para propagação de links maliciosos e captura de informações de identificação pessoal, além de detalhes do cartão de pagamento das vítimas. A Fortinet FortiGuard Labs alertou sobre o malware e disse que ele é instalado por meio de cadeia de infecção de quatro estágios que começa com um arquivo ISO embutido em mensagens de e-mail.

“Reconhecemos a gravidade dos ataques e os impactos que podem gerar. Por isso, enfatizamos a importância de uma abordagem cada vez mais personalizada em segurança cibernética”, afirma Marcos de Almeida, gerente de Red Team da Redbelt.

Respostas das empresas citadas

Confira, a seguir, o posicionamento da Fortinet sobre o tema enviado ao Olhar Digital:

Na Fortinet, equilibramos diligentemente o nosso compromisso com a segurança dos nossos clientes e a nossa cultura de transparência. A equipe de segurança de produtos da Fortinet trabalha diligentemente para identificar bugs antes da publicação do código. Mesmo com processos implementados que colocam a segurança na vanguarda do ciclo de vida de desenvolvimento de produtos e o compromisso de fornecer o mais alto padrão de garantia de segurança, ocorrem vulnerabilidades que são as mesmas para todos os outros fornecedores. Por exemplo, em 2022, havia 25.227 vulnerabilidades rastreadas em mais de dois mil fornecedores, de acordo com o banco de dados de Vulnerabilidades Nacionais do NIST.

Testamos rigorosamente a segurança dos nossos produtos em todos os estágios do ciclo de vida de desenvolvimento do produto, desde testes internos e externos até a certificação do produto – incluindo SAST (teste estático de segurança de aplicações), DAST (teste dinâmico de segurança das aplicações), SCA (análise de composição de software) e teste de penetração, entre outros – mas, um dos métodos mais produtivos tem sido as auditorias manuais de código seguro dos nossos produtos.

Este é um trabalho intensivo e árduo no qual muitos fornecedores optam conscientemente por não investir, mas que gerou resultados significativos para o objetivo da Fortinet de melhor proteger e proteger nossos clientes – com mais de 80% de todas as vulnerabilidades publicadas em 2022 provenientes de pesquisas internas.

Ao descobrir a maioria das vulnerabilidades usando mecanismos internos, a Fortinet é mais capaz de se antecipar aos adversários cibernéticos e desenvolver correções antes que possam ser exploradas. Estamos particularmente orgulhosos desta estatística de 80% porque destaca a nossa dedicação à divulgação responsável e o nosso compromisso em ajudar os clientes a tomar decisões informadas com base no risco.

A cultura da Fortinet de divulgação PSIRT proativa, transparente e responsável é uma das muitas maneiras pelas quais nos mostramos como membros responsáveis de um ecossistema maior de segurança cibernética.

Em contraste, existem fornecedores de segurança que dependem de pesquisadores independentes ou de uma violação ativa para os notificar sobre problemas e, nesses cenários, os clientes não se beneficiam do benefício do planejamento e da mitigação antecipados.

Fortinet, em nota enviada ao Olhar Digital

Por sua vez, a Cloudfare dedicou um post de blog inteiro para tratar sobre o tema e o enviou ao Olhar Digital. Nele, a empresa destaca que o ataque foi identificado em 23 de novembro de 2023. “Nossa equipe de segurança iniciou imediatamente uma investigação, cortou o acesso do agente da ameaça e, no domingo, 26 de novembro, trouxemos a equipe forense da CrowdStrike para realizar sua própria análise independente”, relatou.

Queremos enfatizar aos nossos clientes que nenhum sistema ou dados de clientes da Cloudflare foram afetados por este evento.  Devido aos nossos controles de acesso, regras de firewall e uso de chaves de segurança rígidas aplicadas por meio de nossas próprias ferramentas Zero Trust, a capacidade do agente da ameaça de se mover lateralmente foi limitada.  Nenhum serviço foi implicado e nenhuma alteração foi feita em nossos sistemas ou configurações de rede global.  Esta é a promessa de uma arquitetura Zero Trust: é como compartimentos estanques em um navio, onde um comprometimento em um sistema é limitado para não comprometer toda a organização.

Cloudfare, em post de blog

A companhia explicou que um agente de ameaças fez reconhecimento e depois acessou seu wiki interno (que usa o Atlassian Confluence) e seu banco de dados de bugs (Atlassian Jira). “Em 20 e 21 de novembro, observamos acesso adicional indicando que o agente poderia ter voltado para testar o acesso e garantir que tinha conectividade”, prosseguiu.

“Ele, então, retornou em 22 de novembro e estabeleceu acesso persistente ao nosso servidor Atlassian usando ScriptRunner for Jira, obteve acesso ao nosso sistema de gerenciamento de código-fonte (que usa Atlassian Bitbucket) e tentou, sem sucesso, acessar um servidor de console que tinha acesso ao data center que a Cloudflare ainda não havia colocado em produção em São Paulo, Brasil.”

A Cloudfare destacou ainda que o atacante fez isso usando token de acesso e três credenciais de conta de serviço que foram obtidas e que ela não foi capaz alternar após o comprometimento do Okta de outubro de 2023. “Todos os acessos e conexões do agente da ameaça foram encerrados em 24 de novembro e a CrowdStrike confirmou que a última evidência de atividade de ameaça foi em 24 de novembro às 7h44 [horário de Brasília]”, pontuou.

Embora entendamos que o impacto operacional do incidente foi extremamente limitado, levamos esse incidente muito a sério porque um agente de ameaça usou credenciais roubadas para obter acesso ao nosso servidor Atlassian e acessou alguma documentação e uma quantidade limitada de código-fonte. Com base em nossa colaboração com colegas do setor e do governo, acreditamos que este ataque foi realizado por um invasor de um estado-nação com o objetivo de obter acesso persistente e generalizado à rede global da Cloudflare.

Cloudfare, em post de blog

O agente invasou tentou, ainda, acessar servidor de console do novo data center da empresa, porora inativo, em São Paulo (SP). Lá, contudo, todas as tentativas de obter acesso foram infrutíferas. Para garantir que esses sistemas sejam 100% seguros, a Cloudfare resolveu devolver todos os equipamentos do data center brasileiro aos seus respectivos fabricantes.

Após a remoção do agente invasor, a Cloudfare disse ter iniciado “projeto chamado de ‘Code Red”. O foco foi fortalecer, validar e corrigir qualquer controle em nosso ambiente para garantir que estamos seguros contra futuras intrusões e para validar que o agente da ameaça não poderia obter acesso ao nosso ambiente.  Além disso, continuamos investigando cada sistema, conta e registro para garantir que o agente da ameaça não tivesse acesso persistente e que conhecíamos completamente quais sistemas ele tinha tocado e quais tinha tentado acessar”.

Para ler todo o ocorrido e as ações tomadas pela empresa, leia o post completo neste link (em português).

A Ivanti enviou ao Olhar Digital o seguinte posicionamento:

A Ivanti, Mandiant, CISA e outras organizações da JCSA continuam a recomendar que os resposnáveis pela segurança apliquem as orientações de patch disponíveis fornecidas pela Ivanti, caso ainda não o tenham feito, e executem a Ferramenta Verificadora de Integridade (ICT) atualizada da Ivanti, lançada em 27 de fevereiro, para ajudar a detectar vetores de ataque conhecidos, juntamente com monitoramento contínuo. A Ivanti e nossos parceiros não têm conhecimento de nenhum caso de persistência bem-sucedida do agente de ameaça após a implementação das atualizações de segurança e redefinições de fábrica recomendadas pela Ivanti.

Ivanti, em nota enviada ao Olhar Digital

O Olhar Digital segue aguardando resposta das demais empresas citadas pelo relatório da Redbelt e aguarda retorno. Assim que elas se manifestarem, atualizaremos esta reportagem.