Foi descoberta uma injeção de código malicioso integrada nas versões 5.6.0 e 5.6.1 das bibliotecas XZ (CVE-2024-3094). Este código malicioso interfere com a autenticação ssh via systemd.

XZ Utils é um software de compressão de informação e pode estar presente em distribuições Linux. Refere-se o capítulo “Affected Versions” da referência [2] para mais informação sobre os sistemas afetados e respetivas versões.

Recomenda-se retroceder o XZ Utils para uma versão aparentemente não comprometida (versão 5.4.6).

Deve considerar-se a verificação dos sistemas.

O fabricante Fortinet publicou avisos de segurança, entre os quais se destacam duas vulnerabilidades (CVE-2024-21762 e CVE-2024-23113) críticas identificadas. 

A vulnerabilidade Out-of-Bound Write (CVE-2024-21762) acontece devido a um erro a processar os pedidos HTTP em sslvpnd e afeta FortiOS 7.0.0 a 7.0.13, FortiOS 7.2.0 a 7.2.6 e FortiOS 7.4.0 a 7.4.2. As versões FortiOS 6.x não são afetadas. Esta vulnerabilidade está a ser ativamente explorada. 

A vulnerabilidade CVE-2024-23113 trata o uso de uma cadeira de formato controlada externamente no FortiOS fgfmd daemon. Esta vulnerabilidade afeta todas as versões 6.0 FortiOS, FortiOS 6.2.0 a 6.2.15, FortiOS 6.4.0 a 6.4.14, FortiOS 7.0.0 a 7.0.13, FortiOS 7.2.0 a 7.2.6 e FortiOS 7.4.0 a 7.4.2. As versões 7.6 FortiOS não são afetadas.

Recomenda-se a aplicação da versão mais recente de cada produto.

No decurso da investigação de vulnerabilidades que impactam os produtos Ivanti, foi identificada uma vulnerabilidade de XXE (XML External Entity) (CVE-2024-22024) no componente SAML, que permite a um atacante aceder a determinados recursos restritos sem autenticação.

Esta vulnerabilidade afeta Ivanti Connect Secure (versões 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 and 22.5R1.1), Ivanti Policy Secure versão 22.5R1.1 e ZTA versão 22.6R1.3.

Recomenda-se a aplicação da última versão disponível e da leitura do artigo [2].

Foi identificada uma vulnerabilidade crítica de Execução Remota de Código (RCE) (CVE-2024-23897) que afeta Jenkins nas versões anteriores a 2.441 e a LTS 2.426.2. 

É recomendado atualizar os produtos para as suas versões mais recentes como descrito em [1].

Foram identificadas duas vulnerabilidades críticas que em conjunto permitem a Execução Remota de Código (RCE) e que afetam sistemas Ivanti Connect Secure e Policy Secure Gateways (CVE-2023-46805 e CVE-2024-21887) em todas as suas versões suportadas, nomeadamente - Versões 9.x e 22.x [1].

Uma vez que ainda não existem atualizações disponíveis, é recomendado seguir as medidas de mitigação indicadas em [1].

Foi identificada uma vulnerabilidade de exposição de informação sensível na aplicação graphapi do ownCloud. 
Esta aplicação depende de uma biblioteca de terceiros que fornece um URL. Quando este URL é acedido, revela detalhes da configuração do ambiente PHP (phpinfo). Esta informação inclui todas as variáveis ambiente do servidor web.
Note-se que o simples desativar da aplicação graphapi não mitiga a vulnerabilidade.

Recomenda-se eliminar o ficheiro owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php e desabilitar a função phpinfo nos docker-covntainers.
Também é recomendado alterar as credenciais do ownCloud admin, mail server, database e Object-Store/S3 access-key.

Foi identificada uma vulnerabilidade de elevação de privilégios (CVE-2023-20198) na funcionalidade Web UI do Cisco IOS XE Software, caso esta esteja exposta para a internet.
Esta vulnerabilidade está a ser explorada ativamente.
Recomenda-se a consulta dos detalhes técnicos e dos indicadores de comprometimento (IoC) nas referências [1] e [2].

É recomendado desativar a função HTTP Server e verificar se o sistema foi comprometido através dos indicadores de comprometimento disponíveis em [1].

Foi identificada uma vulnerabilidade crítica que se explorada com sucesso, no limite, pode permitir a Execução Remota de Código (RCE) (CVE-2023-4863) que afeta a biblioteca WebP. Esta biblioteca é utilizada na maioria dos browsers, como por exemplo, Google Chrome, Microsoft Edge, Mozilla Firefox e Safari.

É recomendado atualizar os browsers para as suas versões mais recentes.

Foi identificada uma vulnerabilidade no WinRAR (CVE-2023-38831) que permite a distribuição e infeção de dispositivos com código malicioso.

Os agentes maliciosos criam ficheiros .zip especialmente concebidos com código malicioso, que ao serem extraídos com a ferramenta WinRAR infetam o dispositivo, permitindo, consequentemente, a execução de código arbitrário.

Esta vulnerabilidade está a ser ativamente explorada.

Atendendo à universalidade desta vulnerabilidade, e de acordo com a informação do próprio fabricante, dados técnicos adicionais podem ser consultados na publicação do GROUP-IB — [2].

É recomendado atualizar para a versão mais recente (6.23 ou mais recente).

Foi publicada uma atualização de segurança que resolve três vulnerabilidades (CVE-2023-3466, CVE-2023-3467 e CVE-2023-3519) que afetam NetScaler ADC e NetScaler Gateway. 
Caracterizam-se por vulnerabilidades de XSS (CVE-2023-3466), Elevação de Privilégios (CVE-2023-3467) e Execução Remota de Código (CVE-2023-3519).
A vulnerabilidade CVE-2023-3519 está a ser ativamente explorada.

É recomendado atualizar os sistemas para a sua versão mais recente.

A Microsoft publicou as atualizações de segurança referentes a julho de 2023, onde são mencionadas 130 vulnerabilidades e 2 avisos. Deste conjunto, seis são vulnerabilidades 0-day e nove de severidade considerada crítica.

Todas as seis vulnerabilidades 0-day caracterizadas estão a ser ativamente exploradas; algumas sendo associadas a disseminação de Ransomware:

ADV230001 — Diretriz sobre drivers assinados pela Microsoft
CVE-2023-32046 — Vulnerabilidade de Elevação de Privilégios na Plataforma MSHTML do Windows
CVE-2023-32049 — Vulnerabilidade de Bypass de Recurso de Segurança do Windows SmartScreen
CVE-2023-35311 — Vulnerabilidade de Bypass de Recurso de Segurança do Microsoft Office Outlook
CVE-2023-36874 — Vulnerabilidade de Elevação de Privilégios do Serviço de Relatório de Erros do Windows
CVE-2023-36884 - Vulnerabilidade de Execução Remota de Código do Microsoft Office e Windows HTML

É recomendado atualizar os sistemas para a sua versão mais recente.

Foi identificada uma vulnerabilidade crítica de Execução Remota de Código (RCE) (CVE-2023-33299) [1] que afeta sistemas FortiNAC nas seguintes versões:

FortiNAC versão 9.4.0 até 9.4.2;
FortiNAC versão 9.2.0 até 9.2.7;
FortiNAC versão 9.1.0 até 9.1.9;
FortiNAC versão 7.2.0 até 7.2.1;
FortiNAC 8.8;
FortiNAC 8.7;
FortiNAC 8.6;
FortiNAC 8.5;
FortiNAC 8.3.

É recomendado atualizar os produtos para as seguintes versões:

FortiNAC versão 9.4.3 ou mais recente;
FortiNAC versão 9.2.8 ou mais recente;
FortiNAC versão 9.1.10 ou mais recente;
FortiNAC versão 7.2.2 ou mais recente;

Foi identificada uma vulnerabilidade crítica de Execução Remota de Código (RCE) (CVE-2023-27997) que afeta o componente SSL-VPN da Fortigate e permite o acesso ilícito de um ator malicioso, mesmo com multifator de autenticação ativo.
A Fortinet publicou um aviso com detalhes técnicos sobre esta vulnerabilidade [1].

É recomendado atualizar para as versões:
- FortiOS 6.0.17, 6.2.14, 6.4.13, 7.0.12, e 7.2.5 ou mais recente;
- FortiProxy 2.0.13, 7.0.10, 7.2.4 ou mais recente;
- FortiOS-6K7K 6.0.17, 6.2.15, 6.4.13, 7.0.12 ou mais recente.

Foi identificada uma vulnerabilidade crítica de Remote Command Injection (CVE-2023-2868) na Barracuda Email Security Gateway (ESG). 
Esta vulnerabilidade está a ser ativamente explorada, resultando na disseminação de código malicioso no sistema, permitindo acesso através de backdoor, e resultando também em exfiltração de informação.
É possível consultar detalhes técnicos e indicadores de comprometimento (IoC) na referência [1].

É recomendado atualizar Barracuda Email Security Gateway para a versão 9.2.0.008 ou mais recente e verificar nos sistemas a presença dos indicadores de comprometimento referenciados.

Na sequência da vulnerabilidade que afeta servidores PaperCut publicada no final de abril (CVE-2023-27350), que permite a um ator malicioso ultrapassar, remotamente, a autenticação em servidores PaperCut e executar código arbitrário, a CISA e FBI partilham um alerta com detalhes técnicos, métodos de deteção e indicadores de comprometimento.
O CNCS recomenda a consulta deste documento [2].

É recomendado atualizar PaperCut para a sua versão mais recente.

A Microsoft publicou as atualizações de segurança referentes a maio de 2023, onde são mencionadas diversas vulnerabilidades relevantes, entre elas três 0-day e seis de severidade considerada crítica. 
Das três vulnerabilidades 0-day caracterizadas, duas estão a ser ativamente exploradas — CVE-2023-29336 (Elevação de Privilégios Win32k) e CVE-2023-24932 (Secure Boot Bypass). A terceira vulnerabilidade caracteriza-se por Execução Remota de Código Windows OLE (CVE-2023-29325).

É recomendado atualizar os sistemas para a sua versão mais recente.

Nas atualizações de segurança mensais de Abril da Microsoft, são mencionadas quatro vulnerabilidades relevantes, entre elas uma de severidade crítica. 
Três das vulnerabilidades (CVE-2023-21554, denominada QueueJumper, CVE-2023-21769 e CVE-2023-28302) afetam o serviço Microsoft Message Queuing (MSMQ), permitindo a atacantes a execução remota de código arbitrário e negação de serviço. 
A vulnerabilidade zero-day (CVE-2023-28252) que afeta Windows Common Log File System (CLFS) permite a elevação de privilégios e, posteriormente, a disseminação de ransomware Nokoyawa. Esta vulnerabilidade está a ser ativamente explorada.

É recomendado atualizar os sistemas para a sua versão mais recente.

Foi detetada a distribuição de uma versão legítima do 3CX Desktop App — um software VOIP/PABX — contendo código malicioso. Trata-se de um supply-chain attack.

Refere-se a leitura de [2], [3] e [4] para detalhes técnicos sobre este ataque.

É recomendado desinstalar a Desktop App e em alternativa utilizar a Progressive Web App (PWA).

São referenciados indicadores de comprometimento (IoC) em [2], [3] e [4].

A Microsoft publicou as atualizações de segurança referentes a março de 2023, onde constam informação sobre 83 vulnerabilidades. Neste conjunto, há referência a 2 vulnerabilidades 0-day (CVE-2023-23397 de severidade crítica e CVE-2023-24880 de severidade moderada).[1]

A vulnerabilidade crítica de Elevação de Privilégios no Microsoft Outlook (CVE-2023-23397) caracteriza-se por permitir que e-mails especialmente criados forcem o dispositivo da vítima a conectar-se a um URL remoto e transmitir o hash Net-NTLMv2 da conta do Windows.[3]

A vulnerabilidade CVE-2023-24880 é usada para criar executáveis que ultrapassam os avisos de segurança Windows Mark of The Web.[5]

Ambas as vulnerabilidades estão a ser ativamente exploradas.

Recomenda-se a aplicação das atualizações de segurança mais recentes.

A Microsoft publicou um script que ajuda na deteção de elementos maliciosos que indicam a utilização da vulnerabilidade por atores — [4].