Foi identificada uma vulnerabilidade de exposição de informação sensível na aplicação graphapi do ownCloud. 
Esta aplicação depende de uma biblioteca de terceiros que fornece um URL. Quando este URL é acedido, revela detalhes da configuração do ambiente PHP (phpinfo). Esta informação inclui todas as variáveis ambiente do servidor web.
Note-se que o simples desativar da aplicação graphapi não mitiga a vulnerabilidade.

Recomenda-se eliminar o ficheiro owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php e desabilitar a função phpinfo nos docker-covntainers.
Também é recomendado alterar as credenciais do ownCloud admin, mail server, database e Object-Store/S3 access-key.

Foi identificada uma vulnerabilidade de elevação de privilégios (CVE-2023-20198) na funcionalidade Web UI do Cisco IOS XE Software, caso esta esteja exposta para a internet.
Esta vulnerabilidade está a ser explorada ativamente.
Recomenda-se a consulta dos detalhes técnicos e dos indicadores de comprometimento (IoC) nas referências [1] e [2].

É recomendado desativar a função HTTP Server e verificar se o sistema foi comprometido através dos indicadores de comprometimento disponíveis em [1].

Foi identificada uma vulnerabilidade crítica que se explorada com sucesso, no limite, pode permitir a Execução Remota de Código (RCE) (CVE-2023-4863) que afeta a biblioteca WebP. Esta biblioteca é utilizada na maioria dos browsers, como por exemplo, Google Chrome, Microsoft Edge, Mozilla Firefox e Safari.

É recomendado atualizar os browsers para as suas versões mais recentes.

Foi identificada uma vulnerabilidade no WinRAR (CVE-2023-38831) que permite a distribuição e infeção de dispositivos com código malicioso.

Os agentes maliciosos criam ficheiros .zip especialmente concebidos com código malicioso, que ao serem extraídos com a ferramenta WinRAR infetam o dispositivo, permitindo, consequentemente, a execução de código arbitrário.

Esta vulnerabilidade está a ser ativamente explorada.

Atendendo à universalidade desta vulnerabilidade, e de acordo com a informação do próprio fabricante, dados técnicos adicionais podem ser consultados na publicação do GROUP-IB — [2].

É recomendado atualizar para a versão mais recente (6.23 ou mais recente).

Foi publicada uma atualização de segurança que resolve três vulnerabilidades (CVE-2023-3466, CVE-2023-3467 e CVE-2023-3519) que afetam NetScaler ADC e NetScaler Gateway. 
Caracterizam-se por vulnerabilidades de XSS (CVE-2023-3466), Elevação de Privilégios (CVE-2023-3467) e Execução Remota de Código (CVE-2023-3519).
A vulnerabilidade CVE-2023-3519 está a ser ativamente explorada.

É recomendado atualizar os sistemas para a sua versão mais recente.

A Microsoft publicou as atualizações de segurança referentes a julho de 2023, onde são mencionadas 130 vulnerabilidades e 2 avisos. Deste conjunto, seis são vulnerabilidades 0-day e nove de severidade considerada crítica.

Todas as seis vulnerabilidades 0-day caracterizadas estão a ser ativamente exploradas; algumas sendo associadas a disseminação de Ransomware:

ADV230001 — Diretriz sobre drivers assinados pela Microsoft
CVE-2023-32046 — Vulnerabilidade de Elevação de Privilégios na Plataforma MSHTML do Windows
CVE-2023-32049 — Vulnerabilidade de Bypass de Recurso de Segurança do Windows SmartScreen
CVE-2023-35311 — Vulnerabilidade de Bypass de Recurso de Segurança do Microsoft Office Outlook
CVE-2023-36874 — Vulnerabilidade de Elevação de Privilégios do Serviço de Relatório de Erros do Windows
CVE-2023-36884 - Vulnerabilidade de Execução Remota de Código do Microsoft Office e Windows HTML

É recomendado atualizar os sistemas para a sua versão mais recente.

Foi identificada uma vulnerabilidade crítica de Execução Remota de Código (RCE) (CVE-2023-33299) [1] que afeta sistemas FortiNAC nas seguintes versões:

FortiNAC versão 9.4.0 até 9.4.2;
FortiNAC versão 9.2.0 até 9.2.7;
FortiNAC versão 9.1.0 até 9.1.9;
FortiNAC versão 7.2.0 até 7.2.1;
FortiNAC 8.8;
FortiNAC 8.7;
FortiNAC 8.6;
FortiNAC 8.5;
FortiNAC 8.3.

É recomendado atualizar os produtos para as seguintes versões:

FortiNAC versão 9.4.3 ou mais recente;
FortiNAC versão 9.2.8 ou mais recente;
FortiNAC versão 9.1.10 ou mais recente;
FortiNAC versão 7.2.2 ou mais recente;

Foi identificada uma vulnerabilidade crítica de Execução Remota de Código (RCE) (CVE-2023-27997) que afeta o componente SSL-VPN da Fortigate e permite o acesso ilícito de um ator malicioso, mesmo com multifator de autenticação ativo.
A Fortinet publicou um aviso com detalhes técnicos sobre esta vulnerabilidade [1].

 

É recomendado atualizar para as versões:
- FortiOS 6.0.17, 6.2.14, 6.4.13, 7.0.12, e 7.2.5 ou mais recente;
- FortiProxy 2.0.13, 7.0.10, 7.2.4 ou mais recente;
- FortiOS-6K7K 6.0.17, 6.2.15, 6.4.13, 7.0.12 ou mais recente.

Foi identificada uma vulnerabilidade crítica de Remote Command Injection (CVE-2023-2868) na Barracuda Email Security Gateway (ESG). 
Esta vulnerabilidade está a ser ativamente explorada, resultando na disseminação de código malicioso no sistema, permitindo acesso através de backdoor, e resultando também em exfiltração de informação.
É possível consultar detalhes técnicos e indicadores de comprometimento (IoC) na referência [1].

 

É recomendado atualizar Barracuda Email Security Gateway para a versão 9.2.0.008 ou mais recente e verificar nos sistemas a presença dos indicadores de comprometimento referenciados.

Na sequência da vulnerabilidade que afeta servidores PaperCut publicada no final de abril (CVE-2023-27350), que permite a um ator malicioso ultrapassar, remotamente, a autenticação em servidores PaperCut e executar código arbitrário, a CISA e FBI partilham um alerta com detalhes técnicos, métodos de deteção e indicadores de comprometimento.
O CNCS recomenda a consulta deste documento [2].

 

É recomendado atualizar PaperCut para a sua versão mais recente.

A Microsoft publicou as atualizações de segurança referentes a maio de 2023, onde são mencionadas diversas vulnerabilidades relevantes, entre elas três 0-day e seis de severidade considerada crítica. 
Das três vulnerabilidades 0-day caracterizadas, duas estão a ser ativamente exploradas — CVE-2023-29336 (Elevação de Privilégios Win32k) e CVE-2023-24932 (Secure Boot Bypass). A terceira vulnerabilidade caracteriza-se por Execução Remota de Código Windows OLE (CVE-2023-29325).

 

É recomendado atualizar os sistemas para a sua versão mais recente.

Nas atualizações de segurança mensais de Abril da Microsoft, são mencionadas quatro vulnerabilidades relevantes, entre elas uma de severidade crítica. 
Três das vulnerabilidades (CVE-2023-21554, denominada QueueJumper, CVE-2023-21769 e CVE-2023-28302) afetam o serviço Microsoft Message Queuing (MSMQ), permitindo a atacantes a execução remota de código arbitrário e negação de serviço. 
A vulnerabilidade zero-day (CVE-2023-28252) que afeta Windows Common Log File System (CLFS) permite a elevação de privilégios e, posteriormente, a disseminação de ransomware Nokoyawa. Esta vulnerabilidade está a ser ativamente explorada.

 

É recomendado atualizar os sistemas para a sua versão mais recente.

Foi detetada a distribuição de uma versão legítima do 3CX Desktop App — um software VOIP/PABX — contendo código malicioso. Trata-se de um supply-chain attack.

Refere-se a leitura de [2], [3] e [4] para detalhes técnicos sobre este ataque.

 

É recomendado desinstalar a Desktop App e em alternativa utilizar a Progressive Web App (PWA).

São referenciados indicadores de comprometimento (IoC) em [2], [3] e [4].

A Microsoft publicou as atualizações de segurança referentes a março de 2023, onde constam informação sobre 83 vulnerabilidades. Neste conjunto, há referência a 2 vulnerabilidades 0-day (CVE-2023-23397 de severidade crítica e CVE-2023-24880 de severidade moderada).[1]

A vulnerabilidade crítica de Elevação de Privilégios no Microsoft Outlook (CVE-2023-23397) caracteriza-se por permitir que e-mails especialmente criados forcem o dispositivo da vítima a conectar-se a um URL remoto e transmitir o hash Net-NTLMv2 da conta do Windows.[3]

A vulnerabilidade CVE-2023-24880 é usada para criar executáveis que ultrapassam os avisos de segurança Windows Mark of The Web.[5]

Ambas as vulnerabilidades estão a ser ativamente exploradas.

 

Recomenda-se a aplicação das atualizações de segurança mais recentes.

A Microsoft publicou um script que ajuda na deteção de elementos maliciosos que indicam a utilização da vulnerabilidade por atores — [4].

A Microsoft publicou 1 boletim de segurança associado à vulnerabilidade CVE-2023-21716 que está classificada com severidade “Crítica”. É recomendada a leitura do boletim  — [1]

 

Recomenda-se a aplicação das atualizações de segurança mais recentes para os produtos afetados.

A Fortinet publicou 40 boletins de segurança associados a diversos produtos — FortiNAC, FortiWeb, FortiPortal, FortiOS, FortiAnalyzer, FortiProxy, FortiExtender, FortiADC, FortiAuthenticator, FortiSandbox, FortiSwitchManager e FortiWAN.
Note-se que 2 dos 40 alertas lançados abordam vulnerabilidades críticas nos produtos FortiNAC (CVE-2022-39952) e FortiWeb (CVE-2021-42756) e 15 estão classificados com severidade “Importante”. É recomendada a leitura dos alertas — [1], [2], [3].

 

Recomenda-se a aplicação das atualizações de segurança mais recentes para os produtos afetados.

A entidade Horizon3 publicou um proof-of-concept (PoC) exploit relacionado com a vulnerabilidade CVE-2022-39952. [4]

A Cisco publicou recentemente boletins de segurança referentes a diversas vulnerabilidades, entre elas 1 vulnerabilidade crítica (CVE-2023-20032) e 4 Importantes (CVE-2023-20014, CVE-2023-20009, CVE-2023-20075 e CVE-2023-20076). A consulta da página de boletins de segurança da Cisco é aconselhada para atualizações de vulnerabilidades de severidade inferior às referidas.[1]

 

Recomenda-se aplicação das atualizações de segurança mais recentes para os produtos afetados.

A Apple publicou uma atualização de segurança para dispositivos iOS, iPadOS e MacOS Ventura que corrige três vulnerabilidades (CVE-2023-23514, CVE-2023-23522 e CVE-2023-23529).  A vulnerabilidade CVE-2023-23529 também afeta o Safari.
É possível consultar a caracterização destas vulnerabilidades em [1], [2] e [3] — 1 no Kernel, 1 no WebKit e 1 nos Shortcuts.
A vulnerabilidade CVE-2023-23529 em dispositivos iOS e iPadOS está a ser ativamente explorada.

 

É recomendado aplicar a atualização de segurança mais recente.

Foram identificadas campanhas contra VMware ESXi hypervisors com o objetivo de disseminar Ransomware. Estas campanhas exploram a vulnerabilidade CVE-2021-21974, que possui correção desde fevereiro de 2021. Esta vulnerabilidade afeta o OpenSLP (Service Location Protocol). 
As versões afetadas constituem-se:
   - ESXi 7.x versões anteriores a ESXi70U1c-17325551
   - ESXi 6.7.x versões anteriores a ESXi670-202102401-SG
   - ESXi 6.5.x versões anteriores a ESXi650-202102101-SG

 

Recomenda-se a aplicação de todas as atualizações de segurança disponíveis, bem como a medida de mitigação temporária recomendada pela VMware — desativar o serviço SLP em ESXi hypervisors que não foram atualizados [2].

Refere-se também a importância da análise aos sistemas, com o intuito de perceber se os mesmos não foram comprometidos.

[ATUALIZAÇÃO 08-02-2023]
A CISA publicou uma ferramenta para as entidades afetadas pelo ransomware ESXiArgs. Esta ferramenta está disponível em [3].