Ir para conteúdo

Alerta de Vulnerabilidades - ownCloud

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
graphapi 0.2.0 – 0.3.0
ECOSSISTEMA
Outro
Descrição

Foi identificada uma vulnerabilidade de exposição de informação sensível na aplicação graphapi do ownCloud. 
Esta aplicação depende de uma biblioteca de terceiros que fornece um URL. Quando este URL é acedido, revela detalhes da configuração do ambiente PHP (phpinfo). Esta informação inclui todas as variáveis ambiente do servidor web.
Note-se que o simples desativar da aplicação graphapi não mitiga a vulnerabilidade.

 
Impacto

Caso esta vulnerabilidade seja explorada com sucesso permite que um atacante tenha acesso a informação sensível.

 
Resolução

Recomenda-se eliminar o ficheiro owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php e desabilitar a função phpinfo nos docker-covntainers.
Também é recomendado alterar as credenciais do ownCloud admin, mail server, database e Object-Store/S3 access-key.

Alerta de Vulnerabilidades - Cisco IOS XE

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Cisco IOS XE Web UI
ECOSSISTEMA
Cisco
Descrição

Foi identificada uma vulnerabilidade de elevação de privilégios (CVE-2023-20198) na funcionalidade Web UI do Cisco IOS XE Software, caso esta esteja exposta para a internet.
Esta vulnerabilidade está a ser explorada ativamente.
Recomenda-se a consulta dos detalhes técnicos e dos indicadores de comprometimento (IoC) nas referências [1] e [2].

 
Impacto

Caso esta vulnerabilidade seja explorada com sucesso permite que um atacante remoto e não autenticado crie uma conta com privilégios elevados no sistema afetado.

 
Resolução

É recomendado desativar a função HTTP Server e verificar se o sistema foi comprometido através dos indicadores de comprometimento disponíveis em [1].

Alerta de Vulnerabilidades - WebP

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
WebP
ECOSSISTEMA
Outro
Descrição

Foi identificada uma vulnerabilidade crítica que se explorada com sucesso, no limite, pode permitir a Execução Remota de Código (RCE) (CVE-2023-4863) que afeta a biblioteca WebP. Esta biblioteca é utilizada na maioria dos browsers, como por exemplo, Google Chrome, Microsoft Edge, Mozilla Firefox e Safari.

 
Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código malicioso de forma remota.

 
Resolução

É recomendado atualizar os browsers para as suas versões mais recentes.

 

Referências

Consultar os websites dos fabricantes dos browsers para proceder à sua atualização.

Alerta de Vulnerabilidades - WinRAR

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
RARLabs WinRAR versões anteriores a 6.23
ECOSSISTEMA
Outro
Descrição

Foi identificada uma vulnerabilidade no WinRAR (CVE-2023-38831) que permite a distribuição e infeção de dispositivos com código malicioso.

Os agentes maliciosos criam ficheiros .zip especialmente concebidos com código malicioso, que ao serem extraídos com a ferramenta WinRAR infetam o dispositivo, permitindo, consequentemente, a execução de código arbitrário.

Esta vulnerabilidade está a ser ativamente explorada.

Atendendo à universalidade desta vulnerabilidade, e de acordo com a informação do próprio fabricante, dados técnicos adicionais podem ser consultados na publicação do GROUP-IB — [2].

 
Impacto

Caso esta vulnerabilidade seja explorada com sucesso permite que um atacante execute código arbitrário.

 
Resolução

É recomendado atualizar para a versão mais recente (6.23 ou mais recente).

Alerta de Vulnerabilidades - Citrix

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
NetScaler ADC (antigo Citrix ADC) e NetScaler Gateway (antigo Citrix Gateway)
ECOSSISTEMA
Citrix
Descrição

Foi publicada uma atualização de segurança que resolve três vulnerabilidades (CVE-2023-3466, CVE-2023-3467 e CVE-2023-3519) que afetam NetScaler ADC e NetScaler Gateway. 
Caracterizam-se por vulnerabilidades de XSS (CVE-2023-3466), Elevação de Privilégios (CVE-2023-3467) e Execução Remota de Código (CVE-2023-3519).
A vulnerabilidade CVE-2023-3519 está a ser ativamente explorada.

 
Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso permitem, entre outras consequências, que um atacante obtenha controlo de um sistema afetado.

 
Resolução

É recomendado atualizar os sistemas para a sua versão mais recente.

Alerta de Vulnerabilidades - Microsoft

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Windows
ECOSSISTEMA
Microsoft, Windows
Descrição

A Microsoft publicou as atualizações de segurança referentes a julho de 2023, onde são mencionadas 130 vulnerabilidades e 2 avisos. Deste conjunto, seis são vulnerabilidades 0-day e nove de severidade considerada crítica.

Todas as seis vulnerabilidades 0-day caracterizadas estão a ser ativamente exploradas; algumas sendo associadas a disseminação de Ransomware:

ADV230001 — Diretriz sobre drivers assinados pela Microsoft
CVE-2023-32046 — Vulnerabilidade de Elevação de Privilégios na Plataforma MSHTML do Windows
CVE-2023-32049 — Vulnerabilidade de Bypass de Recurso de Segurança do Windows SmartScreen
CVE-2023-35311 — Vulnerabilidade de Bypass de Recurso de Segurança do Microsoft Office Outlook
CVE-2023-36874 — Vulnerabilidade de Elevação de Privilégios do Serviço de Relatório de Erros do Windows
CVE-2023-36884 - Vulnerabilidade de Execução Remota de Código do Microsoft Office e Windows HTML

 
Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que um atacante obtenha controlo de um sistema afetado.

 
Resolução

É recomendado atualizar os sistemas para a sua versão mais recente.

Alerta de Vulnerabilidades - FortiNAC

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
FortiNAC
ECOSSISTEMA
Outro
Descrição

Foi identificada uma vulnerabilidade crítica de Execução Remota de Código (RCE) (CVE-2023-33299) [1] que afeta sistemas FortiNAC nas seguintes versões:

FortiNAC versão 9.4.0 até 9.4.2;
FortiNAC versão 9.2.0 até 9.2.7;
FortiNAC versão 9.1.0 até 9.1.9;
FortiNAC versão 7.2.0 até 7.2.1;
FortiNAC 8.8;
FortiNAC 8.7;
FortiNAC 8.6;
FortiNAC 8.5;
FortiNAC 8.3.

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código malicioso de forma remota e não autenticada.

 

Resolução

É recomendado atualizar os produtos para as seguintes versões:

FortiNAC versão 9.4.3 ou mais recente;
FortiNAC versão 9.2.8 ou mais recente;
FortiNAC versão 9.1.10 ou mais recente;
FortiNAC versão 7.2.2 ou mais recente;

Alerta de Vulnerabilidades - Fortinet FortiGate SSL-VPN

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
FortiOS, FortiProxy e FortiOS-6K7K
ECOSSISTEMA
Outro
Descrição

Foi identificada uma vulnerabilidade crítica de Execução Remota de Código (RCE) (CVE-2023-27997) que afeta o componente SSL-VPN da Fortigate e permite o acesso ilícito de um ator malicioso, mesmo com multifator de autenticação ativo.
A Fortinet publicou um aviso com detalhes técnicos sobre esta vulnerabilidade [1].

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite que um atacante execute remotamente código arbitrário.

 

Resolução

É recomendado atualizar para as versões:
- FortiOS 6.0.17, 6.2.14, 6.4.13, 7.0.12, e 7.2.5 ou mais recente;
- FortiProxy 2.0.13, 7.0.10, 7.2.4 ou mais recente;
- FortiOS-6K7K 6.0.17, 6.2.15, 6.4.13, 7.0.12 ou mais recente.

 

Referências

Alerta de Vulnerabilidades - Barracuda Email Security Gateway

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Barracuda Email Security Gateway versões 5.1.3.001-9.2.0.006
ECOSSISTEMA
Outro
Descrição

Foi identificada uma vulnerabilidade crítica de Remote Command Injection (CVE-2023-2868) na Barracuda Email Security Gateway (ESG). 
Esta vulnerabilidade está a ser ativamente explorada, resultando na disseminação de código malicioso no sistema, permitindo acesso através de backdoor, e resultando também em exfiltração de informação.
É possível consultar detalhes técnicos e indicadores de comprometimento (IoC) na referência [1].

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite que um atacante execute remotamente código arbitrário e obtenha acesso não autorizado ao subconjunto de aplicações ESG.

 

Resolução

É recomendado atualizar Barracuda Email Security Gateway para a versão 9.2.0.008 ou mais recente e verificar nos sistemas a presença dos indicadores de comprometimento referenciados.

 

Referências

Alerta de Vulnerabilidades - PaperCut

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
PaperCut NG e PaperCut MF versões 8.0 ou posteriores
ECOSSISTEMA
Outro
Descrição

Na sequência da vulnerabilidade que afeta servidores PaperCut publicada no final de abril (CVE-2023-27350), que permite a um ator malicioso ultrapassar, remotamente, a autenticação em servidores PaperCut e executar código arbitrário, a CISA e FBI partilham um alerta com detalhes técnicos, métodos de deteção e indicadores de comprometimento.
O CNCS recomenda a consulta deste documento [2].

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite que um atacante execute remotamente código arbitrário.

 

Resolução

É recomendado atualizar PaperCut para a sua versão mais recente.

 

Referências

Alerta de Vulnerabilidades - Microsoft

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Windows
ECOSSISTEMA
Microsoft, Windows
Descrição

A Microsoft publicou as atualizações de segurança referentes a maio de 2023, onde são mencionadas diversas vulnerabilidades relevantes, entre elas três 0-day e seis de severidade considerada crítica. 
Das três vulnerabilidades 0-day caracterizadas, duas estão a ser ativamente exploradas — CVE-2023-29336 (Elevação de Privilégios Win32k) e CVE-2023-24932 (Secure Boot Bypass). A terceira vulnerabilidade caracteriza-se por Execução Remota de Código Windows OLE (CVE-2023-29325).

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que um atacante obtenha controlo de um sistema afetado.

 

Resolução

É recomendado atualizar os sistemas para a sua versão mais recente.

 

Referências

Alerta de Vulnerabilidades - Windows CLFS e MSMQ

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Windows Common Log File System Driver e Microsoft Message Queuing
ECOSSISTEMA
Windows
Descrição

Nas atualizações de segurança mensais de Abril da Microsoft, são mencionadas quatro vulnerabilidades relevantes, entre elas uma de severidade crítica. 
Três das vulnerabilidades (CVE-2023-21554, denominada QueueJumper, CVE-2023-21769 e CVE-2023-28302) afetam o serviço Microsoft Message Queuing (MSMQ), permitindo a atacantes a execução remota de código arbitrário e negação de serviço. 
A vulnerabilidade zero-day (CVE-2023-28252) que afeta Windows Common Log File System (CLFS) permite a elevação de privilégios e, posteriormente, a disseminação de ransomware Nokoyawa. Esta vulnerabilidade está a ser ativamente explorada.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, um atacante pode executar código arbitrário remotamente, espoletar uma condição de negação de serviço ou elevar privilégios.

 

Resolução

É recomendado atualizar os sistemas para a sua versão mais recente.

 

Referências

Alerta de Código Malicioso - 3CX Desktop App

TIPO
Código Malicioso
SISTEMAS AFETADOS
3CX DesktopApp Windows versões 18.12.407 e 18.12.416; 3CX DesktopApp macOS versões 18.11.1213, 18.12.402, 18.12.407 e 18.12.416
ECOSSISTEMA
MacOS, Windows
Descrição

Foi detetada a distribuição de uma versão legítima do 3CX Desktop App — um software VOIP/PABX — contendo código malicioso. Trata-se de um supply-chain attack.

Refere-se a leitura de [2], [3] e [4] para detalhes técnicos sobre este ataque.

 

Impacto

Um ator malicioso poderá exfiltrar informação sensível do sistema, incluindo credenciais guardadas em browsers instalados.

 

Resolução

É recomendado desinstalar a Desktop App e em alternativa utilizar a Progressive Web App (PWA).

São referenciados indicadores de comprometimento (IoC) em [2], [3] e [4].

 

Referências

Alerta de Ameaça - EMOTET

TIPO
Código Malicioso
SISTEMAS AFETADOS
Microsoft Windows
ECOSSISTEMA
Microsoft, Windows
Descrição

O CNCS voltou a registar um elevado envio de e-mails contendo código malicioso da família Emotet. 

Estes e-mails são, ou fingem ser, enviados de endereços conhecidos pelos recetores, podendo surgir como resposta a conversas anteriores. Este código malicioso caracteriza-se por enviar e-mails dissimulados para a lista de contactos das vítimas.

- Recomenda-se maior atenção aos anexos recebidos e a hiperligações maliciosos presentes no corpo da mensagem. 
Note-se que existe prevalência na utilização de pastas comprimidas (ficheiros zip), contendo os ficheiros maliciosos.
- Não ative as macros de ficheiros que desconhece.
- Desconfie de mensagens com sentido de urgência que contenham ficheiros em anexo ou que pedem para descarregar os mesmos ou ainda para clicar em hiperligações.

 

Às entidades:

É aconselhável a configuração dos dispositivos de segurança perimétrica para bloquear os endereços IP de C2 associados a diferentes fenómenos (incluindo este) presentes nesta lista: https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt.

Esta lista é renovada de 5 em 5 minutos, pelo que será desejável manter a listagem local atualizada.

Para identificar eventuais comprometimentos no passado, recomenda-se a utilização desta lista https://feodotracker.abuse.ch/downloads/ipblocklist.txt. Aqui encontram-se os endereços IP maliciosos que estiveram ativos no último mês, mas que poderão já ter sido desativados. Os endereços IP presentes nesta lista devem ser procurados nos logs de firewall, webproxy, netflows e outros.

Se surgir alguma dúvida não hesite em contactar o CERT.PT através do endereço cert@cert.pt.

Alerta de Vulnerabilidades - Microsoft Outlook

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Microsoft Outlook para Windows; outros
ECOSSISTEMA
Microsoft, Windows
Descrição

A Microsoft publicou as atualizações de segurança referentes a março de 2023, onde constam informação sobre 83 vulnerabilidades. Neste conjunto, há referência a 2 vulnerabilidades 0-day (CVE-2023-23397 de severidade crítica e CVE-2023-24880 de severidade moderada).[1]

A vulnerabilidade crítica de Elevação de Privilégios no Microsoft Outlook (CVE-2023-23397) caracteriza-se por permitir que e-mails especialmente criados forcem o dispositivo da vítima a conectar-se a um URL remoto e transmitir o hash Net-NTLMv2 da conta do Windows.[3]

A vulnerabilidade CVE-2023-24880 é usada para criar executáveis que ultrapassam os avisos de segurança Windows Mark of The Web.[5]

Ambas as vulnerabilidades estão a ser ativamente exploradas.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que um atacante tenha controlo de um sistema afetado.

 

Resolução

Recomenda-se a aplicação das atualizações de segurança mais recentes.

A Microsoft publicou um script que ajuda na deteção de elementos maliciosos que indicam a utilização da vulnerabilidade por atores — [4].

 

Referências

Alerta de Vulnerabilidades - Microsoft Word

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Aplicações Microsoft 365 Enterprise, Microsoft Office, Microsoft Word e Microsoft SharePoint
ECOSSISTEMA
Microsoft
Descrição

A Microsoft publicou 1 boletim de segurança associado à vulnerabilidade CVE-2023-21716 que está classificada com severidade “Crítica”. É recomendada a leitura do boletim  — [1]

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite, entre outras consequências, que seja executado código arbitrário de forma remota.

 

Resolução

Recomenda-se a aplicação das atualizações de segurança mais recentes para os produtos afetados.

 

Referências

Alerta de Vulnerabilidades - Fortinet

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
FortiNAC, FortiWeb e outros produtos
ECOSSISTEMA
Outro
Descrição

A Fortinet publicou 40 boletins de segurança associados a diversos produtos — FortiNAC, FortiWeb, FortiPortal, FortiOS, FortiAnalyzer, FortiProxy, FortiExtender, FortiADC, FortiAuthenticator, FortiSandbox, FortiSwitchManager e FortiWAN.
Note-se que 2 dos 40 alertas lançados abordam vulnerabilidades críticas nos produtos FortiNAC (CVE-2022-39952) e FortiWeb (CVE-2021-42756) e 15 estão classificados com severidade “Importante”. É recomendada a leitura dos alertas — [1], [2], [3].

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que seja executado código arbitrário.

 

Resolução

Recomenda-se a aplicação das atualizações de segurança mais recentes para os produtos afetados.

A entidade Horizon3 publicou um proof-of-concept (PoC) exploit relacionado com a vulnerabilidade CVE-2022-39952. [4]

 

Referências

Alerta de Vulnerabilidades - Cisco

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Cisco Secure Endpoint, IOS XE Software, Email Security Appliance, Secure Email and Web Manager e Nexus Dashboard
ECOSSISTEMA
Cisco
Descrição

Cisco publicou recentemente boletins de segurança referentes a diversas vulnerabilidades, entre elas 1 vulnerabilidade crítica (CVE-2023-20032) e 4 Importantes (CVE-2023-20014, CVE-2023-20009, CVE-2023-20075 e CVE-2023-20076). A consulta da página de boletins de segurança da Cisco é aconselhada para atualizações de vulnerabilidades de severidade inferior às referidas.[1]

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que seja executado código arbitrário, elevar privilégios ou causar uma condição de negação de serviço (DoS).

 

Resolução

Recomenda-se aplicação das atualizações de segurança mais recentes para os produtos afetados.

 

Referências

Alerta de Vulnerabilidades - Apple

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
iOS, iPadOS, MacOS Ventura e Safari
ECOSSISTEMA
Apple, iOS, MacOS
Descrição

A Apple publicou uma atualização de segurança para dispositivos iOS, iPadOS e MacOS Ventura que corrige três vulnerabilidades (CVE-2023-23514, CVE-2023-23522 e CVE-2023-23529).  A vulnerabilidade CVE-2023-23529 também afeta o Safari.
É possível consultar a caracterização destas vulnerabilidades em [1], [2] e [3] — 1 no Kernel, 1 no WebKit e 1 nos Shortcuts.
A vulnerabilidade CVE-2023-23529 em dispositivos iOS e iPadOS está a ser ativamente explorada.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que seja executado código arbitrário.

 

Resolução

É recomendado aplicar a atualização de segurança mais recente.

 

Referências

Alerta de Vulnerabilidades - VMware ESXi

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
ESXi 7.x, 6.7.x, 6.5.x
ECOSSISTEMA
VMWare
Descrição
Foram identificadas campanhas contra VMware ESXi hypervisors com o objetivo de disseminar Ransomware. Estas campanhas exploram a vulnerabilidade CVE-2021-21974, que possui correção desde fevereiro de 2021. Esta vulnerabilidade afeta o OpenSLP (Service Location Protocol). 
As versões afetadas constituem-se:
   - ESXi 7.x versões anteriores a ESXi70U1c-17325551
   - ESXi 6.7.x versões anteriores a ESXi670-202102401-SG
   - ESXi 6.5.x versões anteriores a ESXi650-202102101-SG

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, um atacante remoto pode executar código arbitrário.

 

Resolução

Recomenda-se a aplicação de todas as atualizações de segurança disponíveis, bem como a medida de mitigação temporária recomendada pela VMware — desativar o serviço SLP em ESXi hypervisors que não foram atualizados [2].

Refere-se também a importância da análise aos sistemas, com o intuito de perceber se os mesmos não foram comprometidos.

[ATUALIZAÇÃO 08-02-2023]
A CISA publicou uma ferramenta para as entidades afetadas pelo ransomware ESXiArgs. Esta ferramenta está disponível em [3].

 

Referências
Última atualização em 07-09-2022