Ir para conteúdo

Alerta de Vulnerabilidades - Oracle

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Vários produtos Oracle
ECOSSISTEMA
Oracle
Descrição

A Oracle publicou um conjunto de atualizações de segurança para corrigir 419 vulnerabilidades, algumas críticas, que afetam diversos produtos, entre eles:

  • Database
  • Enterprise Manager
  • Fusion Middleware
  • JAVA SE
  • MySQL
  • NoSQL
  • Siebel
  • Solaris
  • VirtualBox

Recomenda-se a leitura de [1], que demonstra todos os produtos afetados, uma vez que não estão todos discriminados neste alerta.


Impacto

Um atacante pode explorar algumas destas vulnerabilidades para assumir o controlo de um sistema afetado.


Resolução

Recomenda-se a atualização das versões dos produtos afetados. Disponíveis em [1].


Referências

[1] https://www.oracle.com/security-alerts/cpuoct2021.html#AppendixIFLX

Alerta de Vulnerabilidades - Apple

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Versões anteriores a iOS 15.0.2 e iPadOS 15.0.2
ECOSSISTEMA
Apple, iOS
Descrição

A Apple publicou uma atualização de segurança para corrigir uma vulnerabilidade de Execução de Código Remoto (CVE-2021-30883).
Existe um problema de corrupção de memória na IOMobileFrameBuffer — uma extensão de kernel utilizada para gerir o framebuffer do ecrã.
Esta vulnerabilidade está a ser ativamente explorada. 


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de código arbitrário com privilégios do kernel.


Resolução

Recomenda-se a atualização para a versão iOS 15.0.2 e/ou iPadOS 15.0.2.


Referências

[1] https://support.apple.com/pt-pt/HT212846

[2] https://support.apple.com/pt-pt/HT201222

Alerta de Vulnerabilidades - Apache HTTP Server

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Versões 2.4.49 e 2.4.50
ECOSSISTEMA
Apache
Descrição

A Apache Software Foundation publicou uma atualização de segurança para corrigir as vulnerabilidades de Path Traversal e Execução de Código Remoto (CVE-2021-41773 e CVE-2021-42013) no Apache HTTP Server. Só são afetadas as versões Apache 2.4.49 e 2.4.50.

Estas vulnerabilidades consistem numa falha na forma como o servidor Apache mapeia URLs para ficheiros. Um atacante pode usar um ataque “Path Traversal” para mapear URLs para ficheiros fora dos diretórios configurados através da diretiva Alias ou semelhante. Se os ficheiros fora destes diretórios não estiverem protegidos pela configuração padrão "require all denied", estes pedidos podem ter sucesso. Se os scripts do CGI também estiverem ativos para estes caminhos, isso permite a execução remota de código.

Estas vulnerabilidades estão a ser ativamente exploradas.


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de comandos remotos e a transferência de ficheiros diretamente do servidor.


Resolução

Os utilizadores das versões afetadas devem fazer a atualização para a versão 2.4.51, de imediato.


Referências

[1] https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013

Alerta de Vulnerabilidades - Microsoft Windows - Internet Explorer MSHTML

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Windows 10, 8.1, 7; Windows Server 2008, 2012, 2016, 2019, 2022, 2004 e 20H2
ECOSSISTEMA
Microsoft, Windows
Descrição

A Microsoft encontra-se a investigar uma vulnerabilidade (CVE-2021-40444) num componente do Internet Explorer, MSHTML, que afeta várias versões do Windows. MSHTML é um componente de software usado para renderizar páginas web no Windows. 

Um atacante pode criar um controlo ActiveX de cariz malicioso para ser usado por um documento do Microsoft Office que utiliza o motor de renderização do navegador. Este controlo pode executar código arbitrário para infetar o sistema com mais código malicioso. 

Utilizadores cujas contas estão configuradas com permissões de administrador podem ser mais afetados.[1]


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de remota de código.


Resolução

De momento a Microsoft ainda não disponibilizou uma atualização de segurança que corrija esta vulnerabilidade. No entanto, recomendou que fossem aplicadas as seguintes medidas de mitigação que impedem que o ataque se concretize:[1]

  • Por omissão, o Microsoft Office abre documentos da Internet em Protected View ou Application Guard for Office, ambos impedem o ataque;
  • Por outro lado, o Microsoft Defender Antivirus e o Microsoft Defender para Endpoint fornecem tanto deteção como proteção para esta vulnerabilidade. Portanto, os clientes que possuem estes produtos devem mantê-los atualizados;
  • Por fim, a Microsoft também recomenda desativar a instalação de todos os controlos ActiveX no Internet Explorer através do registo. Os controlos ActiveX previamente instalados continuarão a ser executados, mas não serão adicionados novos, incluindo os maliciosos. Para desativar os controlos ActiveX, por favor consulte [1].
ATUALIZAÇÃO (17-09-2021):
É recomendado aos utilizadores que atualizem os sistemas para as versões mais recentes, seja através da forma automática de atualizações dos Sistemas Windows ou então através do download e instalação das atualizações referidas no capítulo "Security Updates" referido nas Referências [1] .

Referências

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 

Alerta de Vulnerabilidades - Atlassian Confluence

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Confluence Server e Confluence Data Center
ECOSSISTEMA
Outro
Descrição
A Atlassian publicou uma atualização de segurança que corrige uma vulnerabilidade de injeção OGNL associada ao Confluence (CVE-2021-26084). Esta vulnerabilidade afeta diversas versões do Confluence Server e Data Center, porém os utilizadores do Confluence Cloud não são afetados.[1]

Consulte a lista de versões afetadas em [1].

Impacto
Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante autenticado - em algumas situações, não autenticado - a execução de código arbitrário.

Resolução

É recomendado atualizar para as seguintes versões: [2]

  • Se possui qualquer uma das versões afetadas, atualize para a versão 7.13.0 (Long Term Support) ou mais recente;
  • Se possui versões 6.13.x e não consegue atualizar para a versão 7.13.0 (LTS) então atualize para a versão 6.13.23;
  • Se possui versões 7.4.x e não consegue atualizar para a versão 7.13.0 (LTS) então atualize para a versão 7.4.11;
  • Se possui versões 7.11.x e não consegue atualizar para a versão 7.13.0 (LTS) então atualize para a versão 7.11.6;
  • Se possui versões 7.12.x e não consegue atualizar para a versão 7.13.0 (LTS) então atualize para a versão 7.12.5.
Referências

[1] https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html

[2] https://www.atlassian.com/software/confluence/download-archives 

Alerta de Vulnerabilidades - ProxyShell

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Microsoft Exchange Server 2013; Microsoft Exchange Server 2016; Microsoft Exchange Server 2019
ECOSSISTEMA
Microsoft
Descrição
Foram divulgadas provas de conceito relativamente a uma cadeia de três vulnerabilidades ProxyShell (CVE-2021-34523, CVE-2021-34473 e CVE-2021-31207) que afetam os Microsoft Exchange Server.[1][2]

A vulnerabilidade CVE-2021-34473 é de execução remota de código e a mais crítica.[3]

As vulnerabilidades CVE-2021-34523 e CVE-2021-31207 são, respetivamente, de elevação de privilégios e de bypass de recursos de segurança e foram inicialmente classificadas como "Exploração Menos Provável", de acordo com o Índice de Exploração da Microsoft devido às suas características.[4][5]

No entanto, quando exploradas em conjunto têm um valor significativo para os atacantes, podendo executar comandos arbitrários nos Exchange Servers vulneráveis na porta 443 e disseminando o Ransomware LockFile.[2]

Impacto
Caso estas vulnerabilidades sejam exploradas com sucesso, permitem a um atacante não autenticado a execução de código remotamente.

Resolução

É recomendado aos utilizadores aplicar as atualizações cumulativas dos sistemas "on-premises” de Maio de 2021:

- Exchange Server 2013 (Cumulative Update 23)

- Exchange Server 2016 (Cumulative Update 20, Cumulative Update 19)

- Exchange Server 2019 (Cumulative Update 9, Cumulative Update 8)

As transferências das atualizações podem ser encontradas em [6].

É possível consultar Indicadores de Compromisso em [7].


Referências

Alerta de Vulnerabilidades - Drupal

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Drupal 9.2; Drupal 9.1; Drupal 8.9
ECOSSISTEMA
Drupal
Descrição

Foi publicada uma atualização de segurança da framework Drupal, que corrige as vulnerabilidades associadas à biblioteca CKEditor. O Drupal utiliza esta biblioteca para alterar o conteúdo das páginas (WYSIWYG). [1]


Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem que um atacante consiga criar e editar conteúdos através do WYSIWYG CKEditor e/ou realizar um ataque de Cross-Site Scripting (XSS) a quem também tenha acesso a esse editor (incluindo administradores).


Resolução

Os utilizadores das versões afetadas devem atualizá-las para a sua versão mais recente:[1]

  • Caso esteja a utilizar Drupal 9.2, atualize para Drupal 9.2.4 ou mais recente;
  • Caso esteja a utilizar Drupal 9.1, atualize para Drupal 9.1.12 ou mais recente;
  • Caso esteja a utilizar Drupal 8.9, atualize para Drupal 8.9.18 ou mais recente;

A versão Drupal 7 core não é afetada, no entanto recomenda-se que os gestores dos websites com Drupal 7, 8 e 9 sigam o protocolo para a gestão de bibliotecas externas e plugins sugeridos pela Equipa de Segurança da framework Drupal.[2]

Para mais informações, consulte a notificação das atualizações do CKEditor.[3]


Referências

[1] https://www.drupal.org/sa-core-2021-005

[2] https://www.drupal.org/psa-2011-002

[3] https://ckeditor.com/blog/ckeditor-4.16.2-with-browser-improvements-and-security-fixes/

 

Alerta de Vulnerabilidades - FortiManager e FortiAnalyzer

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
FortiManager e FortiAnalyzer
ECOSSISTEMA
Outro
Descrição

A Fortinet publicou uma atualização de segurança referente a uma vulnerabilidade use-after-free (CVE-2021-32589) no FortiManager e FortiAnalyzer fgfmsd daemon.[1][2]
A condição user-after-free acontece quando um programa marca uma secção de memória como livre, no entanto tenta utilizar essa memória posteriormente. Isto pode resultar na falha do programa.
É importante referir que o FGFM está desativado, por padrão, no FortiAnalyzer e só pode ser ativado em modelos de hardware específicos, como por exemplo:
1000D, 1000E, 2000E, 3000D, 3000E, 3000F, 3500E, 3500F, 3700F, 3900E.


Impacto

Quando explorada com sucesso, esta vulnerabilidade permite ao atacante, através do envio de um pedido específico para a porta fgfm do dispositivo visado, a execução de código arbitrário remotamente com privilégios de administrador.


Resolução

As versões afetadas são:
- FortiManager versões anteriores a 5.6.10, versões anteriores a 6.0.10, versões anteriores a 6.2.7, versões anteriores a 6.4.5, versão 7.0.0. e versões 5.4.x;
- FortiAnalyzer versões anteriores a 5.6.10, versões anteriores a 6.0.10, versões anteriores a 6.2.7, versões anteriores a 6.4.5 e versão 7.0.0.

Os utilizadores das versões afetadas devem atualizá-las para a sua versão mais recente:[1]
- FortiManager version 5.6.11 ou mais recente;
- FortiManager version 6.0.11 ou mais recente;
- FortiManager version 6.2.8 ou mais recente;
- FortiManager version 6.4.6 ou mais recente;
- FortiManager version 7.0.1 ou mais recente.

- FortiAnalyzer version 5.6.11 ou mais recente;
- FortiAnalyzer version 6.0.11 ou mais recente;
- FortiAnalyzer version 6.2.8 ou mais recente;
- FortiAnalyzer version 6.4.6 ou mais recente;
- FortiAnalyzer version 7.0.1 ou mais recente.

Caso não seja possível aplicar as atualizações de imediato é recomendado que sejam desativadas as funcionalidades FortiManager na unidade FortiAnalyzer utilizando o seguinte comando:
config system global
set fmg-status disable
end


Referências

[1] https://www.fortiguard.com/psirt/FG-IR-21-067
[2] https://us-cert.cisa.gov/ncas/current-activity/2021/07/19/fortinet-releases-security-updates-fortimanager-and-fortianalyzer

 

Alerta de Vulnerabilidades - Windows Print Spooler

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Windows Print Spooler
ECOSSISTEMA
Windows
Descrição

Foi divulgada uma vulnerabilidade zero-day (CVE-2021-34527) no serviço Windows Print Spooler que permite a execução de código remoto com privilégios de "SYSTEM". Para obter sucesso no ataque qualquer utilizador autenticado apenas necessita de efetuar uma chamada ao “RpcAddPrinterDriverEx()” (função utilizada para instalar os drivers da impressora no sistema).[1][2]

De referir que esta vulnerabilidade é diferente da vulnerabilidade divulgada no dia 8 de Junho, Windows Print Spooler Remote Code Execution Vulnerability (CVE-2021-1675) e que já uma tem atualização disponível. [3]


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a execução de código arbitrário com privilégios.


Resolução

Verificar que foram aplicadas as atualizações de segurança de 8 de junho de 2021 e também aplicar as medidas de mitigação recomendadas pela Microsoft, disponíveis em [2].


Referências

[1] https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

Nota: Podem também encontrar mais informação nos URLs disponíveis abaixo, sobre a forma de como identificar se este ataque pode já ter sido executado nos Servidores ou a forma de implementar as medidas de mitigação (comandos a executar):
[4] https://github.com/LaresLLC/CVE-2021-1675
[5] https://www.kb.cert.org/vuls/id/383432

 

Alerta de Vulnerabilidades - VMWare

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
vCenter Server 6.5, 6.7 e 7.0
ECOSSISTEMA
VMWare
Descrição

Foi divulgada uma vulnerabilidade no plug-in virtual SAN Health Check, que afeta o vCenter Server 6.5, 6.7 e 7.0 (CVE-2021-21985).
O vSphere Client (HTML5) contém uma vulnerabilidade caracterizada pela não sanitização de comandos que permite a execução de código remoto.
Esta vulnerabilidade também pode ser explorada para ter acesso a um vCenter Server exposto online, quer o cliente utilize vSAN ou não, uma vez que o plug-in virtual SAN Health Check afetado é ativado por padrão em todas as implementações do vCenter Server.[1][2]


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a execução de comandos com privilégios ilimitados no sistema operativo onde está instalado o vCenter Server.


Resolução

Atualizar para as versões corrigidas, disponíveis em [2].


Referências

[1] https://securityaffairs.co/wordpress/118594/hacking/hackers-vmware-vcenter-cve-2021-21985.html
[2] https://www.vmware.com/security/advisories/VMSA-2021-0010.html

 

Alerta de Vulnerabilidades - CITRIX

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Citrix
ECOSSISTEMA
Citrix
Descrição

A CITRIX publicou uma atualização de segurança referente a uma vulnerabilidade (CVE-2021-22907) na Citrix Workspace App para Windows.[1]
Esta vulnerabilidade apenas existe caso a aplicação Citrix Workspace App tenha sido instalada utilizando uma conta com privilégios de administração local ou de domínio.


Impacto

A exploração bem sucedida desta vulnerabilidade permite ao atacante autenticado localmente elevar os seus privilégios (para ‘SYSTEM’) no computador que executa a aplicação Citrix Workspace para Windows.[1]


Resolução

Atualizar para as versões mais recentes:
* Citrix Workspace App - disponível em [2]
* Citrix Workspace App LTSR - disponível em [3]


Referências

[1] https://support.citrix.com/article/CTX307794
[2] https://www.citrix.com/downloads/workspace-app/windows/
[3] https://www.citrix.com/downloads/workspace-app/workspace-app-for-windows-long-term-service-release/

Alerta de Vulnerabilidades - WordPress

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
WordPress versões anteriores a 5.7.1
ECOSSISTEMA
Outro, Wordpress
Descrição

A WordPress lançou uma versão com atualizações de segurança e manutenção. Esta atualização inclui a resolução de uma vulnerabilidade de XML External Entity (XXE) que existe dentro da biblioteca media (PHP 8).[1]
Esta vulnerabilidade só pode ser explorada caso o WordPress tenha o PHP 8 e permita o upload de ficheiros.
De referir que caso o website tenha algum plugin que permita aos utilizadores efetuar o upload de ficheiros, esta vulnerabilidade pode ser explorada por utilizadores com menos privilégios.[2]


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante o acesso a ficheiros do website, como por exemplo o wp-config.php (ficheiro de configuração do Wordpress que contém dados sensíveis) e também que o atacante possa efetuar pedidos HTTP em nome da instalação Wordpress.


Resolução

Pode fazer o download da versão 5.7.1 ou superior a partir do website do WordPress.[3]


Referências

[1] https://wordpress.org/news/2021/04/wordpress-5-7-1-security-and-maintenance-release/
[2] https://blog.sonarsource.com/wordpress-xxe-security-vulnerability/
[3] https://wordpress.org/download/releases/

Alerta de Vulnerabilidades - QNAP

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
QNAP
ECOSSISTEMA
Outro, QNAP
Descrição

A QNAP publicou duas atualizações de segurança referente a duas vulnerabilidades (CVE-2020-36195, CVE-2021-28799) que afetam as aplicações "QNAP NAS Multimedia Console, QNAP Media Streaming add-on e QNAP NAS HBS 3 Hybrid Backup Sync".

De referir que neste momento estão a ser exploradas vulnerabilidades para ataques de ransomware, sendo que o CNCS aconselha a que sejam aplicadas as atualizações o mais brevemente possível.

 

[Nota] O CNCS aconselha também a que seja lida a notícia disponibilizada aqui .


Impacto

A exploração bem sucedida destas vulnerabilidades, permite remotamente aos atacantes ter acesso a informação do equipamento e/ou aceder ao mesmo e efetuar alterações (ex: alterar credenciais de acesso, criar ficheiros zip protegidos com palavra passe, etc...)


Resolução

Os utilizadores das versões afetadas devem atualizar as aplicações o mais brevemente possível. De referir que as instruções para atualização destas aplicações estão indicadas nos URLs disponibilizados neste alerta. [1][2]


Referências

[1] https://www.qnap.com/nl-nl/security-advisory/qsa-21-11
[2] https://www.qnap.com/nl-nl/security-advisory/qsa-21-13
[3] https://www.bleepingcomputer.com/news/security/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/
[4] https://thehackposts.com/news/massive-qlocker-ransomware-attack-uses-7zip-to-encrypt-qnap-devices/

Alerta de Vulnerabilidades - Cisco SD-WAN vManage

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Cisco SD-WAN vManage
ECOSSISTEMA
Cisco, Outro
Descrição

A Cisco publicou um conjunto de atualizações de segurança referente a três vulnerabilidades (CVE-2021-1137, CVE-2021-1479 e CVE-2021-1480) que afetam o programa Cisco SD-WAN vManage. Estas vulnerabilidades não dependem umas das outras para que possam ser exploradas.[1]


Impacto

A exploração bem sucedida destas vulnerabilidades, permite ao atacante executar programas arbitrários no sistema operativo com privilégios de administração ou causar um ataque de buffer overflow.[1]


Resolução

Os utilizadores das versões afetadas devem atualizar as aplicações. A lista de versões corrigidas encontra-se em [1].


Referências

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-YuTVWqy#vp

Alerta de Vulnerabilidades - Microsoft Exchange Server

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Microsoft Exchange Server 2013 Microsoft Exchange Server 2016 Microsoft Exchange Server 2019
ECOSSISTEMA
Microsoft, Outro, Windows
Descrição

A Microsoft publicou um conjunto de atualizações de segurança referentes a quatro vulnerabilidades (CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 e CVE-2021-28483) que afetam o Microsoft Exchange Server versões 2013, 2016 e 2019 "on-premises". [1]
É importante referir que estas vulnerabilidades são diferentes das vulnerabilidades publicadas em março de 2021 e, por essa razão, as atualizações efetuadas na altura não resolvem as vulnerabilidades descritas neste alerta.
Os clientes do Exchange Online não precisam de tomar qualquer medida.[2]


Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permite ao atacante o acesso e a persistência no sistema alvo. Adicionalmente também permite ao atacante a execução de código remotamente ou a instalação de código malicioso.[1]


Resolução

É recomendado aos utilizadores atualizar os sistemas "on-premises" para as seguintes versões:[1]
- Exchange Server 2013 (Cumulative Update 23)
- Exchange Server 2016 (Cumulative Update 20, Cumulative Update 19)
- Exchange Server 2019 (Cumulative Update 9, Cumulative Update 8)


Referências

[1] https://support.microsoft.com/pt-pt/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-april-13-2021-kb5001779-8e08f3b3-fc7b-466c-bbb7-5d5aa16ef064
[2] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617

Alerta de Vulnerabilidades - Netmask NPM

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Netmask v1.1.0 e anterior
ECOSSISTEMA
Outro
Descrição

Foi identificada uma vulnerabilidade no pacote da Netmask que permite aos atacantes executarem um conjunto de ataques remotamente devido à validação inadequada dos octetos IPv4.
Caso o IPv4 seja mal validado, pode permitir que um endereço IP externo seja interpretado como um IP da rede local.[1][2][3]


Impacto

A exploração bem sucedida desta vulnerabilidade, permite que um atacante remotamente e não autenticado possa realizar ataques de SSRF (Server-side request forgery), RFI (Remote file inclusion) e LFI (Local File inclusion).


Resolução

Os utilizadores da versões afetadas devem atualizar as aplicações para a sua versão mais recente. [4]


Referências

[1] https://www.securityweek.com/vulnerability-netmask-npm-package-affects-280000-projects
[2] https://portswigger.net/daily-swig/ssrf-vulnerability-in-npm-package-netmask-impacts-up-to-279k-projects
[3] https://github.com/sickcodes/security/blob/master/advisories/SICK-2021-011.md
[4] https://www.npmjs.com/package/netmask

Alerta de Vulnerabilidades - Cisco Jabber

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Cisco Jabber
ECOSSISTEMA
Cisco, Outro
Descrição

A Cisco publicou um conjunto de atualizações de segurança referentes a cinco vulnerabilidades (CVE-2021-1411, CVE-2021-1417, CVE-2021-1418, CVE-2021-1469 e CVE-2021-1471) que afetam os seus clientes de mensagens Jabber através do Windows, MacOS, Android e iOS. Estas vulnerabilidades não dependem umas das outras para que possam ser exploradas.[1]
A Cisco confirmou que estas vulnerabilidades, com exceção da CVE-2021-1471, não afetam o software Cisco Jabber que está configurado para qualquer um dos seguintes modos:
* Modo “Phone-only”
* Modo “Team Messaging”

É necessário que o atacante esteja autenticado num servidor de Extensible Messaging and Presence Protocol (XMPP) e que seja capaz de enviar mensagens XMPP para exploração das vulnerabilidades mencionadas.


Impacto

A exploração bem sucedida destas vulnerabilidades, permite ao atacante executar programas arbitrários no sistema operativo com privilégios de administração, aceder a dados sensíveis, interceptar/modificar tráfego ou causar uma negação de serviço (DoS).[1]


Resolução

Os utilizadores das versões afetadas devem atualizar as aplicações para a sua versão mais recente.[1]


Referências

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-jabber-PWrTATTC#fs

Alerta de Vulnerabilidades - Windows DNS Server

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Windows Server 2016; Windows Server 2019; Windows Server 2012 (incluindo R2); Windows Server 2008 (incluindo R2, R2 SP1 e R2 SP2); Windows Server, ver
ECOSSISTEMA
Windows
Descrição

A Microsoft alertou para um conjunto de sete vulnerabilidades associadas ao Windows DNS Server, onde cinco permitem a execução remota de código (RCE) (CVE-2021-26877, CVE-2021-26893, CVE-2021-26894, CVE-2021-26895 e CVE-2021-26897) e as restantes são negação de serviço (DoS) (CVE-2021-26896 e CVE-2021-27063).
A McAfee realizou uma análise técnica a estas vulnerabilidades que pode ser consultada em [1].
Para estar vulnerável, um servidor DNS tem de ter as Atualizações Dinâmicas ativas (configuração por omissão).


Impacto

A exploração bem sucedida destas vulnerabilidades permite a execução de código remoto sem necessidade de autenticação ou interação por parte do utilizador num servidor DNS.[1]


Resolução

É recomendado aplicar as atualizações indicadas nas referências [2].

Na impossibilidade da aplicação imediata destas atualizações, a Microsoft disponibilizou um conjunto de medidas de mitigação temporárias:
- Desativar a funcionalidade “Atualização Dinâmica” ou apenas permitir atualizações dinâmicas por Servidores fiáveis.
- Permitir Atualizações de Zonas Seguras para limitar a possível exploração. Esta medida protege contra ataques em interfaces disponíveis para a Internet, mas não protege caso o atacante esteja internamente na rede (ex: computador ligado a domínio).


Referências

[1] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/seven-windows-wonders-critical-vulnerabilities-in-dns-dynamic-updates/
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26897

Alerta de Vulnerabilidades - Microsoft Exchange Server

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Microsoft Exchange Server 2010; Microsoft Exchange Server 2013; Microsoft Exchange Server 2016; Microsoft Exchange Server 2019
ECOSSISTEMA
Microsoft, Outro, Windows
Descrição

A Microsoft publicou um conjunto de atualizações de segurança referentes a vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065) que afetam o Microsoft Exchange Server versões 2010, 2013, 2016 e 2019 "on-premises". De referir que as versões Exchange Online (ex: Microsoft 365) não são afetadas por estas vulnerabilidades.[1][2][3]


ATUALIZAÇÃO (12-03-2021):
Foram identificados casos de aproveitamento desta vulnerabilidade para instalação de um ransomware (DEARCRY). Este ransomware cifra os ficheiros presentes no servidor exchange e exige um pagamento para recuperar o acesso aos mesmos, ficando os utilizadores sem acesso aos emails presentes no servidor.[8]


Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permite ao atacante o acesso a contas de e-mail e exfiltrar toda a informação.
Adicionalmente também permite ao atacante a execução de código remotamente ou a instalação de código malicioso.[1]


Resolução

É recomendado aos utilizadores atualizar os sistemas "on-premises" para as seguintes versões:[4]
- Exchange Server 2010 (Release Update 31 for Service Pack 3)
- Exchange Server 2013 (Cumulative Update 23)
- Exchange Server 2016 (Cumulative Update 19, Cumulative Update 18)
- Exchange Server 2019 (Cumulative Update 8, Cumulative Update 7)

ATUALIZAÇÃO (08-03-2021):
É recomendado que os utilizadores atualizem os sistemas "on-premises" para as versões mais recentes, no entanto na impossibilidade de poder aplicar imediatamente estas atualizações, a Microsoft disponibilizou um conjunto de medidas de mitigação alternativas, descritas em [6].
De relembrar que a aplicação destas medidas alternativas devem ser consideradas de carácter temporário até à possibilidade de poder aplicar as atualizações para os sistemas Exchange (que recomendamos que seja o mais brevemente possível).


É aconselhado a que seja verificada a presença de Indicadores de Compromisso disponibilizados em [1], [2] e [7], bem como a identificação de possíveis webshells que possam ter sido criadas [5].


Referências

[1] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
[2] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[3] https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day-bugs-patch-now/
[4] https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
[5] https://github.com/cert-lv/exchange_webshell_detection
[6] https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
[7] https://github.com/microsoft/CSS-Exchange/tree/main/Security
[8] https://www.bleepingcomputer.com/news/security/ransomware-now-attacks-microsoft-exchange-servers-with-proxylogon-exploits/

Alerta de Vulnerabilidades - VMware

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
vSphere Replication versão anterior a 8.3.1.2, versão anterior a 8.2.1.1, versão anterior a 8.1.2.3 e versão anterior a 6.5.1.5
ECOSSISTEMA
Outro, VMWare
Descrição

Foi divulgada uma vulnerabilidade de injeção de código pós-autenticação na página de "Configuração Inicial".

Um atacante que tenha acesso como administrador ao vSphere Replication pode executar comandos no sistema.[1]


Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante com acesso de administrador a execução de código remoto.[1]


Resolução

Os utilizadores das versões afetadas devem atualizá-las para a sua versão mais recente:[1]
- vSphere Replication 8.3.1.2 ou mais recente;
- vSphere Replication 8.2.1.1 ou mais recente;
- vSphere Replication 8.1.2.3 ou mais recente;
- vSphere Replication 6.5.1.5 ou mais recente.


Referências

[1] https://www.vmware.com/security/advisories/VMSA-2021-0001.html

Última atualização em 13-12-2020