Ir para conteúdo

Alerta de Vulnerabilidades - PaperCut

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
PaperCut NG e PaperCut MF versões 8.0 ou posteriores
ECOSSISTEMA
Outro
Descrição

Na sequência da vulnerabilidade que afeta servidores PaperCut publicada no final de abril (CVE-2023-27350), que permite a um ator malicioso ultrapassar, remotamente, a autenticação em servidores PaperCut e executar código arbitrário, a CISA e FBI partilham um alerta com detalhes técnicos, métodos de deteção e indicadores de comprometimento.
O CNCS recomenda a consulta deste documento [2].

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite que um atacante execute remotamente código arbitrário.

 

Resolução

É recomendado atualizar PaperCut para a sua versão mais recente.

 

Referências

Alerta de Vulnerabilidades - Microsoft

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Windows
ECOSSISTEMA
Microsoft, Windows
Descrição

A Microsoft publicou as atualizações de segurança referentes a maio de 2023, onde são mencionadas diversas vulnerabilidades relevantes, entre elas três 0-day e seis de severidade considerada crítica. 
Das três vulnerabilidades 0-day caracterizadas, duas estão a ser ativamente exploradas — CVE-2023-29336 (Elevação de Privilégios Win32k) e CVE-2023-24932 (Secure Boot Bypass). A terceira vulnerabilidade caracteriza-se por Execução Remota de Código Windows OLE (CVE-2023-29325).

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que um atacante obtenha controlo de um sistema afetado.

 

Resolução

É recomendado atualizar os sistemas para a sua versão mais recente.

 

Referências

Alerta de Vulnerabilidades - Windows CLFS e MSMQ

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Windows Common Log File System Driver e Microsoft Message Queuing
ECOSSISTEMA
Windows
Descrição

Nas atualizações de segurança mensais de Abril da Microsoft, são mencionadas quatro vulnerabilidades relevantes, entre elas uma de severidade crítica. 
Três das vulnerabilidades (CVE-2023-21554, denominada QueueJumper, CVE-2023-21769 e CVE-2023-28302) afetam o serviço Microsoft Message Queuing (MSMQ), permitindo a atacantes a execução remota de código arbitrário e negação de serviço. 
A vulnerabilidade zero-day (CVE-2023-28252) que afeta Windows Common Log File System (CLFS) permite a elevação de privilégios e, posteriormente, a disseminação de ransomware Nokoyawa. Esta vulnerabilidade está a ser ativamente explorada.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, um atacante pode executar código arbitrário remotamente, espoletar uma condição de negação de serviço ou elevar privilégios.

 

Resolução

É recomendado atualizar os sistemas para a sua versão mais recente.

 

Referências

Alerta de Código Malicioso - 3CX Desktop App

TIPO
Código Malicioso
SISTEMAS AFETADOS
3CX DesktopApp Windows versões 18.12.407 e 18.12.416; 3CX DesktopApp macOS versões 18.11.1213, 18.12.402, 18.12.407 e 18.12.416
ECOSSISTEMA
MacOS, Windows
Descrição

Foi detetada a distribuição de uma versão legítima do 3CX Desktop App — um software VOIP/PABX — contendo código malicioso. Trata-se de um supply-chain attack.

Refere-se a leitura de [2], [3] e [4] para detalhes técnicos sobre este ataque.

 

Impacto

Um ator malicioso poderá exfiltrar informação sensível do sistema, incluindo credenciais guardadas em browsers instalados.

 

Resolução

É recomendado desinstalar a Desktop App e em alternativa utilizar a Progressive Web App (PWA).

São referenciados indicadores de comprometimento (IoC) em [2], [3] e [4].

 

Referências

Alerta de Ameaça - EMOTET

TIPO
Código Malicioso
SISTEMAS AFETADOS
Microsoft Windows
ECOSSISTEMA
Microsoft, Windows
Descrição

O CNCS voltou a registar um elevado envio de e-mails contendo código malicioso da família Emotet. 

Estes e-mails são, ou fingem ser, enviados de endereços conhecidos pelos recetores, podendo surgir como resposta a conversas anteriores. Este código malicioso caracteriza-se por enviar e-mails dissimulados para a lista de contactos das vítimas.

- Recomenda-se maior atenção aos anexos recebidos e a hiperligações maliciosos presentes no corpo da mensagem. 
Note-se que existe prevalência na utilização de pastas comprimidas (ficheiros zip), contendo os ficheiros maliciosos.
- Não ative as macros de ficheiros que desconhece.
- Desconfie de mensagens com sentido de urgência que contenham ficheiros em anexo ou que pedem para descarregar os mesmos ou ainda para clicar em hiperligações.

 

Às entidades:

É aconselhável a configuração dos dispositivos de segurança perimétrica para bloquear os endereços IP de C2 associados a diferentes fenómenos (incluindo este) presentes nesta lista: https://feodotracker.abuse.ch/downloads/ipblocklist_recommended.txt.

Esta lista é renovada de 5 em 5 minutos, pelo que será desejável manter a listagem local atualizada.

Para identificar eventuais comprometimentos no passado, recomenda-se a utilização desta lista https://feodotracker.abuse.ch/downloads/ipblocklist.txt. Aqui encontram-se os endereços IP maliciosos que estiveram ativos no último mês, mas que poderão já ter sido desativados. Os endereços IP presentes nesta lista devem ser procurados nos logs de firewall, webproxy, netflows e outros.

Se surgir alguma dúvida não hesite em contactar o CERT.PT através do endereço cert@cert.pt.

Alerta de Vulnerabilidades - Microsoft Outlook

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Microsoft Outlook para Windows; outros
ECOSSISTEMA
Microsoft, Windows
Descrição

A Microsoft publicou as atualizações de segurança referentes a março de 2023, onde constam informação sobre 83 vulnerabilidades. Neste conjunto, há referência a 2 vulnerabilidades 0-day (CVE-2023-23397 de severidade crítica e CVE-2023-24880 de severidade moderada).[1]

A vulnerabilidade crítica de Elevação de Privilégios no Microsoft Outlook (CVE-2023-23397) caracteriza-se por permitir que e-mails especialmente criados forcem o dispositivo da vítima a conectar-se a um URL remoto e transmitir o hash Net-NTLMv2 da conta do Windows.[3]

A vulnerabilidade CVE-2023-24880 é usada para criar executáveis que ultrapassam os avisos de segurança Windows Mark of The Web.[5]

Ambas as vulnerabilidades estão a ser ativamente exploradas.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que um atacante tenha controlo de um sistema afetado.

 

Resolução

Recomenda-se a aplicação das atualizações de segurança mais recentes.

A Microsoft publicou um script que ajuda na deteção de elementos maliciosos que indicam a utilização da vulnerabilidade por atores — [4].

 

Referências

Alerta de Vulnerabilidades - Microsoft Word

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Aplicações Microsoft 365 Enterprise, Microsoft Office, Microsoft Word e Microsoft SharePoint
ECOSSISTEMA
Microsoft
Descrição

A Microsoft publicou 1 boletim de segurança associado à vulnerabilidade CVE-2023-21716 que está classificada com severidade “Crítica”. É recomendada a leitura do boletim  — [1]

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite, entre outras consequências, que seja executado código arbitrário de forma remota.

 

Resolução

Recomenda-se a aplicação das atualizações de segurança mais recentes para os produtos afetados.

 

Referências

Alerta de Vulnerabilidades - Fortinet

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
FortiNAC, FortiWeb e outros produtos
ECOSSISTEMA
Outro
Descrição

A Fortinet publicou 40 boletins de segurança associados a diversos produtos — FortiNAC, FortiWeb, FortiPortal, FortiOS, FortiAnalyzer, FortiProxy, FortiExtender, FortiADC, FortiAuthenticator, FortiSandbox, FortiSwitchManager e FortiWAN.
Note-se que 2 dos 40 alertas lançados abordam vulnerabilidades críticas nos produtos FortiNAC (CVE-2022-39952) e FortiWeb (CVE-2021-42756) e 15 estão classificados com severidade “Importante”. É recomendada a leitura dos alertas — [1], [2], [3].

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que seja executado código arbitrário.

 

Resolução

Recomenda-se a aplicação das atualizações de segurança mais recentes para os produtos afetados.

A entidade Horizon3 publicou um proof-of-concept (PoC) exploit relacionado com a vulnerabilidade CVE-2022-39952. [4]

 

Referências

Alerta de Vulnerabilidades - Cisco

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Cisco Secure Endpoint, IOS XE Software, Email Security Appliance, Secure Email and Web Manager e Nexus Dashboard
ECOSSISTEMA
Cisco
Descrição

Cisco publicou recentemente boletins de segurança referentes a diversas vulnerabilidades, entre elas 1 vulnerabilidade crítica (CVE-2023-20032) e 4 Importantes (CVE-2023-20014, CVE-2023-20009, CVE-2023-20075 e CVE-2023-20076). A consulta da página de boletins de segurança da Cisco é aconselhada para atualizações de vulnerabilidades de severidade inferior às referidas.[1]

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que seja executado código arbitrário, elevar privilégios ou causar uma condição de negação de serviço (DoS).

 

Resolução

Recomenda-se aplicação das atualizações de segurança mais recentes para os produtos afetados.

 

Referências

Alerta de Vulnerabilidades - Apple

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
iOS, iPadOS, MacOS Ventura e Safari
ECOSSISTEMA
Apple, iOS, MacOS
Descrição

A Apple publicou uma atualização de segurança para dispositivos iOS, iPadOS e MacOS Ventura que corrige três vulnerabilidades (CVE-2023-23514, CVE-2023-23522 e CVE-2023-23529).  A vulnerabilidade CVE-2023-23529 também afeta o Safari.
É possível consultar a caracterização destas vulnerabilidades em [1], [2] e [3] — 1 no Kernel, 1 no WebKit e 1 nos Shortcuts.
A vulnerabilidade CVE-2023-23529 em dispositivos iOS e iPadOS está a ser ativamente explorada.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que seja executado código arbitrário.

 

Resolução

É recomendado aplicar a atualização de segurança mais recente.

 

Referências

Alerta de Vulnerabilidades - VMware ESXi

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
ESXi 7.x, 6.7.x, 6.5.x
ECOSSISTEMA
VMWare
Descrição
Foram identificadas campanhas contra VMware ESXi hypervisors com o objetivo de disseminar Ransomware. Estas campanhas exploram a vulnerabilidade CVE-2021-21974, que possui correção desde fevereiro de 2021. Esta vulnerabilidade afeta o OpenSLP (Service Location Protocol). 
As versões afetadas constituem-se:
   - ESXi 7.x versões anteriores a ESXi70U1c-17325551
   - ESXi 6.7.x versões anteriores a ESXi670-202102401-SG
   - ESXi 6.5.x versões anteriores a ESXi650-202102101-SG

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, um atacante remoto pode executar código arbitrário.

 

Resolução

Recomenda-se a aplicação de todas as atualizações de segurança disponíveis, bem como a medida de mitigação temporária recomendada pela VMware — desativar o serviço SLP em ESXi hypervisors que não foram atualizados [2].

Refere-se também a importância da análise aos sistemas, com o intuito de perceber se os mesmos não foram comprometidos.

[ATUALIZAÇÃO 08-02-2023]
A CISA publicou uma ferramenta para as entidades afetadas pelo ransomware ESXiArgs. Esta ferramenta está disponível em [3].

 

Referências

Alerta de Vulnerabilidades - NAS QNAP

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
QTS 5.0.1 e QuTS hero h5.0.1
ECOSSISTEMA
QNAP
Descrição

A QNAP publicou uma atualização de segurança referente à vulnerabilidade CVE-2022-27596 que afeta dispositivos QNAP que utilizam QTS 5.0.1 e QuTS hero h5.0.1.

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite ao atacante a injeção e execução de código malicioso de forma remota.

 

Resolução

É recomendado atualizar os produtos para a sua versão mais recente. [1]

 

Referências

Alerta de Vulnerabilidades - SAP

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Vários produtos SAP
ECOSSISTEMA
Outro
Descrição

A SAP publicou um conjunto de atualizações de segurança relativamente a diversas vulnerabilidades (quatro delas críticas, cinco importantes, as restantes são de severidade média), que afetam vários produtos. 

 

Impacto

Existem vários cenários de ataque caso estas vulnerabilidades sejam exploradas com sucesso, como por exemplo permitir a um atacante acesso a informação sensível e execução de código remoto.

 

Resolução

Recomenda-se a aplicação das atualizações de segurança.

 

Referências

Alerta de Vulnerabilidades - VMWare

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
VMware vRealize Network Insight, VMware ESXi, Workstation e Fusion
ECOSSISTEMA
VMWare
Descrição

Foram publicados dois avisos de segurança que resolvem três vulnerabilidades de produtos VMWare.
Duas das vulnerabilidades afetam o produto VMware vRealize Network Insight (vRNI) — Uma delas crítica (CVE-2022-31702) e outra importante (CVE-2022-31703).
A restante vulnerabilidade também se caracteriza crítica (CVE-2022-31705) e afeta VMware ESXi, Workstation e Fusion. 

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, é possível, entre outras consequências, que um atacante não autenticado possa executar código arbitrário.

 

Resolução

Recomenda-se a atualização dos produtos:
- VMware vRealize Network Insight (vRNI) versões 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 e 6.7 (ou mais recentes);
- VMware Workstation Pro / Player (Workstation) versão 16.2.5 (ou mais recente);
- VMware Fusion Pro / Fusion (Fusion) versão 12.2.5 (ou mais recente);
- VMware ESXi versões 7.0 Update 3i / 8.0a (ou mais recentes).

 

Referências

Alerta de Vulnerabilidades - Citrix

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Citrix Gateway e Citrix ADC
ECOSSISTEMA
Citrix
Descrição

Foi publicada uma atualização de segurança que resolve uma vulnerabilidade crítica de RCE (CVE-2022-27518) que afeta Citrix Gateway e Citrix ADC. As versões 13.1 Citrix ADC e Citrix Gateway não são afetadas.
Para que esta vulnerabilidade seja explorada é necessário que Citrix Gateway ou Citrix ADC estejam configurados como Security Assertion Markup Language (SAML) service provider (SP) ou SAML identity provider (IdP).
Note-se que esta vulnerabilidade está a ser ativamente explorada. 

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, um atacante não autenticado pode executar código arbitrário remotamente.

 

Resolução

Recomenda-se a atualização dos produtos:
- Citrix ADC e Citrix Gateway 12.1-65.25 ou versão mais recente;
- Citrix ADC e Citrix Gateway 13.0-58.32 ou versão mais recente;
- Citrix ADC 12.1-FIPS 12.1-55.291 ou versão mais recente;
- Citrix ADC 12.1-NDcPP 12.1-55.291 ou versão mais recente.

A NSA publicou um documento [2] que ajuda a identificar o comprometimento de um Citrix ADC. Recomenda-se a leitura do mesmo.

 

Referências

Alerta de Vulnerabilidades - FortiOS

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
FortiOS versões 6.2.0, 6.4.0, 7.0.0 e 7.2.0; FortiOS-6K7K 6.0.0, 6.2.0, 6.4.0 e 7.0.0
ECOSSISTEMA
Outro
Descrição

Foi publicada uma atualização de segurança que resolve uma vulnerabilidade crítica de Heap-based Buffer Overflow (CVE-2022-42475) no FortiOS SSL-VPN.
Note-se que esta vulnerabilidade está a ser ativamente explorada. Recomenda-se a verificação dos indicadores de comprometimento presentes em [1]. 

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, um atacante não autenticado pode executar código arbitrário remotamente.

 

Resolução

Recomenda-se a atualização para as versões mais recentes dos produtos:
- FortiOS versão 7.2.3 ou mais recente;
- FortiOS versão 7.0.9 ou mais recente;
- FortiOS versão 6.4.11 ou mais recente;
- FortiOS versão 6.2.12 ou mais recente;
- FortiOS-6K7K versão 7.0.8 ou mais recente;
- FortiOS-6K7K versão 6.4.10 ou mais recente;
- FortiOS-6K7K versão 6.2.12 ou mais recente;
- FortiOS-6K7K versão 6.0.15 ou mais recente.

 

Referências

Alerta de Vulnerabilidades - Citrix

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Citrix Gateway e Citrix ADC
ECOSSISTEMA
Citrix
Descrição

Foi publicada uma atualização de segurança que resolve três vulnerabilidades Citrix, entre elas uma de severidade crítica (CVE-2022-27510), alta (CVE-2022-27513) e média (CVE-2022-27516). Estas vulnerabilidades afetam os produtos Citrix Gateway e Citrix ADC. 
Note-se que existem pré-condições para que estas vulnerabilidades sejam exploradas, como por exemplo, dispositivos a operar como Gateway. Posto isto, pede-se a leitura destas condições para cada vulnerabilidade presente no artigo [1].

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, podem resultar, entre outras consequências, no acesso não autorizado a sistemas.

 

Resolução

Recomenda-se a atualização para as versões mais recentes dos produtos (12.1-65.21, 13.0-88.12, 13.1-33.47 ou mais recente).

 

Referências

Alerta de Vulnerabilidades - OpenSSL

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
OpenSSL 3.x
ECOSSISTEMA
Outro
Descrição

A OpenSSL Software Foundation publicou uma atualização de segurança que resolve duas vulnerabilidades Buffer Overflow (CVE-2022-3602 e CVE-2022-3786) em que são afetadas as versões OpenSSL 3.x. 
É possível consultar os detalhes destas vulnerabilidades em [1].

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, podem resultar em ataques de negação de serviço, bem como execução remota de código.

 

Resolução

Recomenda-se a atualização para a versão OpenSSL 3.0.7 (ou mais recente).

 

Referências

Alerta de Vulnerabilidades - VMware Cloud Foundation

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
VMware Cloud Foundation versões 3.x / VMware NSX-V versões anteriores a 6.4.14
ECOSSISTEMA
VMWare
Descrição

A VMware publicou uma atualização de segurança que corrige duas vulnerabilidades (CVE-2021-39144 e CVE-2022-31678), uma delas crítica. Estas vulnerabilidades afetam os ambientes VMware Cloud Foundation em todas as versões 3.x e instâncias VMware NSX-V nas versões anteriores a 6.4.14.
A vulnerabilidade RCE (CVE-2021-39144) afeta VMware Cloud Foundation através da biblioteca open source XStream. Por outro lado, o CVE-2022-31678 trata uma vulnerabilidade XML External Entity (XXE) de severidade moderada.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, a um atacante a execução remota de código.

 

Resolução

Para versões do VMware Cloud Foundation anteriores a 3.9.1, recomenda-se a atualização para a versão 3.11.0.1 (ou mais recente) e, de seguida, a aplicação dos passos mencionados na secção Workaround de [2].
Para versões do VMware Cloud Foundation posteriores a 3.9.1, recomenda-se a aplicação dos passos mencionados na secção Workaround de [2].

 

Referências

Alerta de Vulnerabilidades - Apple

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Versões anteriores a iOS 16.1 e iPadOS 16
ECOSSISTEMA
Apple, iOS
Descrição

A Apple publicou uma atualização de segurança para dispositivos iOS e iPadOS que resolve 20 vulnerabilidades, entre elas 8 zero-day. 
É possível consultar em [1] a caracterização das vulnerabilidades — 3 no Kernel, 4 no Point-to-Point Protocol (PPP), 3 no WebKit e em AppleMobileFileIntegrity, AVEVideoEncoder, CFNetwork, Core Bluetooth, GPU Drivers, IOHIDFamily, IOKit, Sandbox, Shortcuts e WebKit PDF, 1 de cada.

 

Impacto

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, que seja executado código arbitrário.

 

Resolução

É recomendado aplicar a atualização de segurança mais recente.

 

Referências
Última atualização em 07-09-2022