NOVAS VULNERABILIDADES DETECTADAS NO MK-AUTH 19

 

MK-AUTH é uma distro Linux com servidor Radius, Banco de Dados, servidor Web, servidor SSH e vários outros recursos já instalados e pronto para ser usados no controle de provedores de internet que usam o HotSpot ou PPPoE do MikroTik para controle de acesso de seus clientes, assim conta com um sistema totalmente baseado em plataforma Web com vários recursos para administração do seu provedor e de seus clientes. Esse sistema foi desenvolvido para tratar de tarefas rotineiras de provedores de internet.

Foram identificadas 2 vulnerabilidades e registradas nos CVEs:

• CVE-2021-3005 / Severidade 4 - MK-AUTH até 19.01 K4.9 permite que invasores remotos obtenham informações confidenciais (por exemplo, um número de CPF) por meio de um titulo modificado (também conhecido como número da fatura) pela URI central / recibo.php.
• CVE-2021-21495 / Severidade 6.8 - MK-AUTH até 19.01 K4.9 permite CSRF¹ para alterações de senha por meio da URI central/executar_central.php?acao=altsenha_princ.

Lembrando que ano passado, para essa mesma versão, houveram divulgações de falhas de segurança. Saiba mais.

[ 1 ] - O cross-site request forgery (CSRF ou XSRF), também conhecido como ataque de um clique (one-click attack) ou montagem de sessão (session riding), é um tipo de exploit malicioso de um website, no qual comandos não autorizados são transmitidos a partir de um usuário em quem a aplicação web confia. Há muitos meios em que um site web malicioso pode transmitir tais comandos, tags de imagem especialmente criadas, formulários ocultos e XMLHttpRequests de JavaScript, por exemplo, podem funcionar sem a interação do usuário ou mesmo seu conhecimento. Diferente do cross-site scripting (XSS), que explora a confiança que um usuário tem para um site específico, o CSRF explora a confiança que um site tem no navegador de um usuário.

6 PRINCIPAIS PROGRAMAS DE BUGBOUNTY PARA PARTICIPAR EM 2021

 Embora o Gartner ainda não tenha um Magic Quadrant dedicado para Bug Bounties ou Crowd Security Testing, o Gartner Peer Insights já lista 24 fornecedores na categoria "Application Crowdtesting Services".

Para quem não está familiarizado com o termo:  bug bounty é um programa de premiação mantido por empresas como Facebook e Google, por exemplo, para premiar pesquisadores e desenvolvedores que descobrem vulnerabilidades nas suas aplicações.

Compilamos as 5 plataformas de recompensa de bugs mais promissoras para aqueles que desejam aprimorar seu arsenal de teste de software existente com o conhecimento e a experiência de pesquisadores de segurança internacional:

1 - HackerOne

O HackerOne é provavelmente a marca Bug Bounty mais conhecida e reconhecida do mundo. De acordo com seu relatório anual, mais de 1.700 empresas confiam na plataforma HackerOne para aumentar suas capacidades de teste de segurança de aplicativos internos. O relatório também afirma que seus pesquisadores de segurança ganharam aproximadamente US $ 40 milhões em recompensas somente em 2019 e US $ 82 milhões cumulativamente.

O HackerOne também é famoso por hospedar programas Bug Bounty do governo dos EUA, incluindo o Departamento de Defesa dos EUA e os programas de divulgação de vulnerabilidades do Exército dos EUA. Como alguns outros fornecedores comerciais de Bug Bounties e Vulnerability Disclosure Programs (VDP), o HackerOne agora também oferece serviços de pentest recheados de pesquisadores de segurança avaliados de todo o mundo. HackerOne tem um sólido portfólio de certificações de segurança, incluindo ISO 27001 e autorização FedRAMP.

2 - BugCrowd

Fundado pelo especialista em segurança Casey Ellis, o BugCrowd é provavelmente a plataforma Bug Bounty mais criativa e inventiva. BugCrowd promove ativamente não apenas os serviços tradicionais de teste de segurança, mas também gerenciamento de superfície de ataque e um amplo espectro de serviços de pentest para IoT, API e até mesmo rede, ficando à frente de seus concorrentes no mercado de trabalho com um rápido crescimento.

BugCrowd é famoso por hospedar programas Bug Bounty para gigantes da indústria como Amazon, VISA e eBay, bem como a venerada associação de educação em segurança cibernética (ISC) ². 

3 - OpenBugBounty

O projeto OpenBugBounty está em ascensão e é a única plataforma Bug Bounty em nossa lista sem fins lucrativos. Com mais de 1.200 programas Bug Bounty ativos, o OpenBugBounty também permite a divulgação coordenada de problemas de segurança em qualquer site se as mesmas foram detectadas por meios não intrusivos. A criação do programa Bug Bounty é totalmente gratuita e os proprietários do site não são obrigados a fazer pagamentos em dinheiro aos pesquisadores - mas são encorajados a pelo menos agradecer aos pesquisadores e fornecer uma recomendação pública por seus esforços.

OpenBugBounty hospeda programas Bug Bounty para empresas como A1 Telekom Austria e Drupal, com mais de 20.000 pesquisadores de segurança e quase 800.000 vulnerabilidades de segurança enviadas até agora. A plataforma afirma que suas políticas e processos de divulgação são baseados no padrão ISO 29147.

4 - SynAck

Apoiado por muitos fundos de capital de risco renomados, incluindo Intel Capital e Kleiner Perkins, SynAck foi nomeada empresa "CNBC Disruptor" quatro vezes consecutivas, de 2015 a 2019. SynAck está no topo das plataformas comerciais Bug Bounty, também mencionadas no Top 25 Enterprise Software Startups da Gartner .

Fundada por Jay Kaplan e Mark Kuhr, visionários de segurança e veteranos de renome das agências de segurança nacional dos EUA, a SynAck oferece uma equipe de elite de pesquisadores de segurança cibernética exaustivamente avaliados, conhecida como "Red Team" (SRT). De acordo com a SynAck, o grupo SRT é composto por especialistas em segurança com experiências.

5 - YesWeHack

A única empresa europeia de divulgação de vulnerabilidades e Bug Bounty, YesWeHack atrai com eficiência empresas baseadas na UE cuja principal preocupação é a privacidade e proteção de dados. Recentemente, a YesWeHack anunciou um crescimento recorde de 250% durante 2020 na Ásia, demonstrando que as startups europeias são capazes de crescer globalmente.

Semelhante ao BugCrowd, o YesWeHack está bem preparado para investir em seu capital humano. No ano passado, lançou um programa de treinamento para ajudar os caçadores de Bug Bounty a aprimorar suas habilidades de hacking com a plataforma YesWeHack DOJO. Ele apresenta cursos introdutórios e desafios de treinamento com foco em vulnerabilidades de segurança específicas e playgrounds.

Com o DOJO, pesquisadores de segurança de todo o mundo podem aprimorar suas habilidades em testes de segurança de software. Por fim, YesWeHack demonstra de forma persuasiva a sua capacidade de atrair clientes europeus de renome, como o conglomerado francês OVH.

6 - BugHunt

Uma empresa 100% tupiniquim e que possui o mesmo estilo de trabalho das demais já apresentadas. A BugHunt está em conformidade com os mais rigorosos padrões e regulamentos nacionais e internacionais para proteger os interesses de seus clientes e especialistas.

Na plataforma a empresa pode definir o escopo que necessita para testar seus produtos. Para pequenas e médias empresas, abrir um bug bounty na BugHunt custará bem menos do que contratar um pentest. A empresas poderão abrir programas em duas modalidades: pública e privada. Na primeira, o programa estará exposto para qualquer participante da plataforma – a participação é gratuita. Na segunda, há um custo de participação porque a empresa pode escolher profissionais na lista dos dez melhores hackers da BugHunt.

FORTINET CORRIGE VULNERABILIDADES CRÍTICAS EM SSL VPN E WEB FIREWALL

 A Fortinet corrigiu várias vulnerabilidades graves que afetam seus produtos.

As vulnerabilidades variam de Remote Code Execution (RCE) a SQL Injection, Denial of Service (DoS) e impactam os produtos FortiProxy SSL VPN e FortiWeb Web Application Firewall (WAF).

Vários avisos publicados pelo FortiGuard Labs neste mês e em janeiro de 2021 mencionam várias vulnerabilidades críticas que a Fortinet tem corrigido em seus produtos.

Algumas dessas vulnerabilidades mostradas abaixo foram relatadas anteriormente em outros produtos Fortinet, mas foram corrigidas apenas recentemente nas versões do FortiProxy SSL VPN.

Digno de nota é a vulnerabilidade CVE-2018-13381 no FortiProxy SSL VPN, que pode ser acionada por um atacante, de forma remota e não autenticado por meio de uma solicitação POST.

Devido a um estouro de buffer no portal SSL VPN do FortiProxy, uma solicitação POST especialmente criada com um grande volume de dados, quando recebida pelo produto, é capaz de travá-lo, levando a uma condição de negação de serviço (DoS).

Da mesma forma, o CVE-2018-13383 é interessante porque um invasor pode abusar dele para acionar um estouro na VPN por meio da propriedade de conteúdo HREF do JavaScript.

Caso uma página da web criada por um invasor contendo a carga útil do JavaScript seja analisada pelo FortiProxy SSL VPN, a execução remota de código é possível, além do DoS.

Considerando que as vulnerabilidades tornadas públicas em janeiro de 2021 tornam o SQL Injection, RCE e DoS possíveis de várias maneiras. Se uma página da web criada por invasores contendo o payload JavaScript for analisada pelo FortiProxy SSL VPN, a execução remota de código é possível, além do DoS.

Visto que as vulnerabilidades tornadas públicas em janeiro de 2021 tornam o SQL Injection, RCE e DoS possíveis de várias maneiras.

Vulnerabilidades no FortiWeb Web Application Firewall foram descobertas e relatadas pelo pesquisador Andrey Medov da Positive Technologies.

"As mais perigosas dessas quatro vulnerabilidades são SQL Injection (CVE-2020-29015) e Buffer Overflow (CVE-2020-29016), pois sua exploração não requer autorização."

"O primeiro permite que você obtenha o hash da conta do administrador do sistema devido a privilégios excessivos do usuário DBMS, o que lhe dá acesso à API sem descriptografar o valor do hash."

“O segundo permite a execução de código arbitrário. Além disso, a vulnerabilidade da string de formato (CVE-2020-29018) também pode permitir a execução de código, mas sua exploração requer autorização”, disse Medov em um post de blog.

Além disso, Meh Chang e Orange Tsai da equipe de pesquisa de segurança DEVCORE foram creditados por relatar com responsabilidade as falhas no FortiProxy SSL VPN. A vulnerabilidade do FortiDeceptor RCE foi relatada por Chua Wei Kiat.

POR QUE O ERRO HUMANO É A AMEAÇA Nº 1 PARA OS NEGÓCIOS DE UMA EMPRESA EM 2021?

Phishing e Malware

Entre as principais ameaças cibernéticas, o malware continua sendo um perigo significativo. O surto WannaCry de 2017, que custou às empresas em todo o mundo até US $ 4 bilhões, ainda está na memória recente, e outras novas cepas de malware são descobertas diariamente.

O phishing também ressurgiu nos últimos anos, com muitos novos golpes sendo inventados para tirar vantagem de empresas desavisadas. Apenas uma variação do golpe CEO Fraud, custou às empresas do Reino Unido £ 14,8 milhões em 2018.

Trabalho em Home Office

A equipe que trabalha em casa está fora da supervisão direta das equipes de suporte de TI e muitas vezes se esforça para lidar com ameaças cibernéticas e proteger adequadamente as informações da empresa.

Deixar de atualizar softwares e sistemas operacionais, enviar dados por redes inseguras e aumentar a dependência de e-mail e mensagens online tornou os funcionários muito mais suscetíveis a ameaças que vão de malware a phishing.

Erro Humano

Embora as soluções técnicas como filtros de spam e sistemas de gerenciamento de dispositivos móveis sejam importantes para proteger os usuários finais, com o número de ameaças e a variedade de sistemas e comunicações por meio dos quais a equipe executa o trabalho, o único fator de risco unificador que deve ser abordado para melhorar fundamentalmente , a segurança é o papel do erro humano.

Quase todas as violações cibernéticas bem-sucedidas compartilham uma variável em comum: erro humano. O erro humano pode se manifestar de várias maneiras: desde falha ao instalar atualizações de segurança de software, senhas fracas e fornecimento de informações confidenciais a e-mails de phishing.

Como o erro humano leva a violações de dados?

Mesmo com modernos softwares de anti-malware e detecção de ameaças ficando mais sofisticado, os cibercriminosos sabem que a eficácia das medidas técnicas de segurança só vai até o ponto em que os humanos as utilizem de maneira adequada.

Se um cibercriminoso consegue adivinhar a senha de um portal de uma empresa ou usa engenharia social para fazer um funcionário realizar um pagamento em uma conta bancária controlada pelo atacante, não há nada que as soluções técnicas possam fazer para impedir essa invasão.

A IBM conduziu um estudo sobre as violações cibernéticas que ocorreram entre milhares de seus clientes em mais de 130 países. Este estudo foi a investigação mais abrangente sobre as causas das violações cibernéticas realizadas até então, mas estudos semelhantes corroboraram seus resultados.

O erro humano foi a principal causa que contribuiu para 95% de todas as violações. ' - Relatório do IBM Cyber Security Intelligence Index.

Uma das principais descobertas do estudo da IBM foi que o erro humano foi a principal causa contribuinte em 95% de todas as violações. Em outras palavras, se o erro humano não tivesse sido um fator, as chances são de que 19 das 20 violações analisadas no estudo não teriam acontecido.

É de suma importância investir em treinamentos de conscientização, contínuo, em segurança da informação contemplando todos os colaboradores e a alta gestão da empresa para mitigar o risco do erro humano se materializar.

--------------

Quer aprender mais sobre segurança da informação? Recomendamos o treinamento Segurança em Redes de Computadores, ministrado pelo professor Marcos Cavinato abordando conceitos teóricos e aplicando em estudos de caso práticos. Abaixo, assista a um vídeo de demonstração do treinamento:

>>> SAIBA MAIS <<<

FALHAS CRÍTICAS EM EQUIPAMENTOS CISCO VPN ROUTERS SMALL BUSINESS

 A Cisco lançou correções para várias vulnerabilidades críticas na interface de gerenciamento baseada na web de roteadores de pequenas empresas que podem permitir que um invasor remoto, não autenticado, execute um código arbitrário como o usuário root em um dispositivo afetado.

As falhas - notificadas pela CVE-2021-1289 até CVE-2021-1295 (pontuação CVSS 9,8) - impactam os roteadores VPN RV160, RV160W, RV260, RV260P e RV260W executando uma versão de firmware anterior à versão 1.0.01.02.

Junto com as três vulnerabilidades mencionadas acima, patches também foram lançados para mais duas falhas de gravação de arquivo arbitrário (CVE-2021-1296 e CVE-2021-1297) afetando o mesmo conjunto de roteadores VPN que poderiam ter possibilitado a um adversário sobrescrever arquivos arbitrários no sistema vulnerável.

Todos os nove problemas de segurança foram relatados ao fabricante do equipamento de rede pelo pesquisador de segurança Takeshi Shiomitsu, que já havia descoberto falhas críticas semelhantes nos roteadores RV110W, RV130W e RV215W que poderiam ser aproveitados para ataques de execução remota de código (RCE).

Embora as especificações exatas das vulnerabilidades ainda não sejam claras, a Cisco disse que as falhas:

• CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294 e CVE-2021-1295 são resultados de validação inadequada de HTTP , permitindo que um invasor crie uma solicitação HTTP especialmente criada para a interface de gerenciamento baseada na web e alcance o RCE.
• CVE-2021-1296 e CVE-2021-1297 são devidos à validação de entrada insuficiente, permitindo que um invasor explore essas falhas usando a interface de gerenciamento baseada na web para fazer upload de um arquivo para um local ao qual eles não deveriam ter acesso.

Separadamente, outro conjunto de cinco falhas (CVE-2021-1314 a CVE-2021-1318) na interface de gerenciamento baseada na web dos roteadores RV016, RV042, RV042G, RV082, RV320 e RV325 para pequenas empresas poderia ter concedido a um invasor a capacidade para injetar comandos arbitrários nos roteadores que são executados com privilégios de root.

Por último, a Cisco também abordou 30 vulnerabilidades adicionais (CVE-2021-1319 até CVE-2021-1348), afetando o mesmo conjunto de produtos, que podem permitir que um invasor remoto autenticado execute código arbitrário e até mesmo cause uma negação de serviço (DoS).

"Para explorar essas vulnerabilidades, um invasor precisa ter credenciais de administrador válidas no dispositivo afetado", disse a Cisco em um comunicado publicado em 3 de fevereiro.

--------------

Quer aprender mais sobre segurança da informação? Recomendamos o treinamento Segurança em Redes de Computadores, ministrado pelo professor Marcos Cavinato abordando conceitos teóricos e aplicando em estudos de caso práticos. Abaixo, assista a um vídeo de demonstração do treinamento:

>>> INSCRIÇÕES <<<