TREND MICRO LANÇA RELATÓRIO DE AMEAÇAS A SISTEMAS LINUX

 

Quase 14 milhões de sistemas baseados em Linux estão diretamente expostos à Internet, tornando-os um alvo lucrativo para uma série de ataques do mundo real que podem resultar na implantação de web shell maliciosos, mineradores de bitcoins, ransomware e outros cavalos de Tróia.

De acordo com uma análise aprofundada do cenário de ameaças do Linux, publicado pela empresa de segurança cibernética Trend Micro, detalhando as principais ameaças e vulnerabilidades que afetam o sistema operacional na primeira metade de 2021, com base em dados acumulados de honeypots, sensores e telemetria anônima.

A empresa, que detectou quase 15 milhões de eventos de malware voltados para ambientes de nuvem baseados em Linux, a pesquisa também revelou que os mineradores de bitcoins e ransomware representam 54% de todos os malwares, web shell representam uma participação de 29%.

Além disso, ao dissecar mais de 50 milhões de eventos relatados de 100.000 hosts Linux exclusivos durante o mesmo período, os pesquisadores descobriram 15 falhas de segurança diferentes que são conhecidas por serem ativamente exploradas e possuindo PoCs (Proof of Concept). 

• CVE-2017-5638 (CVSS score: 10.0) - Apache Struts 2 remote code execution (RCE) vulnerability
• CVE-2017-9805 (CVSS score: 8.1) - Apache Struts 2 REST plugin XStream RCE vulnerability
• CVE-2018-7600 (CVSS score: 9.8) - Drupal Core RCE vulnerability
• CVE-2020-14750 (CVSS score: 9.8) - Oracle WebLogic Server RCE vulnerability
• CVE-2020-25213 (CVSS score: 10.0) - WordPress File Manager (wp-file-manager) plugin RCE vulnerability
• CVE-2020-17496 (CVSS score: 9.8) - vBulletin 'subwidgetConfig' unauthenticated RCE vulnerability
• CVE-2020-11651 (CVSS score: 9.8) - SaltStack Salt authorization weakness vulnerability
• CVE-2017-12611 (CVSS score: 9.8) - Apache Struts OGNL expression RCE vulnerability
• CVE-2017-7657 (CVSS score: 9.8) - Eclipse Jetty chunk length parsing integer overflow vulnerability
• CVE-2021-29441 (CVSS score: 9.8) - Alibaba Nacos AuthFilter authentication bypass vulnerability
• CVE-2020-14179 (CVSS score: 5.3) - Atlassian Jira information disclosure vulnerability
• CVE-2013-4547 (CVSS score: 8.0) - Nginx crafted URI string handling access restriction bypass vulnerability
• CVE-2019-0230 (CVSS score: 9.8) - Apache Struts 2 RCE vulnerability
• CVE-2018-11776 (CVSS score: 8.1) - Apache Struts OGNL expression RCE vulnerability
• CVE-2020-7961 (CVSS score: 9.8) - Liferay Portal untrusted deserialization vulnerability

Ainda mais preocupante, foi revelado que as 15 imagens Docker mais comumente usadas no repositório oficial do Docker Hub abrigam centenas de vulnerabilidades abrangendo python, node, wordpress, golang, nginx, postgres, influxdb, httpd, mysql, debian, memcached, redis , mongo, centos e rabbitmq, ressaltando a necessidade de proteger os contêineres de uma ampla gama de ameaças potenciais em cada estágio do pipeline de desenvolvimento.

AGÊNCIA DE CIBERSEGURANÇA DOS EUA (CISA) ALERTA PARA A GRANDE QUANTIDADE DE SERVIDORES MICROSOFT EXCHANGE VULNERÁVEIS

 

A U.S. Cybersecurity and Infrastructure Security Agency (CISA), está alertando sobre tentativas de exploração ativa que aproveitam a linha mais recente de vulnerabilidades "ProxyShell" do Microsoft Exchange corrigidas no início de maio, incluindo a implantação de ransomware LockFile em sistemas comprometidos.

Identificadas como CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207, as vulnerabilidades permitem que os atacantes ignorem os controles ACL e elevem os privilégios no back-end do Exchange PowerShell, permitindo efetivamente que o invasor execute a execução remota de código não autenticado. Enquanto os dois primeiros foram resolvidos pela Microsoft em 13 de abril, um patch para o CVE-2021-31207 foi enviado como parte das atualizações do Patch Tuesday. 

Demonstrado originalmente no concurso de hacking Pwn2Own, em abril deste ano, o ProxyShell faz parte de um trio mais amplo de cadeias de exploração descobertas pelo pesquisador de segurança do DEVCORE Orange Tsai que inclui ProxyLogon e ProxyOracle, o último dos quais diz respeito a duas falhas de execução remota de código que poderiam ser utilizadas para recuperar a senha de um usuário em formato de texto simples.

Agora, de acordo com pesquisadores do Huntress Labs, pelo menos cinco estilos distintos de web shells foram observados como implantados em servidores Microsoft Exchange vulneráveis, com mais de 100 incidentes relatados relacionados à exploração entre 17 e 18 de agosto. para os servidores comprometidos, mas não está claro exatamente quais são os objetivos ou até que ponto todas as falhas foram utilizadas. Mais de 140 web shells foram detectados em nada menos que 1.900 servidores Exchanger não corrigidos até o momento. 

RANSOMWARE PETITPOTAM UTILIZADO PARA ATAQUES EM SERVIDORES WINDOWS DOMAIN CONTROLLERS

Pelo menos um agente de ameaça de ransomware começou a aproveitar o método de ataque de retransmissão PetitPotam NTLM para assumir o controle de servidores Windows, com a função de domain controller, em redes distribuídas ao redoro do mundo. Por trás dos ataques, pode estar envolvido a organização cibercriminosa LockFile o qual vem explorando falhas em servidores Microsoft Exchange com ProyShell.

Ataques LockFile foram registrados principalmente nos EUA e na Ásia, suas vítimas incluindo organizações nos seguintes setores: serviços financeiros, manufatura, engenharia, jurídico, serviços comerciais, viagens e turismo. 

Pesquisadores de segurança da Symantec, uma divisão da Broadcom, disseram que o acesso inicial do atacante à rede é por meio de servidores Microsoft Exchange, mas o método exato permanece desconhecido no momento. Em seguida, o invasor assume o controlador de domínio da organização, aproveitando o novo método PetitPotam, que força a autenticação para uma retransmissão NTLM remota sob o controle de LockFile.

Descoberto pelo pesquisador de segurança Gilles Lionel em julho, o PetitPotam tem algumas variações que a Microsoft sempre tenta bloquear. Neste ponto, as mitigações e atualizações oficiais não bloqueiam completamente o vetor de ataque PetitPotam.

O método de ataque do LockFile parece contar com um código disponível publicamente para explorar a variante PetitPotam original (identificada como CVE-2021-36942).

Depois que os invasores assumem, com êxito, o controlador de domínio, eles têm efetivamente o controle de todo o domínio do Windows e podem executar qualquer comando que desejarem.

A Symantec analisou a cadeia de ataques do LockFile e observou que os atacantes normalmente passam vários dias na rede antes de acionarem o malware de criptografia dos arquivos. Ao comprometer o servidor Exchange da vítima, o invasor executa um comando do PowerShell para baixar um exploit para a máquina local.

No último estágio do ataque, 20 a 30 minutos antes de implantar o ransomware, o ator da ameaça passa a assumir o controlador de domínio instalando no servidor Exchange comprometido o exploit PetitPotam e dois arquivos:

• active_desktop_render.dll
• active_desktop_launcher.exe

Os pesquisadores afirmam que, quando acionada, a DLL tenta carregar e descriptografar um arquivo chamado “desktop.ini” que contém o código malicioso. A Symantec não recuperou o arquivo para análise, mas afirma que uma operação bem-sucedida termina com a execução do shellcode.