Em seu novo comunicado para o mercado, a consultoria Redbelt Security também compartilhou detalhes sobre o incidente envolvendo a empresa de segurança cibernética CrowdStrike que travou milhões de dispositivos Windows.
A Redbelt Security, consultoria especializada em cibersegurança com mais de 14 anos de experiência, apresenta seu relatório mensal de vulnerabilidades para julho de 2024. Este documento é fruto de uma análise minuciosa e representa uma curadoria essencial das principais ameaças cibernéticas que afetam empresas de todos os portes e setores. O objetivo deste relatório vai além da mera informação: busca conscientizar as organizações sobre os riscos cibernéticos atuais e suas potenciais consequências. Com o aumento da sofisticação dos ataques e o crescente potencial de danos, a Redbelt Security se dedica a fornecer insights valiosos que permitem às empresas fortalecer suas defesas e proteger seus ativos digitais de maneira eficaz. Nesta edição, destacamos vulnerabilidades críticas que requerem atenção imediata, incluindo:
• CrowdStrike explica o incidente que travou milhões de dispositivos Windows – A empresa de segurança cibernética CrowdStrike identificou um problema em seu sistema de validação que causou o travamento de milhões de dispositivos Windows, resultando em uma interrupção generalizada em 19 de julho. O incidente afetou hosts Windows que executavam a versão 7.11 e superiores do sensor, que estavam online entre 19 de julho de 2024, 04:09 UTC e 05:27 UTC, e receberam a atualização. Os sistemas Apple macOS e Linux não foram impactados. A CrowdStrike informou que fornece atualizações de configuração de conteúdo de segurança de duas maneiras: uma por meio do Sensor Content, que é integrado ao Falcon Sensor, e outra pelo Rapid Response Content, que permite identificar novas ameaças utilizando diversas técnicas de correspondência de padrões comportamentais. Segundo a empresa, a falha foi causada por uma atualização de conteúdo de resposta rápida contendo um erro não detectado anteriormente. Em resposta às interrupções significativas causadas pelo incidente e visando evitar novas ocorrências, a empresa, sediada no Texas, afirmou que melhorou seus processos de teste e aprimorou seu mecanismo de tratamento de erros no Content Interpreter. Além disso, está planejando implementar uma estratégia de implantação escalonada para o conteúdo de resposta rápida.
• Pesquisadores revelam vulnerabilidade ConfusedFunction na plataforma do Google Cloud – Pesquisadores de segurança cibernética divulgaram uma vulnerabilidade de escalonamento de privilégios que afeta o serviço Cloud Functions do Google Cloud Platform. Um invasor pode explorar essa falha para acessar outros serviços e dados confidenciais de maneira não autorizada. A Tenable nomeou a vulnerabilidade como ConfusedFunction. Após a divulgação responsável, o Google atualizou o comportamento padrão para que o Cloud Build use a conta de serviço padrão do Compute Engine, evitando o uso indevido. No entanto, é importante observar que essas alterações não se aplicam a instâncias já existentes.
• Falha crítica no mecanismo do Docker permite que invasores burlem os plug-ins de autorização – O Docker está alertando sobre uma falha crítica que afeta certas versões do Docker Engine. Essa falha pode permitir que um invasor evite plug-ins de autorização (AuthZ) em circunstâncias específicas. Rastreada como CVE-2024-41110, a vulnerabilidade tem uma pontuação CVSS de 10,0, indicando gravidade máxima. O problema, uma regressão de uma falha originalmente descoberta em 2018 e resolvida no Docker Engine v18.09.1 em janeiro de 2019, nunca foi transferido para versões subsequentes (19.03 e posteriores). Foi resolvido nas versões 23.0.14 e 27.1.0 a partir de 23 de julho de 2024, após ser identificado em abril de 2024. Embora o Docker não mencione que a CVE-2024-41110 esteja sendo explorada, é essencial que os usuários atualizem para a versão mais recente para mitigar possíveis ameaças.
• Cisco alerta sobre falha crítica que afeta o Smart Software Manager local – A Cisco lançou patches para resolver uma falha de segurança de gravidade máxima que afeta o Smart Software Manager On-Prem (Cisco SSM On-Prem). A falha permite que um invasor remoto e não autenticado altere a senha de qualquer usuário, incluindo usuários administrativos. A vulnerabilidade, rastreada como CVE-2024-20419, possui uma pontuação CVSS de 10,0. Afeta as versões 8-202206 e anteriores do Cisco SSM On-Prem e foi corrigida na versão 8-202212. A versão 9 não é suscetível à falha. A Cisco afirmou que não há soluções alternativas e que não está ciente de nenhuma exploração maliciosa. O pesquisador de segurança Mohammed Adel foi creditado por descobrir e relatar o bug.
• Vazamento de token do GitHub expõe repositórios do Python a possíveis ataques – Pesquisadores de segurança cibernética descobriram um token do GitHub vazado acidentalmente, que poderia ter concedido acesso elevado aos repositórios GitHub da linguagem Python, Python Package Index (PyPI) e Python Software Foundation (PSF). A JFrog, que encontrou o GitHub Personal Access Token, informou que o segredo vazou em um contêiner público do Docker hospedado no Docker Hub. Um invasor poderia ter usado o acesso de administrador para orquestrar um ataque à cadeia de suprimentos, envenenando o código-fonte da linguagem Python ou do gerenciador de pacotes PyPI. O token de autenticação foi encontrado dentro de um contêiner do Docker, em um arquivo Python compilado (“build.cpython-311.pyc”) que não foi limpo. Após a divulgação em 28 de junho de 2024, o token – emitido para a conta do GitHub vinculada ao administrador do PyPI Ee Durbin – foi imediatamente revogado. Não há evidências de que o segredo tenha sido explorado.
A prevenção e a proatividade são fundamentais no cenário atual de cibersegurança. Com a crescente sofisticação e frequência dos ataques, é determinante que as empresas adotem uma abordagem robusta e contínua para proteger seus sistemas e dados. A identificação e a mitigação de vulnerabilidades, como as descritas no relatório, são passos fundamentais para evitar danos severos e preservar a integridade das operações. Implementar práticas de segurança cibernética rigorosas, realizar atualizações regulares e educar as equipes sobre os riscos potenciais são medidas essenciais para minimizar a exposição a ameaças. À medida que os ataques cibernéticos evoluem, a capacidade de resposta rápida e a adaptação a novas ameaças se tornam diferenciais indispensáveis para a resiliência organizacional.
Sobre a Redbelt Security
Fundada em 2009, a Redbelt Security é uma consultoria especializada em Segurança da Informação. A marca atua com Serviços Gerenciados de Segurança (MSS), Security Operations Center (SOC), Offensive Security, Threat Intelligence, Governança, Riscos & Compliance (GRC), e suporte especializado no gerenciamento de ambientes de TI e ações preventivas contra novas ameaças, contando com uma equipe altamente especializada e certificada. Para mais informações, acesse: https://www.redbelt.com.br/
