A Redbelt Security, consultoria especializada em cibersegurança com mais de 14 anos de experiência, apresenta seu relatório mensal de vulnerabilidades para julho de 2024. Este documento é fruto de uma análise minuciosa e representa uma curadoria essencial das principais ameaças cibernéticas que afetam empresas de todos os portes e setores.
O objetivo deste relatório vai além da mera informação: busca conscientizar as organizações sobre os riscos cibernéticos atuais e suas potenciais consequências. Com o aumento da sofisticação dos ataques e o crescente potencial de danos, a Redbelt Security se dedica a fornecer insights valiosos que permitem às empresas fortalecer suas defesas e proteger seus ativos digitais de maneira eficaz.
CrowdStrike explica Apagão Cibernético
A empresa de segurança cibernética CrowdStrike identificou um problema em seu sistema de validação que causou o travamento de milhões de dispositivos Windows, resultando em uma interrupção generalizada em 19 de julho. O incidente afetou hosts Windows que executavam a versão 7.11 e superiores do sensor, que estavam online entre 19 de julho de 2024, 04:09 UTC e 05:27 UTC, e receberam a atualização.
Os sistemas Apple macOS e Linux não foram impactados. A CrowdStrike informou que fornece atualizações de configuração de conteúdo de segurança de duas maneiras: uma por meio do Sensor Content, que é integrado ao Falcon Sensor, e outra pelo Rapid Response Content, que permite identificar novas ameaças utilizando diversas técnicas de correspondência de padrões comportamentais. Segundo a empresa, a falha foi causada por uma atualização de conteúdo de resposta rápida contendo um erro não detectado anteriormente.
Em resposta às interrupções significativas causadas pelo incidente e visando evitar novas ocorrências, a empresa, sediada no Texas, afirmou que melhorou seus processos de teste e aprimorou seu mecanismo de tratamento de erros no Content Interpreter. Além disso, está planejando implementar uma estratégia de implantação escalonada para o conteúdo de resposta rápida.
Vulnerabilidade ConfusedFunction no Google Cloud
Pesquisadores de segurança cibernética divulgaram uma vulnerabilidade de escalonamento de privilégios que afeta o serviço Cloud Functions do Google Cloud Platform. Um invasor pode explorar essa falha para acessar outros serviços e dados confidenciais de maneira não autorizada.
A Tenable nomeou a vulnerabilidade como ConfusedFunction. Após a divulgação responsável, o Google atualizou o comportamento padrão para que o Cloud Build use a conta de serviço padrão do Compute Engine, evitando o uso indevido. No entanto, é importante observar que essas alterações não se aplicam a instâncias já existentes.
Falha crítica no Docker
O Docker está alertando sobre uma falha crítica que afeta certas versões do Docker Engine. Essa falha pode permitir que um invasor evite plug-ins de autorização (AuthZ) em circunstâncias específicas. Rastreada como CVE-2024-41110, a vulnerabilidade tem uma pontuação CVSS de 10,0, indicando gravidade máxima.
O problema, uma regressão de uma falha originalmente descoberta em 2018 e resolvida no Docker Engine v18.09.1 em janeiro de 2019, nunca foi transferido para versões subsequentes (19.03 e posteriores). Foi resolvido nas versões 23.0.14 e 27.1.0 a partir de 23 de julho de 2024, após ser identificado em abril de 2024. Embora o Docker não mencione que a CVE-2024-41110 esteja sendo explorada, é essencial que os usuários atualizem para a versão mais recente para mitigar possíveis ameaças.
Cisco alerta sobre falha crítica
A Cisco lançou patches para resolver uma falha de segurança de gravidade máxima que afeta o Smart Software Manager On-Prem (Cisco SSM On-Prem). A falha permite que um invasor remoto e não autenticado altere a senha de qualquer usuário, incluindo usuários administrativos.
A vulnerabilidade, rastreada como CVE-2024-20419, possui uma pontuação CVSS de 10,0. Afeta as versões 8-202206 e anteriores do Cisco SSM On-Prem e foi corrigida na versão 8-202212. A versão 9 não é suscetível à falha. A Cisco afirmou que não há soluções alternativas e que não está ciente de nenhuma exploração maliciosa. O pesquisador de segurança Mohammed Adel foi creditado por descobrir e relatar o bug.
Vazamento de token do GitHub
Pesquisadores de segurança cibernética descobriram um token do GitHub vazado acidentalmente, que poderia ter concedido acesso elevado aos repositórios GitHub da linguagem Python, Python Package Index (PyPI) e Python Software Foundation (PSF). A JFrog, que encontrou o GitHub Personal Access Token, informou que o segredo vazou em um contêiner público do Docker hospedado no Docker Hub.
Um invasor poderia ter usado o acesso de administrador para orquestrar um ataque à cadeia de suprimentos, envenenando o código-fonte da linguagem Python ou do gerenciador de pacotes PyPI. O token de autenticação foi encontrado em um contêiner do Docker, em um arquivo Python compilado (“build.cpython-311.pyc”) que não foi limpo. Após a divulgação em 28 de junho de 2024, o token – emitido para a conta do GitHub vinculada ao administrador do PyPI Ee Durbin – foi imediatamente revogado. Não há evidências de que o segredo tenha sido explorado.
A prevenção e a proatividade são fundamentais no cenário atual de cibersegurança. Com a crescente sofisticação e frequência dos ataques, é determinante que as empresas adotem uma abordagem robusta e contínua para proteger seus sistemas e dados.
A identificação e a mitigação de vulnerabilidades, como as descritas no relatório, são passos fundamentais para evitar danos severos e preservar a integridade das operações. Implementar práticas de segurança cibernética rigorosas, realizar atualizações regulares e educar as equipes sobre os riscos potenciais são medidas essenciais para minimizar a exposição a ameaças.
À medida que os ataques cibernéticos evoluem, a capacidade de resposta rápida e a adaptação a novas ameaças se tornam diferenciais indispensáveis para a resiliência organizacional.