Duas brechas graves em acessos remotos levam a ataques em massa contra empresas

Duas brechas de segurança, ambas de alta criticidade, estão sendo utilizadas em ataques em massa contra plataformas de acesso remoto e controle de acesso a aplicações web. As soluções são da VMware, que vem sendo foco de constantes ameaças cibercriminosas; e da F5, mais especificamente, o pacote Big-IP, que trabalha no gerenciamento de tráfego em infraestruturas.

• 1/3 das empresas brasileiras acredita que digitalização melhorou segurança
• Agência dos EUA alerta sobre riscos de segurança em updates do Windows de maio

Os golpes não parecem coordenados, mas sim, obras de diferentes quadrilhas, incluindo algumas apoiadas por estados-nação de olho em operações de espionagem. Em ambos os casos, há intuito malicioso, principalmente, no que toca a abertura de portas de entrada para explorações posteriores, seja visando o roubo de dados ou a instalação de malware a partir da execução remota de códigos ou da obtenção de privilégios avançados nos servidores.

O primeiro caso é, inclusive, de uma vulnerabilidade já solucionada, mas cujo update foi revertido pelos atacantes. Trata-se da CVE-2022022954, atualizada no início de abril pela VMware para não mais permitir a execução de códigos remotamente; a paz durou pouco tempo já que, em comunicado publicado nesta semana pela Agência de Cibersegurança e Infraestrutura do governo dos EUA (CISA, na sigla em inglês), ela já está sendo explorada maliciosamente de novo.

A busca, de acordo com as autoridades, é por permanência nos servidores infectados por grupos sofisticados e que parecem estar sendo financiados por governos rivais. De acordo com a CISA, pelo menos três organizações dos Estados Unidos teriam sido vítimas de atraques que resultaram na instalação de malwares ladrões de dados, de olho em atividades de espionagem e furto de informações.

Casos que resultaram na implantação de outras pragas, como ransomware, mineradores de criptomoedas e botnets, também foram relatados pelo pesquisador independente Troy Mursch. Ele disse ter configurado um honeypot, servidor intencionalmente vulnerável para análise de atividades criminosas, para verificar como a brecha estava sendo usada, o que também indicou um comportamento pouco direcionado dos bandidos, que tentam aproveitar o que podem antes da liberação de uma nova atualização pela Vmware.

Para piorar as coisas, tais explorações também foram encontradas em sistemas utilizando as mais recentes atualizações publicadas pela VMware, que também resolvem duas outras falhas corrigidas nesta semana. A ideia da CISA é de que as aberturas, CVE-2022 22972 e CVE-2022-22973, ambas de alta criticidade, também tenham sido revertidas pelos bandidos e recomenda cautela às empresas americanas e mundiais.

Empresas seguem em risco mesmo após atualizações

Também está sendo explorada de forma massiva a a CVE-2022-1388, encontrada no pacote Big-IP da fornecedora de software F5. O sistema de gerenciamento de tráfego em aplicações teve correção liberada na última semana, mas segue sendo foco da execução remota de códigos por criminosos capazes de usar explorações para obter acesso privilegiado às infraestruturas corporativas.

De acordo com a empresa de segurança Greynoise, milhares de solicitações feitas a partir de serviços de anonimização de conexões, supostamente sob o controle dos criminosos, estão sendo detectadas contra organizações que usam o serviço. As conexões maliciosas apareceram apenas dias depois da liberação do update e, também, das características técnicas da brecha, que levam a uma corrida contra o tempo para estabelecimento de persistência enquanto administradores de rede demoram para aplicar os updates.

Como normalmente acontece, o resultado da exploração bem-sucedida é a instalação de portas de entrada que, mais tarde, podem servir para a implantação de malwares ou mineradores de criptomoedas. Os criminosos também estariam executando ataques de negação de serviço, com foco na retirada das plataformas do ar e impedir o processo de atualização.

A atenção deve ser redobrada, principalmente, pelas empresa de infraestrutura e cadeia de suprimentos. A CISA e as empresas de segurança recomendam a aplicação urgente das atualizações e o reforço de sistemas de monitoria e controle de acesso, de forma a identificar intrusões e comportamentos fora do comum.

Fonte: CISA, Ars Technica