FBI alerta sobre falha crítica em software usado por grandes empresas

O FBI, a Agência de Cibersegurança e Infraestrutura (CISA, na sigla em inglês) e o Comando Cibernético da Guarda da Costa Americana (CGCYBER) alertaram que, desde agosto, grupos criminosos estão usando uma falha encontrada em um software de gerenciamento de senhas para aplicar as chamadas Ameaças Persistentes Avançadas (APTs) — ciberataques prolongados que usam técnicas de invasão contínuas e sofisticadas para obter acesso a um sistema e permanecer dentro dele por um período.

• Sequestros digitais aumentam em feriados e fins de semana, alerta FBI
• Conhecimento público geral sobre ciberataques ainda é baixo, confirma pesquisa
• Biden assina ordem executiva para combater ataques virtuais nos EUA

O software explorado pelos bandidos é o Zoho ManageEngine ADSelfService, usado por várias empresas de grande porte, como a Apple, Intel, Nike, PayPal e HBO. Ele permite que usuários estejam conectados em contas de vários serviços a partir de apenas uma credencial.

A vulnerabilidade encontrada no programa, documentada como CVE-2021-40539, permite que invasores possam assumir o controle do sistema, executar códigos maliciosos e implementar web shells nele, comprometendo a segurança total dos dados de empresas que usam o software.

Web Shells são interfaces de controle remoto que costumam ser usadas por invasores para implementar códigos maliciosos em sistemas, permitindo que eles observem e alterem configurações e dados das máquinas afetadas.

Segundo o comunicado conjunto das três agências, essa vulnerabilidade pode colocar em risco várias instituições acadêmicas e companhias de infraestrutura nos EUA que fazem uso do programa.

Ainda no alerta conjunto emitido pelas agências estadunidenses, a vulnerabilidade já foi explorada em alguns ataques. Nessas invasões, os criminosos implantaram web shells feitas em JavaServer Pages (JSP), conjunto de tecnologias usadas para criar páginas web dinâmicas, camufladas como certificados x509. A partir da brecha, os invasores se movem pela máquina por meio do software de gerenciamento empresarial Windows Management Instrumentation, realizando cópias de arquivos críticos de segurança e de bancos de dados.

Como prevenir

Até agora, os grupos responsáveis pelos ataques tiveram como alvo setores de transporte, Tecnologia da Informação, indústria, comunicação, logística, infraestrutura, instituições acadêmicas e serviços de segurança. APT é o tipo de crime virtual cometido principalmente para espionagem industrial, com agentes maliciosos sendo implantado em sistemas para realizar cópia de documentos e arquivos sensíveis de empresas.

A Zoho, em 6 de setembro, lançou uma atualização para o Zoho ManageEngine ADSelfService que corrige a falha. Em um alerta de segurança emitido junto com o update, a empresa diz que não há provas que a vulnerabilidade foi usada.

O FBI, a CISA e o CGCYBER estão pedindo para que os usuários apliquem imediatamente a atualização; e que se certifiquem que o programa não está sendo acessado diretamente pela internet, além de que mudem as senhas se qualquer indicação de invasão for detectada.

Fonte: Bleeping Computer, ThreatPost