Gerenciador de senhas corporativas tinha falha explorada em campanha de ataques
Por Felipe Demartini • Editado por Jones Oliveira |
Uma brecha no gerenciador corporativo de senhas Zoho levou a uma campanha de ataque em larga escala contra organizações e, agora, a um alerta conjunto entre o FBI e o Comando Cibernético da Guarda Costeira americana (GGCYBER, na sigla em inglês). O bug permitiria a instalação remota de malwares, que teriam atingido pelo menos nove organizações ligadas à administração pública.
- EUA oferecem US$ 10 milhões por informações do grupo de ransomware DarkSide
- Campanha de ransomware usa imagem violenta para chocar vítimas
- Criptografia pós-quântica? EUA investem em segurança de dados mais eficaz
No total, a campanha de ataques em larga escala atingiu 370 servidores gerenciados pelos sistemas da Zoho apenas nos Estados Unidos. A partir da abertura CVE-2021-40539, já corrigida, um atacante seria capaz de entregar o webshell Godzilla, que permite o acesso à rede e a instalação de novas pragas, que podem variar entre operações de roubo de credenciais até a coleta de arquivos confidenciais que estejam disponíveis na infraestrutura.
O alerta conjunto entre as agências do governo dos EUA também é assinado pela Unit 42, divisão de segurança digital da Palo Alto Networks, responsável pela descoberta da abertura. De acordo com os especialistas, a campanha de ataques foi iniciada no dia 22 de setembro, com cinco dias de reconhecimento em busca de servidores não atualizados, com o lançamento dos ataques na sequência.
O comportamento, segundo os pesquisadores, indica a realização de ataques não direcionados a setores ou entidades específicas, o que também dificulta a confirmação do escopo global da ameaça, que pode ainda estar em andamento. Por outro lado, o teor das organizações comprometidas demonstra a gravidade da campanha, com corporações de saúde, energia, tecnologia, educação e defesa, a maior parte com contatos ou acordos assinados com o governo dos Estados Unidos.
Como sempre, em casos assim, chama a atenção o fato de estarmos falando de uma abertura com atualização disponível, mas que segue como um perigo devido à falta de aplicação dos updates. A solução da Zoho concentra plataformas de login único e gerenciamento de senha, representando um pote de ouro para os atacantes e, também, explicando a aplicação de golpes em grande escala, antes que alertas como o emitido pela Unit 42 leve os usuários a aplicarem os patches de correção.
No anúncio conjunto, o FBI afirma ter 56 escritórios trabalhando em operações de reconhecimento, alerta e apoio aa vítimas de incidentes, enquanto a Guarda Costeira trabalha ao lado de corporações do setor marítimo. A Agência de Cibersegurança em Infraestrutura (CISA, na sigla em inglês) também está envolvida, contatando empresas vulneráveis e auxiliando na mitigação de aberturas e aplicação de melhores práticas de segurança digital. O governo dos EUA também publicou indicadores de comprometimento, que podem ser encontrados no alerta conjunto.
Aos já atingidos, a recomendação é de contato imediato com as autoridades, tanto em busca de orientação sobre o que fazer quanto de forma a ajudar nas investigações. O alerta fala brevemente sobre grupos ligados a estados-nação, mas não entra em detalhes sobre isso, enquanto os inquéritos sobre a campanha de ataques seguem em andamento.
Fonte: CISA