Vulnerabilidades em sistema de USB para nuvem atingem milhões de usuários

Um total de 27 falhas nos sistemas da fornecedora de software Eltima colocou milhões de usuários de sistemas de cloud computing em risco, incluindo as redes de empresas como a Amazon. A exploração estava em uma tecnologia usada para ligar dispositivos vinculados localmente, como drives de armazenamento e webcams, a desktops remotos conectados à internet. Seu uso malicioso permitiria a execução de códigos à distância.

• Novo sistema de proteção "superseguro" usa criptografia em computação quântica
• Microsoft usa parcerias e programas bug bounty como chave para maior segurança

Detalhado pela empresa especializada em segurança SentinelOne, o problema aparecia em um SDK (kit de desenvolvimento de software) de conexão da Eltima, com dois drivers vulneráveis. A partir deles, seria possível trabalhar com a sobrecarga de buffer e executar códigos maliciosos fora dos limites da memória, resultando em ataques que permitiam a escalação de privilégios de usuários, a instalação de malware, desativação de protocolos de segurança e a manipulação de componentes do sistema; assim como corromper uma máquina remota completamente.

O temor, como sempre, é quanto a ataques de ransomware e o roubo de credenciais que possam ser obtidas a partir da escalação destes privilégios. A SentinelOne ressalta ainda que sistemas como os da Eltima foram bastante usados na transição de funcionários presenciais para o home office, na pandemia; e, agora, com os regimes híbridos. Isso leva a um total de afetados difícil de estimar, mas que chega facilmente a milhões de pessoas.

Recomendação para mitigar vulnerabilidade é atualização imediata

Ainda segundo os especialistas, a amplitude da falha tem a ver com o fato de ela ser “herdada” dos sistemas da fornecedora de software para os de outras companhias. Além da Amazon, fazem parte da lista de plataformas afetadas a Accops, Amzetta e FlexiHub — e a própria Eltima. Todas já liberaram atualizações para as vulnerabilidades, descobertas originalmente no final do primeiro semestre deste ano, e recomendam que seus clientes e usuários realizem o update de forma imediata.

Os especialistas apontam ainda que os administradores de qualquer tipo de plataforma que utilize os serviços da Eltima devem observar se seus sistemas possuem o SDK comprometido. Uma lista de indicadores de comprometimento (CVEs, Common Vulnerabilities and Exposures) ligados às 27 falhas encontradas e recomendações de proteção e mitigação também foi divulgada pela SentinelOne, para facilitar no processo de atualização e defesa das plataformas de nuvem.

Por outro lado, não existem indícios de utilização maliciosa das vulnerabilidades, mas tudo deve mudar agora que o relatório foi divulgado e os atacantes passam a procurar por sistemas ainda não atualizados — na maioria dos casos, essa instalação é mandatória e automática. Daí a necessidade de aplicação urgente de patches e monitoramento das redes em busca de comportamento suspeito.

Fonte: SentinelOne