Departamento de Defesa dos EUA divulga detalhes sobre problemas críticos e de alta gravidade

O Departamento de Defesa dos Estados Unidos divulgou detalhes de quatro vulnerabilidades em sua infraestrutura, dois problemas de classificação de alta gravidade e outras duas falhas críticas.

As vulnerabilidades podem ser exploradas por atores de ameaças para sequestrar um subdomínio, executar código arbitrário remotamente ou visualizar arquivos no sistema vulnerável.

As vulnerabilidades foram relatadas em agosto e julho por meio do programa de recompensa por bug do Departamento operado via HackerOne.

Um dos problemas críticos é uma  aquisição de subdomínio  devido a um bucket do Amazon S3 não reivindicado.

O hacker ético  chron0x  que relatou a falha descobriu que o subdomínio fazia referência a um bucket do Amazon S3 na região leste dos EUA que não existe mais. Os hackers reivindicaram este intervalo e assumiram o subdomínio com sucesso.

“Isso é extremamente vulnerável a ataques, pois um usuário mal-intencionado pode criar qualquer página da web com qualquer conteúdo e hospedá-la no domínio implantado medicine.com.” lê o comunicado. “Isso permitiria que postassem conteúdo malicioso que seria confundido com um site válido. Eles poderiam:

• XSS
• Phishing
• Ignorar a segurança do domínio
• Roube dados confidenciais do usuário, cookies, etc. ”

Um invasor pode explorar o problema para direcionar os visitantes do site com ataques de phishing e script entre sites. 

A segunda falha crítica é a  execução remota de código  em um servidor DoD executando Apache Solr que não foi corrigido desde agosto de 2019.

A vulnerabilidade foi relatada pelo hacker ético Hzllaga  em 19 de agosto.

O especialista descobriu que o servidor era vulnerável a CVE-2019-0192 e CVE-2019-0193, ele explorou com sucesso o CVE-2019-0193 e executou remotamente código arbitrário.

Um dos problemas de alta gravidade divulgados pelo Departamento é uma passagem de caminho somente leitura sem patch em um produto Cisco usado pela agência. O problema pode ser explorado para acessar arquivos confidenciais arbitrários no sistema.

O segundo problema de alta gravidade é uma  injeção de código  em um host DoD que pode levar à execução arbitrária de código. A falha foi relatada por e3xpl0it da Positive Technologies.

O DoD rapidamente abordou todas as vulnerabilidades.

Desde que o DoD lançou um programa de recompensa por bug no HackerOne em novembro de 2016, ele abordou um total de 9555 problemas de segurança.

Fonte: https://securityaffairs.co/wordpress/107905/hacking/u-s-department-of-defense-flaws.html