As principais vulnerabilidades de segurança de 2022 e suas soluções alternativas
À medida que a tecnologia continua a evoluir, o cenário de ameaças cibernéticas também evolui. Acompanhar as vulnerabilidades de segurança mais recentes é fundamental para as equipes de segurança e tecnologia. Com o ano novo chegando, vamos ver algumas das principais vulnerabilidades de segurança que as organizações devem conhecer a partir de 2022.
Leia e verifique essas vulnerabilidades em seu ambiente antes que elas sejam detectadas por agentes de ameaças (a maioria foi explorada na natureza, portanto, existem exploits) ou por seu provedor de serviços de teste de penetração.
Follina MSDT Bug (CVE-2022-30190)
Essa falha de dia zero foi identificada nos manipuladores de URL integrados do MS (ms-msdt:) que acionariam o processo da Ferramenta de diagnóstico de suporte da Microsoft (MSDT) usado para executar o código no sistema de destino. Ele batizou a vulnerabilidade de ‘Follina’ em homenagem à cidade italiana cujo código de área (0438) correspondia aos números escritos no nome do arquivo de amostra do malware (05-2022-0438.doc). Esse bug pode ser explorado mesmo se as macros forem desativadas completamente.
Gambiarra
Adivinha? Uma correção é remover a entrada do registro que está causando isso. Mole-mole!
Log4Shell/Log4j (CVE-2021-44228)
Essa vulnerabilidade de dezembro de 2021 garantiu um início de 2022 agitado para as equipes de segurança. Uma vulnerabilidade de dia zero afetou as versões do Log4j2 >= 2.0-beta9 e <= 2.15.0, o que permitiu que um invasor executasse código arbitrário em um sistema vulnerável por meio de mensagens de log especialmente criadas. A exploração bem-sucedida (execução remota de código) desse problema resultou em privilégios no nível do sistema.
Gambiarra
Certifique-se de ter atualizado para Log4j 2.3.2 (para Java 6), 2.12.4 (para Java 7) ou 2.17.1 (para Java 8 e posterior).
Spring4Shell/Springshell (CVE-2022-22965)
O Spring4shell afeta os aplicativos de estrutura de primavera que executam versões do JDK 9+ que usam uma funcionalidade de localização de dados, permitindo que um invasor execute a execução remota de código (RCE) não autenticada. Esse problema foi explorado na natureza e ainda pode ser o caso.
Gambiarra
Esta vulnerabilidade foi corrigida na versão 2.6.6. Siga aqui para o anúncio oficial antecipado .
BIG-IP iControl REST RCE (CVE-2022-1388)
A falha CVE-2022-1388 permite execuções remotas de código em sistemas que usam versões afetadas do F5 BIG-IP executando iControl REST API e dá ao invasor controle total sobre esses servidores. A classificação de prioridade de vulnerabilidade para este bug foi classificada como crítica devido à natureza pública deste serviço e à alta taxa de exploração combinada com a natureza do problema (desvio de autenticação).
Gambiarra
Aplique o patch do fornecedor conforme lançado em 4 de maio de 2022.
Uso do Google Chrome depois de gratuito em animação (CVE-2022-0609)
Nas versões afetadas do Google Chrome (anteriores a 98.0.4758.102), um invasor remoto pode explorar o uso depois de gratuito em uma animação por meio de uma página HTML criada. Um usuário depois de livre é um tipo de falha de corrupção de memória em que um programa continua a usar um endereço de memória depois que a memória associada foi liberada (desalocada).
Gambiarra
Quatro dias depois, o Google lançou uma atualização para essa falha.
ProxyNotShell (CVE-2022-41040 e CVE-2022-41082) no Exchange
O primeiro desses dois bugs, CVE-2022-41040, é uma vulnerabilidade SSRF (falsificação de solicitação do lado do servidor). Quando explorado, permite que um usuário autenticado acione remotamente o CVE-2022-41082, que permite o RCE quando o PowerShell está acessível a um ator de ameaça. Ambas as vulnerabilidades fazem parte do fluxo de ataque e requerem uma sessão autenticada (credenciais de usuário de e-mail padrão) para exploração.
Gambiarra
Essa vulnerabilidade foi corrigida nas atualizações de novembro de 2022. Uma configuração de regravação de URL pode ser obtida usando esta ferramenta para servidores MS Exchange locais.
Zimbra RCE (CVE-2022-27925 e CVE-2022-41352)
Os invasores podem explorar essas vulnerabilidades enviando e-mails maliciosos contendo anexos ou links especialmente criados que permitem o acesso a arquivos ou contas de usuário de um sistema vulnerável. O CVE-2022-27925 está relacionado a uma vulnerabilidade RCE no ZCS corrigida em março de 2022. O CVE-2022-41352 está relacionado ao uso inseguro do utilitário cpio em que o cpio está em uso. No caso de um utilitário pax em uso (sobre cpio), o sistema afetado não pode ser explorado porque o amavisd (mecanismo AV do Zimbra) prefere o pax, e o pax não é vulnerável a esse problema.
Gambiarra
Siga os avisos do Zimbra e a página wiki de mitigação para instalar o pax, que é o utilitário preferencial sobre o cpio.
Vulnerabilidade do Atlassian Confluence (CVE-2022-26134)
Como essa falha afetou todas as versões suportadas do servidor de confluência, essa vulnerabilidade foi explorada na natureza, beneficiando a criptomineração e outros malwares. Várias provas de conceitos estavam disponíveis no GitHub para explorar essa vulnerabilidade crítica de Execução Remota de Código de Injeção OGNL não autenticada que afetou o servidor Confluence e o data center.
Gambiarra
Este bug foi corrigido nas versões 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 e 7.18.1 do Confluence. Consulte o comunicado de segurança oficial para obter mais detalhes.
Vulnerabilidade ZyXEL (CVE-2022-30525)
Uma injeção de comando remoto não autenticada foi identificada pelo Rapid7 que afetou os firewalls Zyxel que suportam ZTP (ATP, vpn, USG flex series). Essa falha permitia que um invasor remoto não autenticado obtivesse a execução arbitrária de código como um usuário ninguém no dispositivo afetado.
Gambiarra
A Zyxel lançou uma nova versão de firmware ZLD V5.30 para corrigir esse problema.
Um gerenciamento de patches baseado na abordagem de risco ajuda a proteger as organizações contra possíveis falhas que agentes mal-intencionados procuram explorar rapidamente. Você deve garantir que essas vulnerabilidades sejam identificadas durante seus exercícios internos de teste de penetração e que os planos de remediação de riscos sejam minuciosamente discutidos para deixar uma janela mínima entre a identificação e a correção.
Essas são apenas algumas das muitas vulnerabilidades de segurança que as organizações enfrentaram ao longo de 2022. Ainda assim, elas estão entre as mais graves identificadas neste ano. Patch tudo só existe em conversas fáceis e relatórios de digitalização de apontar e clicar, não em redes reais.
