NHS Digital alerta sobre exploração de vulnerabilidades do Arcserve UDP

O NHS do Reino Unido alerta para a possibilidade de vulnerabilidades no software Arcserve Unified Data Protection (UDP) estarem sendo exploradas ativamente.

Divulgadas originalmente em março, todas as três vulnerabilidades tinham código de exploração de prova de conceito (PoC) lançado um dia após a divulgação pela Tenable, que relatou os bugs à Arcserve. Nesses casos, geralmente não demora muito para que os invasores tentem abusar deles.

O NHS não ofereceu quaisquer detalhes dos dados que indicou que indiquem uma possível exploração, mas “encorajou fortemente” as organizações a aplicar os patches conforme estabelecido no comunicado da Arcserve . 

O NHS publicou seu alerta atualizado em 9 de maio, mas também disse que possíveis tentativas de exploração do Arcserve UDP ocorreram logo após a publicação do código de prova de conceito. Não está claro exatamente quando esses possíveis ataques começaram.

O Register perguntou à Arcserve se ela estava ciente das tentativas de exploração e se os clientes haviam sido alertados, mas não respondeu imediatamente.

O Arcserve UDP é uma solução de proteção de dados e recuperação de desastres amplamente utilizada, e na época houve muito alarido sobre as vulnerabilidades de março.

• CVE-2024-0799 (CWE-287) (9.8 CVSSv3) – uma vulnerabilidade de desvio de autenticação que permitiu que invasores executassem ações privilegiadas dentro do software
• CVE-2024-0800 (CWE-434) (8.8 CVSSv3) – um bug de passagem de caminho que permite que invasores carreguem arquivos maliciosos com privilégios de SYSTEM
• CVE-2024-0801 ( NVD ainda avaliando gravidade) – uma vulnerabilidade de negação de serviço ainda em avaliação

A Tenable avalia a ameaça apresentada por todos os três como “crítica”, de acordo com seu artigo PoC, enquanto o NHS a considera de gravidade “média”. 

O Centro de Cibersegurança da Bélgica (CCB) apoia mais a atitude da Tenable. Em letras grandes e coloridas, em letras maiúsculas, no topo de seu próprio comunicado , o CCB diz: “AVISO: TRÊS VULNERABILIDADES NO SOFTWARE ARCSERVE UDP EXIGEM AÇÃO URGENTE, REPARE IMEDIATAMENTE!”

Ele disse que, se exploradas com sucesso, as vulnerabilidades poderiam levar a crimes subsequentes, como roubo de dados, ataques de ransomware e backups sabotados – talvez tudo de uma só vez.

“O CCB recomenda que as organizações aprimorem os recursos de monitoramento e detecção para identificar qualquer atividade suspeita relacionada, garantindo uma resposta rápida em caso de intrusão”, acrescentou.

“Embora corrigir dispositivos ou software para a versão mais recente possa fornecer segurança contra exploração futura, isso não corrige o comprometimento histórico”. ®