Ataques Cibernéticos Alvejam Progress Telerik, Cisco, QNAP e Linux: Alerta os Honeypots da Cyble

A Unidade de Inteligência de Vulnerabilidades da Cyble detectou uma onda de ataques cibernéticos direcionados a produtos e sistemas de TI críticos, explorando vulnerabilidades recém-descobertas e não corrigidas, algumas com meses de exposição. O relatório destaca ataques em sistemas como Progress Telerik UI, Cisco ASA, QNAP, além de explorações em roteadores desatualizados da D-Link.

Exploração de Vulnerabilidades Críticas

Entre as vulnerabilidades, os produtos Progress Telerik UI para WPF foram alvo de hackers após a divulgação de falhas graves, como as vulnerabilidades CVE-2024-7576 e CVE-2024-7575, que possibilitam ataques de execução de código e injeção de comando. As versões anteriores a 2024 Q3 (2024.3.924) estão em risco.

Além disso, certos roteadores D-Link, como o DIR-859 e DIR-820, contêm vulnerabilidades de travessia de caminho (CVE-2024-0769) que permanecem sem correção, tornando-os alvos de ataques remotos. A Cyble destacou que esses dispositivos são especialmente suscetíveis a ataques pela falta de atualizações e recomenda que os usuários os substituam.

O relatório também aponta para ataques ao firmware QNAP QTS, onde vulnerabilidades de injeção de comando podem levar à execução remota de código, e a detecção de hackers explorando a URL “/+CSCOE+/logon.html”, vinculada à página de login do Cisco Adaptive Security Appliance (ASA) WebVPN, que contém falhas que permitem execução de código arbitrário, roubo de dados ou negação de serviço.

Ataques em Sistemas Linux e Malware

Os sistemas Linux também não ficaram imunes aos ataques. A Cyble identificou o trojan CoinMiner, que explora vulnerabilidades para minerar criptomoedas secretamente em máquinas comprometidas. Outro malware identificado foi o IRCBot, que utiliza conexões IRC como backdoor, permitindo que hackers controlem os sistemas afetados e os transformem em botnets.

Os pesquisadores da Cyble observaram um aumento na inovação dos agentes de ameaças em entregar malwares Linux, como no caso do CoinMiner, que foi encontrado distribuído via pacotes PyPI no início deste ano.

Ataques de Força Bruta e Senhas Comuns

Os ataques de força bruta também são destaque no relatório. Os sensores honeypot da Cyble detectaram portas e credenciais comumente visadas por hackers. Portas como 22 (SSH), 3389 (RDP) e 445 (SMB) são alvos frequentes. Além disso, nomes de usuários comuns como “elasticsearch”, “mysql” e “Postgres” foram identificados como principais objetivos.

Recomendações

Para mitigar os riscos, a Cyble recomenda a substituição de dispositivos desatualizados, aplicação de patches em versões vulneráveis e implementação de bloqueios de segurança em portas frequentemente atacadas. Equipes de segurança devem reforçar medidas contra ataques de força bruta e monitorar possíveis explorações de vulnerabilidades não corrigidas.