A Unidade de Inteligência de Vulnerabilidades da Cyble detectou uma onda de ataques cibernéticos direcionados a produtos e sistemas de TI críticos, explorando vulnerabilidades recém-descobertas e não corrigidas, algumas com meses de exposição. O relatório destaca ataques em sistemas como Progress Telerik UI, Cisco ASA, QNAP, além de explorações em roteadores desatualizados da D-Link.
Entre as vulnerabilidades, os produtos Progress Telerik UI para WPF foram alvo de hackers após a divulgação de falhas graves, como as vulnerabilidades CVE-2024-7576 e CVE-2024-7575, que possibilitam ataques de execução de código e injeção de comando. As versões anteriores a 2024 Q3 (2024.3.924) estão em risco.
Além disso, certos roteadores D-Link, como o DIR-859 e DIR-820, contêm vulnerabilidades de travessia de caminho (CVE-2024-0769) que permanecem sem correção, tornando-os alvos de ataques remotos. A Cyble destacou que esses dispositivos são especialmente suscetíveis a ataques pela falta de atualizações e recomenda que os usuários os substituam.
O relatório também aponta para ataques ao firmware QNAP QTS, onde vulnerabilidades de injeção de comando podem levar à execução remota de código, e a detecção de hackers explorando a URL “/+CSCOE+/logon.html”, vinculada à página de login do Cisco Adaptive Security Appliance (ASA) WebVPN, que contém falhas que permitem execução de código arbitrário, roubo de dados ou negação de serviço.
Os sistemas Linux também não ficaram imunes aos ataques. A Cyble identificou o trojan CoinMiner, que explora vulnerabilidades para minerar criptomoedas secretamente em máquinas comprometidas. Outro malware identificado foi o IRCBot, que utiliza conexões IRC como backdoor, permitindo que hackers controlem os sistemas afetados e os transformem em botnets.
Os pesquisadores da Cyble observaram um aumento na inovação dos agentes de ameaças em entregar malwares Linux, como no caso do CoinMiner, que foi encontrado distribuído via pacotes PyPI no início deste ano.
Os ataques de força bruta também são destaque no relatório. Os sensores honeypot da Cyble detectaram portas e credenciais comumente visadas por hackers. Portas como 22 (SSH), 3389 (RDP) e 445 (SMB) são alvos frequentes. Além disso, nomes de usuários comuns como “elasticsearch”, “mysql” e “Postgres” foram identificados como principais objetivos.
Para mitigar os riscos, a Cyble recomenda a substituição de dispositivos desatualizados, aplicação de patches em versões vulneráveis e implementação de bloqueios de segurança em portas frequentemente atacadas. Equipes de segurança devem reforçar medidas contra ataques de força bruta e monitorar possíveis explorações de vulnerabilidades não corrigidas.
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…