Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou sete vulnerabilidades à sua lista de bugs ativamente explorados por hackers, com as novas falhas divulgadas pela Apple. Microsoft, SAP e Google.
O ‘Catálogo de Vulnerabilidades Exploradas Conhecidas’ é uma lista de vulnerabilidades compartilhadas pela CISA que são conhecidas por serem ativamente exploradas em ataques cibernéticos e devem ser corrigidas pelas agências do Federal Civilian Executive Branch (FCEB).
” A Diretiva Operacional Vinculante (BOD) 22-01: Reduzindo o Risco Significativo de Vulnerabilidades Exploradas Conhecidas estabeleceu o Catálogo de Vulnerabilidades Exploradas Conhecidas como uma lista viva de CVEs conhecidos que carregam riscos significativos para a empresa federal”, explica a CISA.
“BOD 22-01 exige que as agências do FCEB corrijam as vulnerabilidades identificadas até a data de vencimento para proteger as redes do FCEB contra ameaças ativas.”
Com a adição dessas sete vulnerabilidades, o catálogo agora contém 801 CVEs e a data em que as agências já devem ter aplicado os patches associados.
As sete novas vulnerabilidades adicionadas ontem estão listadas abaixo, com a CISA exigindo que todas sejam corrigidas até 8 de setembro de 2022.
| Número CVE | Título da vulnerabilidade |
|---|---|
| CVE-2017-15944 | Vulnerabilidade de execução remota de código PAN-OS da Palo Alto Networks |
| CVE-2022-21971 | Vulnerabilidade de execução remota de código do Microsoft Windows Runtime |
| CVE-2022-26923 | Vulnerabilidade de escalação de privilégios de serviços de domínio do Microsoft Active Directory |
| CVE-2022-2856 | Vulnerabilidade de validação de entrada insuficiente de intents do Google Chrome |
| CVE-2022-32893 | Vulnerabilidade de gravação fora dos limites do Apple iOS e macOS |
| CVE-2022-32894 | Vulnerabilidade de gravação fora dos limites do Apple iOS e macOS |
| CVE-2022-22536 | Vulnerabilidade de contrabando de solicitações HTTP de vários produtos SAP |
Como esses bugs são usados em ataques?
Vulnerabilidade CVE-2022-22536 em sistemas SAP
Embora seja útil saber quais vulnerabilidades estão sendo exploradas, nenhum detalhe foi fornecido sobre como os agentes de ameaças as usam em ataques. Abaixo, fornecemos os detalhes que pudemos encontrar sobre os bugs recém-adicionados.
A vulnerabilidade crítica SAP CVE-2022-22536 foi divulgada pela Onapsis em fevereiro e recebeu uma classificação de gravidade 10/10. A CISA alertou rapidamente os administradores para corrigir o bug, pois isso pode levar a roubo de dados, riscos de fraude financeira, interrupções de processos de negócios de missão crítica, ataques de ransomware e interrupção de todas as operações.
No momento, não se sabe como os invasores exploram esse bug, mas os detalhes da falha foram divulgados na Conferência de Segurança BlackHat na semana passada e parecem ser rapidamente usados por agentes de ameaças depois que os detalhes técnicos foram revelados.
“No dia 18/08/2022, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade crítica do SAP – CVE-2022-22536 – ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas menos de uma semana após os detalhes serem divulgados no Black Hat pela Onapsis Research Labs”, explica um novo aviso no conselho da Onapsis .
“Embora essa vulnerabilidade tenha sido descoberta no início deste ano, esta validação da CISA mostra que as organizações devem priorizar a ação imediatamente.”
Vulnerabilidades CVE-2022-32893 e CVE-2022-32894 em sistemas Apple
A Apple lançou atualizações de segurança do macOS e iOS/iPadOS na quarta-feira para as vulnerabilidades CVE-2022-32893 e CVE-2022-32894 , explicando que elas podem ser exploradas para executar a execução de código em dispositivos vulneráveis.
A Apple não forneceu detalhes sobre como eles estão sendo abusados, mas como o CVE-2022-32894 permite que o código seja executado com privilégios do Kernel, isso permitiria a aquisição completa do dispositivo.
Vulnerabilidade CVE-2022-2856 em sistema Google
A vulnerabilidade Google CVE-2022-2856 foi corrigida no Google Chrome 104.0.5112.101 , lançado na terça-feira. Embora nenhuma informação tenha sido compartilhada sobre como os hackers o exploraram em ataques, o pesquisador de vulnerabilidades Hossein Lotfi descobriu mais detalhes sobre o bug.
Google Chrome (In-The-Wild) Zero day (CVE-2022-2856) fix. If an intent contains any extras or a data URI and it targets another browser, Google Chrome would open that browser with that URL without prompting:https://t.co/iiDhLShhJv
— Hossein Lotfi (@hosselot) August 18, 2022
Vulnerabilidade CVE-2022-26923 em sistema Microsoft
A Microsoft corrigiu a vulnerabilidade de execução remota de código CVE-2022-21971 no Patch Tuesday de fevereiro de 2022 , mas não há detalhes disponíveis sobre como ela está sendo explorada.
No entanto, CVE-2022-26923 é uma vulnerabilidade de elevação de privilégio dos Serviços de Domínio Active Directory corrigida em maio com detalhes técnicos sobre o bug ‘Certifried’ revelado .
Esses detalhes permitiram que pesquisadores e prováveis agentes de ameaças reproduzissem a exploração.
FWIW, Certifried CVE-2022–26923 works quite well on a default Active Directory configuration.
— Will Dormann (@wdormann) May 11, 2022
Normal user -> Domain Admin in a few steps.
There are a few steps after this screenshot. But you can see that I have a certificate for the domain controller, so you get the gist… https://t.co/MYWGxrPJDM pic.twitter.com/XJ6VHWa1YW
Vulnerabilidade CVE-2017-15944 em sistema Palo Altos
Por fim, a vulnerabilidade mais antiga adicionada lista da CISA é a vulnerabilidade de execução remota de código CVE-2017-15944 da Palo Altos Networks divulgada em 2017.
Essa vulnerabilidade foi divulgada com detalhes técnicos completos e, embora seja surpreendente que os dispositivos ainda estejam vulneráveis após cinco anos, não é surpreendente que os agentes de ameaças estejam abusando da falha.
É altamente recomendável que todos os profissionais de segurança e administradores revisem o Catálogo de Vulnerabilidades Exploradas Conhecidas e corrija os bugs listados em seu ambiente.