BolhaSec News #1 - 02/06/24 a 08/06/24

Zero-Day no TikTok: segundo porta-voz do TikTok, uma vulnerabilidade (ainda não detalhada) está sendo explorada focando em contas de ~celebridades~ e grandes marcas. O ataque se dá por meio das DMs e não exige interação do usuário. Entre as vítimas, estão Sony, CNN, and Paris Hilton. +Info +Twitter

Dados do Santander à venda: grupo hacker ShinyHunters colocou à venda no Breach Forums dados de 30 milhões de clientes do Santander, incluindo 28 milhões de cartão de crédito, pela bagatela de US$ 2 milhões. Pagariam🤣? O caso parece estar relacionado ao ataque a empresa de IA/Data Snowflake, vulgo maior vazamento de dados do mundo (até agr). +Info +Twitter

Maior vazamento de dados do mundo? A plataforma de IA/Data Snowflake andou sendo relacionada à vazamentos de dados de grandes empresas, como Santander e Ticketmaster (que vende os ingressos do Rock in Rio). O que vem sendo considerado como maior vazamento de dados do mundo (em pessoas afetadas). Informação da Snowflake até agora é que não houve exploração de vulnerabilidade, mas que um atacante obteve credenciais de uma ~conta demo~ de um ex-funcionário. Aparentemente, a história vai se desenrolar mais ainda. Principalmente se tds os clientes da Ticketmaster tiverem sido afetados. +Info1 +Info2 +Info3.

Vulnerabilidade de criticidade alta no Confluence: você sabia que pode ter seu próprio servidor Confluence na sua empresa (Confluence Data Center e Confluence Server)? Descobri com essa vulnerabilidade e que não é barato 😢. Esses produtos têm/tinham a vulnerabilidade alta de execução remota de código 😵CVE-2024-21683. Dentre outros requisitos, o atk acontece quando quando um usuário envia um script JS com código Java malicioso 🤣 (sim, eu sei kk) +Info +Twitter

Vulnerabilidade alta no PHP CGI: o antigo CVE-2012-1823 que afetava o PHP em CGI mode e levava a execução remota de código foi revivido sob o novo nome CVE-2024-4577 graças a uma pequena feature do Windows conhecida carinhosamente como best-fit ou WCTABLE. Resumindo, o fix do CVE de 2012 foi adicionar uma sanitização que removia o caractere hífem no processamento de requisições. Graças ao WCTABLE, foi possível bypassar a sanitização usando o caractere “hífen suave” (0xad). +Info1 +Info2 +Info3 +Twitter.

Estatísticas de exploração do CVE-2024-24919, 0-day nas ferramentas Check Point: segundo relatório da empresa de monitoramento de tráfego Greynoise, quase 800 IPs únicos foram identificados explorando a vulnerabilidade (será que o meu está no meio? 🤔). Além disso, citaram um relatório da Censys que afirma que existem mais de 14.000 dispositivos rodando alguma versão dessas ferramentas Check Point +Info1 +Info2 +Twitter

Ce sabe como idempotência e segurança se relacionam? Se liga então na thread da @juligaioso a.k.a Mulher das Cobras +Twitter.

// TODO:
// parabéns por chegar até o final da 1º edição da newsletter da #bolhasec

// caso tenha dúvidas ou sugestões, estou no Twitter em @bolhasec ou @sushicomabacate

// próximo domingo, nos vemos novamente 👀