BolhaSec News #21 - 20/10/24 a 26/10/24

Usuário do Google Meet são alvos de campanhas de infostealers: De acordo com com pesquisadores da Sekoia, grupos hackers “Marko Polo” e “CryptoLove” tem usado páginas de phishing e táticas de ClickFix. Nesse cenario, são exibidos alertas avisando o usuário de que a página não pode ser exibida corretamente até que ele clique no botão “Corrigir” e sigam os passos descritos, o que resulta no usuário copiando e executando, sem saber, um código malicioso que instala um malware. Desde fevereiro, a Sekoia e outras empresas de segurança cibernética identificaram uma série de campanhas com as mesmas táticas. Às vezes, a chamada para ação é “Corrija o problema”, outras vezes é “Prove que você é humano” (em páginas falsas de CAPTCHA). +Info

Vulnerabilidade alta no Spring Framework: Essa semana foi publicado o CVE-2024-38819, vulnerabilidade alta (CVSS 8.7) afetando o Spring Framework nas versões 5.3.x, 6.0.x e 6.1.x. Aplicações servindo recursos estáticos através dos web frameworks funcionais WebMvc.fn ou WebFlux.fn são vulneráveis a ataques de path traversal. O fix é aplicar o último update que contem um patch de segurança. +Info +Info2 +Bluesky

Microsoft perdeu logs de segurança de seus clientes: A Microsoft notificou seus clientes de que estão faltando mais de duas semanas de logs de segurança para alguns de seus produtos de nuvem, incluindo “apenas” Microsoft Entra, Sentinel, Defender for Cloud, e Purview ⚰️. Segundo a empresa, clientes afetados “podem ter experimentado potenciais lacunas em logs ou eventos relacionados à segurança, possivelmente afetando a capacidade dos clientes de analisar dados, detectar ameaças ou gerar alertas de segurança” e que foi causado por um bug em um dos agentes de monitoramento interno, o que resultou em um mau funcionamento em alguns dos agentes ao carregar dados de log entre 2 e 19 de setembro. +Info +Bluesky

Vulnerabilidade da Fortinet explorada em ataques zero-day: Mais uma vez provando que esse não é o ano das gigantes da segurança (vide Crowdstrike), mais vulnerabilidades críticas da Fortinet sendo exploradas por aí. Dessa vez, a vulnerabilidade crítica CVE-2024-47575 (CVSS 9.8) de “missing authentication for critical function”, que pode levar a execução arbitrária de código, está sendo explorada em massa, devido a uma falha no processo de divulgação da vulnerabilidade, o que foi carinhosamente chamado de “Imperfect disclosure”. Nas últimas semanas, a Fortinet compartilhou de forma privada com um conjunto de clientes detalhes sobre uma vulnerabilidade e conselhos de mitigação. A informação não tinha sido feita para ser compartilhada fora da organização dos destinatários 👀. Evidentemente, a fofoca chegou rapidamente nos grupos de cibersegurança e a vulnerabilidade começou a ser explorada, levando a Fortinet a publicar essa semana o CVE-2024-47575 ⚰️. +Info +Info2