Geral 3min de Leitura - 01 de fevereiro de 2022

CISA faz alerta para 17 bugs críticos que precisam de correção imediata

CISA bugs

This post is also available in: Português

A CISA, Agência de Segurança Cibernética e de Infraestrutura, adicionou 17 vulnerabilidades exploradas ativamente ao seu catálogo de vulnerabilidades conhecidas e alertou as agências federais para corrigi-las.

Essas vulnerabilidades são usadas em vetores de ataque frequentes direcionados a agências federais.

O catálogo de vulnerabilidades exploradas conhecidas faz parte da Diretiva Operacional Vinculante BOD) 22-01, que visa melhorar a gestão de vulnerabilidades para órgãos civis federais e reduzir os riscos de segurança.

Detalhes das vulnerabilidades

O Catálogo de Vulnerabilidades Exploradas Conhecidas da CISA mostra cerca de 341 vulnerabilidades que incluem as novas 17 vulnerabilidades, juntamente com a data em que as agências precisam corrigir ou aplicar atualizações de segurança para mitigar a falha.

As vulnerabilidades listadas, permitem que os invasores realizem diferentes tipos de ataques, como roubar credenciais, informações, executar comandos remotamente, obter acesso a redes, baixar e executar malware.

Dez das 17 novas vulnerabilidades que receberam alerta da CISA, devem ser corrigidas na primeira semana de fevereiro. Quatro dessas vulnerabilidades receberam uma data de correção mais distante: apenas 18 de julho.

As falhas recém adicionadas existem em vários produtos, incluindo Struts 1, Serv-U, Airflow e Nagios XI.

As vulnerabilidades com ação necessária até dia primeiro de fevereiro, incluem CVE-2021-32648 (CMS de outubro), CVE-2021-21315 (node.js), CVE-2021-21975 (vRealize Operations Manager), CVE-2021-22991 (BIG-IP Microkernel de tráfego), CVE-2021-2526, CVE-2021-25297 e CVE 2021-25298 (Nagios XI OS), CVE-2021-33766 (Microsoft Exchange Server) e CVE-2021-40870 (Aviatrix Controller). Todas são vulnerabilidades encontradas no ano passado.

Além dessas, também devem ser corrigidas as vulnerabilidades com datas estendidas: CVE-2021-35247, CVE-2020-11978, CVE-2020-13671, CVE-2020-13927, CVE-2020-14864, CVE-2006-1547, CVE-2012-0391 e CVE-2018-8453.

Ataques explorando as falhas listadas

A falha listada acima CVE-2021-32648 em uma versão antiga do CMS de outubro usada em sites, foi explorada para desfigurar sites governamentais na Ucrânia.

Já a CVE-2021-35247, que foi descoberta pela Microsoft, foi usada em ataques Log4j. Esse ataque visa controladores de domínio do Windows configurados como servidores LDAP.

Encontrando vulnerabilidades com Pentest

Pentest

Uma falha explorável é um elo fraco para uma rede e pode colocar em risco a segurança da empresa. Enquanto os cibercriminosos continuam explorando vulnerabilidades críticas, os profissionais de segurança devem revisar o catalogo de vulnerabilidades exploradas e corrigir qualquer falha descoberta de acordo com sua criticidade.

Mas como saber se minha empresa possui essas ou outras vulnerabilidades?

Uma forma de encontra possíveis vulnerabilidades e brechas é realizando um Pentest.

O Pentest é a abreviação de Penetration Test (Teste de Penetração, em tradução literal), e também é conhecido como teste de intrusão, que utiliza técnicas hacker para detecção de vulnerabilidades.

Esse teste tem como objetivo encontrar potenciais vulnerabilidades em um sistema, servidor ou, de forma geral, em uma estrutura de rede. Existem tipos de abordagens e ferramentas específicas para realização do Pentest, respeitando as necessidades e objetivos de cada organização.

Assim, analistas de tecnologia terão a possibilidade de conhecer mais a fundo suas fraquezas e fortalecer suas estratégias de segurança. Os esforços e investimentos na proteção da estrutura e dos dados corporativos serão direcionados de acordo com a criticidade de cada vulnerabilidade encontrada.

Precisando de auxílio para execução do Pentest em sua empresa? Conheça o serviço oferecido pela OSTEC com foco em Pentest e conte com a experiência de especialistas certificados para realização desta atividade.

Se ainda possui dúvidas sobre o tema, fique à vontade para contatar um de nossos especialistas.

This post is also available in: Português