CISA adverte sobre 5 falhas de segurança crítica: ação urgente é necessária

CISA adverte sobre 5 falhas de segurança crítica

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou na sexta-feira cinco falhas de segurança ao seu catálogo de Vulnerabilidades Exploradas Conhecidas ( KEV ), citando evidências de exploração ativa na natureza.

Isso inclui três falhas de alta gravidade no software Veritas Backup Exec Agent (CVE-2021-27876, CVE-2021-27877 e CVE-2021-27878) que podem levar à execução de comandos privilegiados no sistema subjacente. As falhas foram corrigidas em um patch lançado pela Veritas em março de 2021.

• CVE-2021-27876 (pontuação CVSS: 8,1) – Vulnerabilidade de acesso a arquivos do Veritas Backup Exec Agent
• CVE-2021-27877 (pontuação CVSS: 8,2) – Vulnerabilidade de autenticação imprópria do Veritas Backup Exec Agent
• CVE-2021-27878 (pontuação CVSS: 8,8) – Vulnerabilidade de execução de comando do Veritas Backup Exec Agent

A Mandiant, de propriedade do Google, em um relatório publicado na semana passada, revelou que uma afiliada associada à operação de ransomware BlackCat (também conhecida como ALPHV e Noberus) tem como alvo instalações Veritas Backup Exec expostas publicamente para obter acesso inicial, aproveitando os três bugs mencionados acima.

A empresa de inteligência de ameaças, que está rastreando o ator afiliado sob seu apelido não categorizado UNC4466, disse que observou pela primeira vez a exploração das falhas na natureza em 22 de outubro de 2022.

Em um incidente detalhado pela Mandiant, o UNC4466 obteve acesso a um servidor Windows exposto à Internet, seguido pela execução de uma série de ações que permitiram ao invasor implantar a carga útil do ransomware baseado em Rust, mas não antes de realizar o reconhecimento, aumentar os privilégios e desativar Capacidade de monitoramento em tempo real do Microsoft Defender.

Também adicionado pela CISA ao catálogo KEV está o CVE-2019-1388 (pontuação CVSS: 7,8), uma falha de escalonamento de privilégios que afeta o Microsoft Windows Certificate Dialog que pode ser explorada para executar processos com permissões elevadas em um host já comprometido.

A quinta vulnerabilidade incluída na lista é uma falha de divulgação de informações no Arm Mali GPU Kernel Driver ( CVE-2023-26083 ) que foi revelada pelo Grupo de Análise de Ameaças (TAG) do Google no mês passado como abusada por um fornecedor de spyware não identificado como parte de uma exploração cadeia para invadir smartphones Android da Samsung.

As Agências do Poder Executivo Civil Federal (FCEB) têm prazo até 28 de abril de 2023 para aplicar os patches para proteger suas redes contra possíveis ameaças.