A CISA adicionou três falhas ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), incluindo uma falha crítica de credenciais codificadas no SolarWinds Web Help Desk (WHD), que o fornecedor corrigiu no final de agosto de 2024.
O SolarWinds Web Help Desk é uma ferramenta de gerenciamento de serviços de TI usada por 300.000 clientes globalmente, incluindo agências governamentais, grandes corporações e organizações de assistência médica.
A falha do SolarWinds, identificada como CVE-2024-28987, é causada por credenciais codificadas com o nome de usuário “helpdeskIntegrationUser” e a senha “dev-C4F8025E7.” Essas credenciais podem permitir que invasores remotos e não autenticados acessem endpoints WHD, permitindo que eles visualizem ou modifiquem dados sem restrições.
A SolarWinds lançou um hotfix apenas quatro dias após receber um relatório do pesquisador Zach Hanley do Horizon3.ai, que descobriu a vulnerabilidade. A empresa pediu que os administradores do sistema atualizassem para a versão WHD 12.8.3 Hotfix 2 ou posterior.
A CISA agora adicionou essa falha ao catálogo KEV, sinalizando seu uso em ataques no mundo real.
Embora a agência governamental dos EUA não tenha fornecido detalhes extensos sobre a atividade maliciosa associada, ela marcou o status da exploração de ransomware como desconhecido.
As agências federais e organizações governamentais nos EUA devem atualizar para uma versão segura ou deixar de usar o produto até 5 de novembro de 2024. Dada a exploração ativa do CVE-2024-28987, os administradores de sistema são fortemente encorajados a proteger os endpoints WHD antes do prazo.
As outras duas falhas envolvem o Windows e o Mozilla Firefox, ambos já conhecidos por serem explorados em ataques. A CISA também definiu um prazo de 5 de novembro para as agências federais corrigirem essas vulnerabilidades.
A falha do Windows é uma condição de corrida do Kernel TOCTOU, rastreada como CVE-2024-30088, e foi descoberta como sendo explorada ativamente pela Trend Micro. A empresa de segurança cibernética atribuiu a atividade maliciosa ao grupo OilRig (APT34), que usou a falha para obter privilégios de nível de SISTEMA em dispositivos comprometidos.
A Microsoft abordou a vulnerabilidade em sua atualização Patch Tuesday de junho de 2024, embora o cronograma para a exploração ativa permaneça incerto.
A vulnerabilidade do Mozilla Firefox, rastreada como CVE-2024-9680, foi descoberta pelo pesquisador da ESET Damien Schaeffer em 8 de outubro de 2024 e foi corrigida pela Mozilla em 25 horas.
De acordo com a Mozilla, a ESET forneceu uma cadeia de ataque que poderia permitir a execução remota de código no dispositivo de um usuário por meio de CSS cronogramas de animação no Firefox.
Embora a ESET ainda esteja analisando o ataque, um porta-voz informou ao BleepingComputer que a atividade maliciosa parece ter origem na Rússia e provavelmente faz parte de uma campanha de espionagem.
Fonte: BleepingComputer, Bill Toulas
