Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. Vulnerabilidades críticas no Cisco Unified Contact Center Express (CCX)
Descrição: Falhas críticas no Cisco CCX permitem bypass de autenticação e execução remota de código em componentes administrativos.
Exploração: Requisições manipuladas a serviços internos (Java RMI e interfaces administrativas) permitem upload de arquivos e execução de scripts arbitrários.
Impacto: Controle total do contact center, interceptação de chamadas, vazamento de dados sensíveis e movimentação lateral na rede.
Mitigação: Aplicar patches da Cisco, restringir acesso administrativo, segmentar rede e monitorar logs de execução suspeita.
2. Vulnerabilidade no Windows Cloud Files Mini Filter Driver explorada ativamente
Descrição: Falha de elevação de privilégios no driver cldflt.sys do Windows está sendo explorada ativamente pela CISA.
Exploração: Exploração de condição use-after-free permite execução de código em modo kernel após acesso local inicial.
Impacto: Elevação a SYSTEM, desativação de mecanismos de segurança, instalação de rootkits e persistência avançada.
Mitigação: Aplicar patches da Microsoft, usar EDR para monitorar drivers, limitar privilégios locais e detectar escalonamento anômalo.
3. Fortinet FortiWeb: vulnerabilidade de injeção de comandos em ataques reais
Descrição: Falha crítica de command injection no FortiWeb permite execução arbitrária no sistema operacional do appliance.
Exploração: Entradas não sanitizadas na interface administrativa permitem execução de comandos por usuários autenticados.
Impacto: Desativação do WAF, criação de contas ocultas, backdoors persistentes e comprometimento da rede protegida.
Mitigação: Atualizar FortiWeb OS, restringir acesso administrativo, revisar contas e monitorar comandos não autorizados.
4. Fortinet FortiGate sob ataque ativo por bypass de autenticação SAML SSO
Descrição: Falhas no SAML SSO do FortiGate permitem autenticação administrativa sem credenciais válidas.
Exploração: Tokens SAML manipulados são aceitos como legítimos, permitindo acesso completo à interface do firewall.
Impacto: Exportação de configurações, roubo de credenciais, exposição da topologia e comprometimento total da segurança perimetral.
Mitigação: Atualizar FortiOS, desabilitar FortiCloud SSO temporariamente, restringir GUI/SSH e redefinir credenciais.
5. Vulnerabilidade crítica no Apache Commons Text permite execução remota de código
Descrição: Falha no mecanismo de interpolação de strings do Apache Commons Text permite execução remota de código.
Exploração: Entradas não confiáveis acionam expressões maliciosas que executam comandos ou chamadas remotas.
Impacto: Comprometimento completo de aplicações Java, APIs e serviços corporativos expostos à internet.
Mitigação: Atualizar a biblioteca, evitar interpolação dinâmica com dados não confiáveis e validar rigorosamente entradas.
6. Ataques de password spraying contra VPNs Cisco e Palo Alto Networks
Descrição: Campanha global de password spraying mira gateways VPN corporativos expostos à internet.
Exploração: Tentativas automatizadas testam senhas comuns contra múltiplas contas usando fluxos legítimos de autenticação.
Impacto: Acesso inicial a redes corporativas, especialmente em ambientes sem MFA ou com políticas fracas de senha.
Mitigação: Habilitar MFA, fortalecer políticas de senha, aplicar rate limiting, monitorar falhas de login e bloquear IPs suspeitos.
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
