Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe do comitê editorial da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1 – Zero-day crítico no FortiManager permite execução remota de códigos sem autenticação
Descrição: CVE-2024-47575 permite execução remota de código sem autenticação, afetando várias versões do FortiManager.
Exploração: Atacantes podem enviar comandos sem autenticação, comprometendo dispositivos Fortinet.
Mitigação: Restrição de acesso ao FortiManager, negação de dispositivos desconhecidos e atualização para versões corrigidas.
2 – CISA lança alerta sobre vulnerabilidade de execução de código remoto no Microsoft Sharepoint
Descrição: CVE-2024-38094 permite execução remota de código no SharePoint via desserialização, com pontuação CVSS de 7.2.
Exploração: Um PoC permite que atacantes executem código arbitrário explorando a API do SharePoint.
Mitigação: Aplicação do patch de julho de 2024, limitação de permissões e monitoramento de atividades.
3 – Hackers norte coreanos estão se aproveitando de zero-day no Google Chrome para controlar dispositivo infectados remotamente
Descrição: CVE-2024-4947 permite execução de código arbitrário em versões desatualizadas do Chrome, com CVSS de 9.6.
Exploração: Lazarus Group usa sites de “jogos blockchain” para induzir vítimas a acessar um JavaScript malicioso.
Mitigação: Atualização para a versão 125.0.6422.60 do Chrome, uso de ferramentas para bloquear URLs suspeitas e análise de comportamento de navegação
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
