As notícias sobre segurança cibernética às vezes podem parecer um filme de terror sem fim, não é? Justamente quando você pensa que os vilões estão presos, uma nova ameaça surge das sombras.
Esta semana não é exceção, com histórias de falhas exploradas, espionagem internacional e travessuras de IA que podem fazer você girar a cabeça. Mas não se preocupe, estamos aqui para explicar tudo em um inglês simples e fornecer o conhecimento necessário para se manter seguro.
Então pegue sua pipoca (e talvez um firewall) e vamos mergulhar no mais recente drama da segurança cibernética!
⚡ Ameaça da Semana
Falha crítica do Fortinet é explorada: A Fortinet revelou que uma falha crítica de segurança que afeta o FortiManager (CVE-2024-47575, pontuação CVSS: 9,8), que permite a execução remota de código não autenticado, está sob exploração ativa em estado selvagem. Atualmente não se sabe exatamente quem está por trás disso. A Mandiant, de propriedade do Google, está rastreando a atividade sob o nome UNC5820.
🚢🔐 Segurança Kubernetes para Leigos
Como implementar uma solução de segurança de contêineres e Práticas recomendadas de segurança do Kubernetes tudo enrolado em um. Este guia inclui tudo o que é essencial saber sobre como construir uma base de segurança sólida e executar um sistema operacional bem protegido.
Obtenha o guia
️🔥 Tendências de CVEs
CVE-2024-41992, CVE-2024-20481, CVE-2024-20412, CVE-2024-20424, CVE-2024-20329, CVE-2024-38094, CVE-2024-8260, CVE-2024-38812, CVE- 2024-9537, CVE-2024-48904
🔔 Principais notícias
- Graves falhas criptográficas em 5 provedores de armazenamento em nuvem: Pesquisadores de segurança cibernética descobriram graves problemas criptográficos em plataformas de armazenamento em nuvem criptografadas de ponta a ponta (E2EE) Sync, pCloud, Icedrive, Seafile e Tresorit que podem ser exploradas para injetar arquivos, adulterar dados de arquivos e até mesmo obter acesso direto a texto simples . Os ataques, no entanto, dependem de um invasor obter acesso a um servidor para realizá-los.
- Lazarus explora falha do Chrome: O ator norte-coreano conhecido como Lazarus Group foi atribuído à exploração de dia zero de uma falha de segurança agora corrigida no Google Chrome (CVE-2024-4947) para assumir o controle de dispositivos infectados. A vulnerabilidade foi corrigida pelo Google em meados de maio de 2024. A campanha, que teria começado em fevereiro de 2024, envolvia enganar os usuários para que visitassem um website que anunciava um jogo de tanque multiplayer on-line battle area (MOBA), mas incorporou JavaScript malicioso para acionar explorar e conceder aos invasores acesso remoto às máquinas. O website também foi usado para entregar um jogo totalmente funcional, mas embalado em código para entregar cargas adicionais. Em maio de 2024, a Microsoft atribuiu a atividade a um cluster que rastreia como Moonstone Sleet.
- Falha de controle de conta do AWS Cloud Growth Package (CDK) corrigida: Uma falha de segurança agora corrigida que afetava o Cloud Growth Package (CDK) da Amazon Net Companies (AWS) poderia ter permitido que um invasor obtivesse acesso administrativo a uma conta alvo da AWS, resultando no controle complete da conta. Após a divulgação responsável em 27 de junho de 2024, o problema foi resolvido pela Amazon na versão 2.149.0 do CDK lançada em julho de 2024.
- SEC multa 4 empresas por divulgações enganosas da SolarWinds: A Comissão de Valores Mobiliários dos EUA (SEC) acusou quatro empresas públicas, Avaya, Examine Level, Mimecast e Unisys, por fazerem “divulgações materialmente enganosas” relacionadas ao ataque cibernético em grande escala que resultou do hack da SolarWinds em 2020. A agência federal acusou as empresas de minimizar a gravidade da violação em suas declarações públicas.
- 4 membros do REvil condenados na Rússia: Quatro membros da extinta operação de ransomware REvil, Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky e Ruslan Khansvyarov, foram condenados a vários anos de prisão na Rússia. Eles foram originalmente presos em janeiro de 2022, após uma operação policial levada a cabo pelas autoridades russas.
📰 Pelo mundo cibernético
- Delta Air Strains processa CrowdStrike por interrupção em julho: A Delta Air Strains entrou com uma ação judicial contra a CrowdStrike no estado norte-americano da Geórgia, acusando o fornecedor de segurança cibernética de quebra de contrato e negligência depois que uma grande interrupção em julho causou 7.000 cancelamentos de voos, interrompeu planos de viagem de 1,3 milhão de clientes e custou à transportadora mais de US$ 500. milhão. “A CrowdStrike causou uma catástrofe world porque economizou, pegou atalhos e contornou os próprios processos de testes e certificação que anunciava, para seu próprio benefício e lucro”, afirmou. “Se a CrowdStrike tivesse testado a atualização defeituosa em pelo menos um computador antes da implantação, o computador teria travado.” CrowdStrike disse que “as afirmações da Delta são baseadas em desinformação refutada, demonstram uma falta de compreensão de como funciona a segurança cibernética moderna e refletem uma tentativa desesperada de transferir a culpa por sua lenta recuperação de seu fracasso em modernizar sua infraestrutura de TI antiquada”.
- Meta anuncia maneira segura de armazenar contatos do WhatsApp: A Meta anunciou um novo sistema de armazenamento criptografado para contatos do WhatsApp chamado Identification Proof Linked Storage (IPLS), que permite aos usuários criar e salvar contatos junto com seus nomes de usuário diretamente na plataforma de mensagens, aproveitando a transparência chave e o módulo de segurança de {hardware} (HSM). Até agora, o WhatsApp dependia da agenda de contatos do telefone para fins de sincronização. O Grupo NCC, que realizou uma avaliação de segurança da nova estrutura e descobriu 13 problemas, disse que o IPLS “visa armazenar os contatos do aplicativo de um usuário do WhatsApp nos servidores do WhatsApp de maneira amigável à privacidade” e que “os servidores do WhatsApp não têm visibilidade no conteúdo dos metadados de contato de um usuário.” Todas as deficiências identificadas foram totalmente corrigidas em setembro de 2024.
- CISA, FBI investigando ataques de tufões de sal: A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) disse que o governo dos EUA está investigando “o acesso não autorizado à infraestrutura comercial de telecomunicações” por atores de ameaças ligados à China. O desenvolvimento ocorre em meio a relatos de que o grupo de hackers Salt Storm invadiu as redes da AT&T, Verizon e Lumen. As empresas afetadas foram notificadas após a identificação da “atividade maliciosa”, disse a CISA. A amplitude da campanha e a natureza da informação comprometida, se houver, não são claras. Vários relatórios do The New York Instances, The Wall Road Journal, Reuters, Related Press e CBS Information afirmaram que o Salt Storm usou o seu acesso a gigantes das telecomunicações para explorar telefones ou redes utilizadas pelas campanhas presidenciais democratas e republicanas.
- Esquema fraudulento de trabalhadores de TI se torna um problema maior: Embora a Coreia do Norte tenha sido notícia recentemente pelas suas tentativas de conseguir emprego em empresas ocidentais, e até mesmo por exigir resgate em alguns casos, um novo relatório da empresa de segurança de identidade HYPR mostra que o esquema de fraude de funcionários não se limita apenas ao país. A empresa disse que recentemente ofereceu um contrato a um engenheiro de software program que afirma ser da Europa Oriental. Mas o processo subsequente de integração e verificação por vídeo levantou uma série de sinais de alerta sobre sua verdadeira identidade e localização, levando o indivíduo não identificado a buscar outra oportunidade. Atualmente não há evidências que liguem a contratação fraudulenta à Coreia do Norte e não está claro o que eles procuravam. “Implemente um processo de verificação multifatorial para vincular a identidade do mundo actual à identidade digital durante o processo de provisionamento”, disse HYPR. “A verificação baseada em vídeo é um controle de identidade crítico, e não apenas na integração.”
- Novos ataques a ferramentas de IA: Os pesquisadores descobriram uma maneira de manipular marcas d'água digitais geradas pelo AWS Bedrock Titan Picture Generator, possibilitando que os agentes de ameaças não apenas apliquem marcas d'água a qualquer imagem, mas também removam marcas d'água de imagens geradas pela ferramenta. O problema foi corrigido pela AWS em 13 de setembro de 2024. O desenvolvimento segue a descoberta de falhas de injeção imediata no Google Gemini for Workspace, permitindo que o assistente de IA produza respostas enganosas ou não intencionais e até mesmo distribua documentos e e-mails maliciosos para contas-alvo. quando os usuários solicitam conteúdo relacionado às suas mensagens de e-mail ou resumos de documentos. Uma nova pesquisa também encontrou uma forma de ataque de sequestro de LLM em que os agentes de ameaças estão capitalizando as credenciais expostas da AWS para interagir com grandes modelos de linguagem (LLMs) disponíveis no Bedrock, em um caso usando-os para alimentar um aplicativo de bate-papo Sexual Roleplaying que desbloqueia o modelo de IA para “aceitar e responder conteúdo que normalmente seria bloqueado” por ele. No início deste ano, a Sysdig detalhou uma campanha semelhante chamada LLMjacking, que emprega credenciais de nuvem roubadas para atingir serviços LLM com o objetivo de vender o acesso a outros atores de ameaças. Mas, numa reviravolta interessante, os atacantes estão agora também a tentar usar as credenciais roubadas da nuvem para ativar os modelos, em vez de apenas abusarem daquelas que já estavam disponíveis.
🔥 Recursos e percepções
🎥 Webinar de especialistas em Infosec
Domine a segurança de dados na nuvem com DSPM: Está com dificuldades para acompanhar a segurança dos dados na nuvem? Não deixe que seus dados confidenciais se tornem uma responsabilidade. Participe de nosso webinar e saiba como a World-e, uma facilitadora líder de comércio eletrônico, melhorou drasticamente sua postura de segurança de dados com DSPM. O CISO Benny Bloch revela sua jornada, incluindo os desafios, erros e lições críticas aprendidas. Obtenha insights práticos sobre a implementação do DSPM, reduzindo riscos e otimizando custos de nuvem. Cadastre-se agora e ganhe vantagem competitiva no mundo atual, orientado por dados.
🛡️Pergunte ao especialista
P: Qual é a vulnerabilidade mais negligenciada em sistemas empresariais que os invasores tendem a explorar?
UM: As vulnerabilidades mais negligenciadas em sistemas corporativos geralmente residem em configurações incorretas de IAM, como contas com permissões excessivas, segurança de API negligente, shadow IT não gerenciada e federações de nuvem mal protegidas. Ferramentas como Azure PIM ou SailPoint ajudam a impor privilégios mínimos gerenciando revisões de acesso, enquanto Kong ou Auth0 protegem APIs por meio de rotação de tokens e monitoramento WAF. Os riscos de Shadow IT podem ser reduzidos com o Cisco Umbrella para descoberta de aplicativos e o Netskope CASB para impor o controle de acesso. Para proteger federações, use Prisma Cloud ou Orca para verificar configurações e restringi-las, enquanto o Cisco Duo permite MFA adaptativo para autenticação mais forte. Por fim, proteja contas de serviço com gerenciamento automatizado de credenciais por meio do HashiCorp Vault ou do AWS Secrets and techniques Supervisor, garantindo acesso seguro e na hora certa.
🔒 Dica da Semana
Aumente o nível da sua segurança DNS: Embora a maioria das pessoas se concentre em proteger seus dispositivos e redes, o Sistema de Nomes de Domínio (DNS) — que traduz nomes de domínio legíveis por humanos (como instance.com) em endereços IP legíveis por máquinas — é frequentemente esquecido. Think about a Web como uma vasta biblioteca e o DNS como seu catálogo de fichas; para encontrar o livro (website) que deseja, você precisa do cartão (endereço) correto. Mas se alguém adulterasse o catálogo, você poderia ser induzido a websites falsos para roubar suas informações. Para aumentar a segurança do DNS, use um resolvedor focado na privacidade que não rastreie suas pesquisas (um catálogo privado), bloqueie websites maliciosos usando um arquivo “hosts” (rasgue os cartões de livros perigosos) e empregue uma extensão de navegador com DNS filtragem (contrate um bibliotecário para ficar de olho). Além disso, habilite o DNSSEC para verificar a autenticidade dos registros DNS (verifique a autenticidade do cartão) e criptografe suas solicitações de DNS usando DoH ou DoT (sussurre suas solicitações para que ninguém mais possa ouvir).
Conclusão
E aí está – mais uma semana de desafios de segurança cibernética para refletir. Lembre-se, nesta period digital, a vigilância é elementary. Mantenha-se informado, alerta e seguro no mundo cibernético em constante evolução. Estaremos de volta na próxima segunda-feira com mais notícias e insights para ajudá-lo a navegar no cenário digital.