Escolar Documentos
Profissional Documentos
Cultura Documentos
#142
Report
05 J U N
2020
Vulnerabilidade crítica é
encontrada na plataforma
VMware Cloud Director
Cisco corrige vulnerabilidade crítica nos
switches da série Nexus
Boa leitura,
Wanessa Souza
ANALISTA DE SEGURANÇA
Ricardo Ulisses
Head of Threat Intelligence
conteudo@tempest.com.br
3 SITUATION REPORT | 05 JUNHO 2020
VULNERABILIDADE
Uma das plataformas líderes do mercado para o 2. Apesar desses arquivos serem criptografados, as credenciais
gerenciamento de tecnologias baseadas em nuvem, a VMware podem ser facilmente recuperadas a partir do código Java
Cloud Director (vCloud Director), possui uma vulnerabilidade IEncryption manager = EncryptionManager.
crítica que permite a um invasor obter acesso total a toda uma getDefaultEncrypter(); out.println(manager.
infraestrutura de nuvens públicas e privadas suportadas pela Decrypt(“[encrypted password]”)).
plataforma, afirmou a empresa de segurança Citadelo.
3. De posse das credenciais, bastava alterar a senha me-
A vCloud Director permite a realização de diversas atividades, stre de acesso a todas as nuvens que, nesse caso, foi
dentre elas: a criação e o gerenciamento de máquinas e alterada para Password123. Isso pode ser feito através
data centers virtuais, o gerenciamento de contêineres e a de uma simples consulta SQL: UPDATE usr SET
automação de fluxos de trabalho através da integração com password=’8nmlODAJ92cQdJCqasw8YXAU2Ix-
as ferramentas vRealize Orchestrator, Terraform e Cloud +ODa3rc+5fFhEeMFV+c9iDNys+OEFtKK/0CXjIS9Ox-
Provider Pod. KlYaPdrIITYAWL0Eh/PYLwrtI8d’ WHERE user-
A falha (CVE-2020-3956) ocorre porque o vCloud Director name=’administrator’.
trata inadequadamente os dados de entrada enviados para a
plataforma. Devido a isso, é possível a um invasor manipular
o tráfego de dados direcionado ao Cloud Director para
realizar ataques de execução arbitrária de código. De acordo
com os pesquisadores, a vulnerabilidade pode ser explorada
através da Flex-based UIs (interface web para acesso do
usuário) ou fazendo chamadas as interfaces de programação
API Explorer e API access. Os pesquisadores também
afirmaram que a exploração da falha permitiu a realização de
uma série de ações:
A vulnerabilidade está presente nas versões 10.0.x (e anteriores a 10.0.0.2), 9.7.0.x (e anterio-
res a 9.7.0.5), 9.5.0.x (e anteriores a 9.5.0.6), e 9.1.0.x (anteriores a 9.1.0.4).
Após ter sido alertada da vulnerabilidade (CVSS 8,3 – crítica) em 1 de abril de 2010, a VMwa-
re corrigiu a falha nas versões 9.1.0.4, 9.5.0.6, 9.7.0.5 e 10.0.0.2.
Mitigação
A VMware emitiu uma solução alternativa para as organizações que não possam atuali-
zar imediatamente o vCloud Director. No entanto, esta solução só é aplicável às versões
9.1, 9.5, 9.7 e 10.0.
2.1. O pacote zip pode ser instalado com o comando: tdnf install zip
5.2. você deverá ver uma entrada como abaixo quando o Cell concluir a inicialização:
Nota:
REFERÊNCIAS
Critical VMware Cloud Director Flaw Lets Hackers Take Over Corporate Servers. The Hacker News. 01 Junho 2020 // Full
infrastructure takeover of VMware Cloud Director (CVE-2020-3956). Citadelo. 01 Junho 2020 // VMware vCloud Director
9.1, 9.5, 9.7, 10.0 Workaround for CVE-2020-3956 (79091). VMware. Maio 2020
5 SITUATION REPORT | 05 JUNHO 2020
VULNERABILIDADE
O segundo cenário é o modo de desvio (bypass): de forma similar ao primeiro, um invasor envia
um pacote IP-in-IP para um dispositivo vulnerável que irá receber e desencapsular o pacote IP
do portador e encaminhar o pacote IP interno para a máquina da vítima. Neste modo, o pacote
interno possui o endereço IP de um segundo dispositivo cujo o invasor possui acesso, e com o
qual será possível realizar consultas via SNMP — protocolo de gerência de redes — no dispositi-
vo da vítima. Para este cenário presume-se que o dispositivo da vítima possua o SNMP ativo.
A falha afeta especificamente os dispositivos da série Nexus, que são switches projetados para
data centers: 1000, 5500, 5600, 6000 e 7000, incluindo algumas versões das séries 3000 e
9000. Também são afetadas as versões 6200 e 6300 do sistema de computação unificado da
Cisco (UCS) — linha de produtos que permitem o gerenciamento centralizado de data centers.
• Nexus 1000 Virtual Edge for VMware • Nexus 5600 Platform Switches
vSphere
• Nexus 6000 Series Switches
• Nexus 1000V Switch for Microsoft
• Nexus 7000 Series Switches
Hyper-V
• Nexus 9000 Series Switches in
• Nexus 1000V Switch for VMware vSphere
standalone NX-OS mode
• Nexus 3000 Series Switches
• UCS 6200 Series Fabric Interconnects
• Nexus 5500 Platform Switches
• UCS 6300 Series Fabric Interconnects
Mitigação
Algumas soluções alternativas também foram divulgadas pelo Centro de Coordenação CERT,
dentre elas, está a desativação do protocolo IP-in-IP nas interfaces dos dispositivos Nexus
que não exigem esse recurso ativo e o bloqueio de pacotes IP-in-IP por filtro de campo para o
cabeçalho IP com o valor 4 — decimal que define o protocolo IP-in-IP no campo do cabeçalho.
REFERÊNCIAS
Cisco NX-OS Software Unexpected IP in IP Packet Processing Vulnerability. Cisco Security Advisories. 01 Junho 2020 //
Cisco warns: These Nexus switches have been hit by a serious security flaw. ZDNet. 02 Junho 2020 // IP Encapsulation
within IP. IETF RFC // IP-in-IP protocol routes arbitrary traffic by default. US CERT Coordination Center. 02 Junho 2020
// CVE-2020-0136. CERT Coordination Center. GitHub. 2020 // CDPwn: conjunto de vulnerabilidades é identificado em
protocolo proprietário da Cisco. Situation Report. Edição nº 126. 14 Fevereiro 2020
7 SITUATION REPORT | 05 JUNHO 2020
Identificada nova forma para burlar segundo fator de Cisco alerta clientes sobre comprometimento de seus
autenticação no LastPass servidores de simulação
Um usuário do GitHub chamado pberba publicou recentemente A Cisco emitiu um alerta no último dia 28 de maio sobre o
um artigo sobre como conduzir um ataque de phishing contra comprometimento de seis de seus servidores em nuvem. Os
usuários do popular gerenciador de senhas LastPass que usam computadores fazem parte da rede que suporta os produtos
o Yubikey como segundo fator de autenticação. de laboratório, muito usados por profissionais e estudantes
na simulação de redes usando produtos da marca.
O ataque é baseado em uma página falsa contendo um
código em JavaScript que rouba a senha do LastPass Os servidores afetados continham versões vulneráveis do
intermediando a conectividade com o site original. Assim que software SaltStack, produzido por empresa de mesmo nome
a vítima acessa o site e insere suas credenciais de acesso e muito usado na automação de atividades em ambientes
somada ao OTP do Yubikey, o script as usa para fazer o em nuvem. Segundo boletim da Cisco, os servidores foram
download de todas as senhas do usuário em um servidor sob corrigidos 8 dias após a divulgação das vulnerabilidades.
o controle do atacante.
“[F] Unicorn”: ransomware imita aplica- Trojan TrickBot adiciona novo backdoor
ção legítima de rastreio de infectados ao seu arsenal
por COVID-19
Em nova campanha de phishing relacionada ao COVID-19,
Uma nova família de malware, a “[F] Unicorn”, foi descoberta ten- o grupo criminoso por trás do infame trojan TrickBot
tando se passar por um aplicativo italiano chamado Immuni — adiciona ao arsenal da ameaça um novo módulo conhecido
aplicação de rastreamento de infectados que está sendo lançada como “BazarBackdoor”. De acordo com a análise publicada
em toda Itália (um dos países mais atingidos pelo coronavírus). nesta semana pela empresa de segurança Panda Security, a
O App funciona em segundo plano, emitindo um sinal Bluetooth campanha de phishing iniciada no mês de março, utilizou
de baixa energia para outros dispositivos, visando alertar os a plataforma de marketing Sendgrid para maximizar a
usuários da proximidade com uma pessoa infectada. disseminação da ameaça.
Os detalhes da campanha demonstram que os operadores da
O “[F] Unicorn”, identificado pelo perfil no Twitter @JamesWT_
ameaça foram bastante meticulosos, sobretudo no quesito
MHT, se espalha como uma aplicação falsa do Immuni carregada
de criação de e-mails e links de phishing incorporados aos
com um executável malicioso. O malware é distribuído sob uma
e-mails, fazendo com que eles se passem por legítimos,
falsa notificação de disponibilidade de uma versão beta do apli-
correspondendo inclusive a temática utilizada para
cativo para Desktop. Técnicas como o typosquatting, são usadas
personalizar os e-mails e, dentre os temas, o coronavírus
para induzir o usuário a clicar em um link de download do apli-
continua sendo explorado pelo grupo. Todos os e-mails
cativo, que está hospedado em uma página falsa que imita o site
possuem links para documentos supostamente hospedados no
da Federação de Farmacêuticos Italianos.
Google Docs.
Quando a vítima abre o aplicativo após a instalação, um painel
Quando a vítima clica no link, um arquivo executável
com supostas informações sobre o COVID-19 coletadas pela
responsável pelo download do backdoor é descarregado no
Universidade Johns Hopkins é exibido. Enquanto isso, o malware
dispositivo da vítima. De acordo com a Panda Security, depois
é executado em segundo plano realizando a criptografia dos
de instalado, o loader fica oculto em segundo plano enquanto
dados. Após concluir esta etapa, uma nota de resgate é exibida
se conecta a um servidor de comando e controle e, em seguida,
no computador da vítima solicitando o valor de 300 Euros pela
realiza o download do próprio BazarBackdoor.
chave de descriptografia dos dados.
A Panda Security descreve o backdoor como um “malware de
nível corporativo” e aponta algumas semelhanças (codificação,
métodos e operação) que sugerem que o BazarBackdoor tenha
sido desenvolvido pelo mesmo grupo de mantenedores do
TrickBot. Assim como em campanhas anteriores, o objetivo dos
ataques é aproveitar o aumento repentino de trabalhadores
remotos para assumir o controle de computadores
corporativos explorando a atual pandemia de COVID-19.
REFERÊNCIAS
‘[F]Unicorn’ Ransomware Impersonates Legit COVID-19 Contact-Tracing App.
ThreatPost. 27 Maio 2020 // TrickBot Adds BazarBackdoor to Malware Arsenal.
ThreatPost. 3 Junho 2020
Fonte: DottorMarc
########_ _ _////_ _
_ Re c if e
+55 81 3419 0800
Rua da Alfândega, 35
Loja 216A - 1º Piso
Bairro do Recife / Recife - PE
50030-030
_ São P a u l o
+55 11 3419 6200
_ Lond on
+44 203 818 3248
30 Dukes Place
London EC3A 7LP
_w w w . t e m p e s t . c o m . b r