Situation ISSUE

#142

Report
05 J U N
2020

Threat Intelligence Perspective

Vulnerabilidade crítica é
encontrada na plataforma
VMware Cloud Director
Cisco corrige vulnerabilidade crítica nos
switches da série Nexus

COVID-19: principais destaques do período

2 SITUATION REPORT | 05 JUNHO 2020
HORIZON

Vulnerabilidade coloca em risco infraestruturas de

gerenciamento em nuvem

O conceito de Cloud Computing é sem dúvida uma

das maravilhas proporcionadas pelo rápido avanço
da tecnologia moderna, contribuindo com a evolução
dos métodos de armazenamento e gestão de dados
tradicionais. A possibilidade de criar e gerenciar toda
uma infraestrutura de data centers na nuvem era uma
realidade intangível até pouco tempo.

Como destaque desta edição, analisamos uma

Também analisamos uma vulnerabilidade corrigida
vulnerabilidade crítica encontrada na plataforma
pela Cisco que afeta os switches da linha Nexus. Se
VMware Cloud Director, uma das plataformas líderes do
explorada com sucesso, a falha pode permitir a um
mercado para o gerenciamento de tecnologias baseadas
atacante remoto não autenticado ignorar as listas de
em nuvem. A falha permite a um invasor obter acesso
controles de acesso (ACLs) e direcionar um tráfego
total a toda uma infraestrutura de nuvens públicas e
malicioso para a rede interna ou causar um estado de
privadas suportadas pela plataforma, ao manipular o
negação de serviço (DoS) nesses dispositivos. A falha
tráfego de dados em ataques de execução arbitrária de
decorre especificamente do padrão de encapsulamento
código direcionados ao Cloud Director.
da pilha de rede do NX-OS — o protocolo IP-in-IP.

Fechamos esta edição com nossa série sobre o

COVID-19 apresentando os principais destaques do
período: em meio a pandemia, grandes ameaças como
o TrickBot continuam atualizando seu arsenal de
ferramentas; na Itália, uma nova família de ransomware
se passa por uma aplicação legítima de rastreamento de
infectados por COVID-19.

Boa leitura,

Wanessa Souza
ANALISTA DE SEGURANÇA

ACREDITAMOS QUE A CIBERSEGURANÇA

É UM DIREITO DO MUNDO.
EXPEDIENTE
E ISSO NOS DESAFIA.

Cristiano Lincoln Mattos EQUIPE

Chief Executive Officer Carlos Cabral
Pedro Victor
Renato Bezerra Wanessa Souza
Diretor de MSS

Ricardo Ulisses
Head of Threat Intelligence

conteudo@tempest.com.br
 3 SITUATION REPORT | 05 JUNHO 2020
VULNERABILIDADE

Vulnerabilidade crítica é encontrada na plataforma

VMware Cloud Director
Pedro Victor
Um invasor pode explorar a falha para obter acesso total a toda uma
infraestrutura de nuvens públicas e privadas

Uma das plataformas líderes do mercado para o 2. Apesar desses arquivos serem criptografados, as credenciais
gerenciamento de tecnologias baseadas em nuvem, a VMware podem ser facilmente recuperadas a partir do código Java
Cloud Director (vCloud Director), possui uma vulnerabilidade IEncryption manager = EncryptionManager.
crítica que permite a um invasor obter acesso total a toda uma getDefaultEncrypter(); out.println(manager.
infraestrutura de nuvens públicas e privadas suportadas pela Decrypt(“[encrypted password]”)).
plataforma, afirmou a empresa de segurança Citadelo.
3. De posse das credenciais, bastava alterar a senha me-
A vCloud Director permite a realização de diversas atividades, stre de acesso a todas as nuvens que, nesse caso, foi
dentre elas: a criação e o gerenciamento de máquinas e alterada para Password123. Isso pode ser feito através
data centers virtuais, o gerenciamento de contêineres e a de uma simples consulta SQL: UPDATE usr SET
automação de fluxos de trabalho através da integração com password=’8nmlODAJ92cQdJCqasw8YXAU2Ix-
as ferramentas vRealize Orchestrator, Terraform e Cloud +ODa3rc+5fFhEeMFV+c9iDNys+OEFtKK/0CXjIS9Ox-
Provider Pod. KlYaPdrIITYAWL0Eh/PYLwrtI8d’ WHERE user-
A falha (CVE-2020-3956) ocorre porque o vCloud Director name=’administrator’.
trata inadequadamente os dados de entrada enviados para a
plataforma. Devido a isso, é possível a um invasor manipular
o tráfego de dados direcionado ao Cloud Director para
realizar ataques de execução arbitrária de código. De acordo
com os pesquisadores, a vulnerabilidade pode ser explorada
através da Flex-based UIs (interface web para acesso do
usuário) ou fazendo chamadas as interfaces de programação
API Explorer e API access. Os pesquisadores também
afirmaram que a exploração da falha permitiu a realização de
uma série de ações:

• Visualizar o conteúdo do banco de dados interno do sistema,

incluindo hashes de senha de todos os clientes; Painel de acesso a todas as nuvens obtidas após o ataque | Fonte: Citadelo

• Modificar o banco de dados do sistema para acessar máquinas

virtuais pertencentes a organizações (clientes) distintas
alocadas em um mesmo servidor;
• Realizar a escalação de privilégios para obter acesso a todas as
contas gerenciadas pela plataforma;
• Modificar a página de login para capturar as senhas dos usuários.
Uma rápida pesquisa no mecanismo de busca Shodan apre-
sentou mais de 1.800 hosts vCloud Director potencialmente
vulneráveis. É importante ao leitor perceber que para cada host
apresentado no Shodan, pode haver centenas de computadores
e redes sendo gerenciadas sob a plataforma.

Um dos principais destaques da pesquisa é a possibilidade de

obter controle sobre todos os ambientes virtuais gerenciados
pelo vCloud Director, ou seja, administrar os servidores e má-
quinas virtuais de organizações distintas. Para isso é necessário
assumir o papel de administrador de sistema do vCloud Director.
Segundo os pesquisadores, esse feito foi possível após observar
os seguintes pontos:

1. Os dados sensíveis relacionados ao sistema são armazena-

dos em um banco de dados remoto e as credenciais desse
banco podem ser encontradas nos seguintes arquivos /
opt/vmware/vcloud-director/etc/global.
properties e /opt/vmware/vcloud-director/
etc/responses.properties;
Fonte: Tempest
4 SITUATION REPORT | 05 JUNHO 2020
VULNERABILIDADE

A vulnerabilidade está presente nas versões 10.0.x (e anteriores a 10.0.0.2), 9.7.0.x (e anterio-
res a 9.7.0.5), 9.5.0.x (e anteriores a 9.5.0.6), e 9.1.0.x (anteriores a 9.1.0.4).

Segundo os pesquisadores entre os principais afetados estão: provedores de nuvem pública e

privada; e qualquer companhia ou organização que faça uso do vCloud Director.

Após ter sido alertada da vulnerabilidade (CVSS 8,3 – crítica) em 1 de abril de 2010, a VMwa-
re corrigiu a falha nas versões 9.1.0.4, 9.5.0.6, 9.7.0.5 e 10.0.0.2.

Por fim, os pesquisadores também publicaram uma prova de conceito no GitHub.

Mitigação

A VMware emitiu uma solução alternativa para as organizações que não possam atuali-
zar imediatamente o vCloud Director. No entanto, esta solução só é aplicável às versões
9.1, 9.5, 9.7 e 10.0.

1. Faça o download do script WA_CVE-2020-3956.sh no diretório raiz de cada

vCloud Director Cell dentro do grupo de servidores.

2. Verifique se o pacote ‘zip’ está instalado no seu sistema.

2.1. O pacote zip pode ser instalado com o comando: tdnf install zip

2.2. Se o vCloud Director estiver instalado no Linux, consulte a respectiva

documentação do gerenciador de pacotes para obter informações sobre como
instalar o pacote.

3. Modifique as permissões do arquivo para nível de execução:

3.1. chown root: vcloud WA_CVE-2020-3956.sh

3.2. chmod 740 WA_CVE-2020-3956.sh

4. Execute o script: . ./ WA_CVE-2020-3956.sh

5. Certifique-se de que os atuais serviços do vCloud Director Cell estejam ativos

antes de prosseguir com a execução do script nas células (Cells) subsequentes.

5.1. tail -f /opt/vmware/vcloud-director/logs/cell.log

5.2. você deverá ver uma entrada como abaixo quando o Cell concluir a inicialização:

Successfully verified transfer spooling area: /opt/vmwa-

re/vcloud-director/data/transfer Cell startup completed in Xm
YYs

Nota:

• O script WA_CVE-2020-3956.sh reiniciará automaticamente o serviço vCloud

Director quando executado.
• Se forem encontrados problemas com a reinicialização automática do serviço
vCloud Director, você poderá fazê-lo manualmente executando o seguinte comando:

service vmware-vcd restart

REFERÊNCIAS
Critical VMware Cloud Director Flaw Lets Hackers Take Over Corporate Servers. The Hacker News. 01 Junho 2020 // Full
infrastructure takeover of VMware Cloud Director (CVE-2020-3956). Citadelo. 01 Junho 2020 // VMware vCloud Director
9.1, 9.5, 9.7, 10.0 Workaround for CVE-2020-3956 (79091). VMware. Maio 2020
 5 SITUATION REPORT | 05 JUNHO 2020
VULNERABILIDADE

Cisco corrige vulnerabilidade crítica nos switches da

série Nexus
Wanessa Souza

A falha está relacionada com o protocolo IP-in-IP e afeta o sistema operacional

de rede NX-OS

No último dia primeiro, a Cisco divulgou um comunicado de

segurança alertando sobre uma vulnerabilidade crítica em seu
software NX-OS — sistema operacional de rede utilizado por
switches da linha Nexus. Se explorada com sucesso, a falha pode
permitir a um atacante remoto não autenticado ignorar as listas
de controles de acesso (ACLs) e direcionar um tráfego malicioso
para a rede interna ou causar um estado de negação de serviço
(DoS) nesses dispositivos.

Catalogada como CVE-2020-10136, a falha decorre

especificamente do padrão de encapsulamento da pilha de rede
do NX-OS — o protocolo IP-in-IP. Esse protocolo permite que
pacotes IP sejam encapsulados (escondidos) ou agrupados dentro
de outros pacotes IP para que sejam transportados até um destino
especificado através de um túnel. O uso do encapsulamento se
dá por vários motivos, dentre eles, a possibilidade de influenciar/
alterar a rota a qual um pacote IP está destinado.
Cabeçalhos no encapsulamento IP-in-IP

De um modo geral, um invasor pode explorar essa brecha en-

viando um pacote IP-in-IP especialmente criado para um dispo-
sitivo afetado fazendo com que este desencapsule o pacote IP
externo e encaminhe o pacote IP interno ignorando os controles
de acesso do dispositivo.

Prova de conceito (PoC)

Encapsulamento e desencapsulamento com um túnel IP-in-IP | Fonte: Cisco
O pesquisador de segurança Yannay Livneh, responsável pela
descoberta da falha, publicou um código no GitHub como prova
O processo de encapsulamento IP-in-IP envolve a adição de um de conceito de exploração da vulnerabilidade. De acordo com o
novo cabeçalho IP sobre o cabeçalho IP já existente, fazendo com pesquisador, o código pode ser usado para verificar se um dis-
que o pacote encapsulado possua dois cabeçalhos: o cabeçalho positivo está vulnerável ao suporte de encapsulamento IP-in-IP
do pacote “interno” (o passageiro) e o cabeçalho do pacote “exter- por fontes arbitrárias.
no” (o portador). O endereço de origem e de destino do cabeçalho
IP do portador identificam os “pontos finais” do túnel, enquanto Para conduzir os testes, o pesquisador criou dois cenários de
os endereços de origem e destino do cabeçalho IP do passageiro exploração. O primeiro e mais simples é o modo de falsificação
identificam o remetente e o destinatário original do pacote. Vá- (spoof): neste cenário, o invasor envia um pacote IP-in-IP para
rios roteadores são usados para desencapsular, identificar o ende- uma máquina vulnerável na tentativa de entregar um pacote IP
reço original e direcionar o pacote IP interno através de tabelas no dispositivo da vítima. Um invasor não autenticado pode criar
de roteamento. uma condição de negação de serviço (DDoS) ao enviar tráfegos
não solicitados ao dispositivo da vítima repetidamente.
Em um dispositivo vulnerável, o protocolo IP-in-IP desencapsula
e processa pacotes IP originários de fontes arbitrárias e direcio-
nados a destinos arbitrários — as ACLs configuradas na interface
de entrada de um dispositivo vulnerável, inspecionam o campo
referente ao IP do pacote externo antes de ser realizado o desen-
capsulamento e não avaliam o pacote IP interno, fazendo com
Modo spoof | Fonte: Repositório CERT / CC - GitHub
que este contorne os filtros ACL e outros mecanismos de segu-
rança que avaliem apenas o cabeçalho do pacote IP do portador.
 6 SITUATION REPORT | 05 JUNHO 2020
VULNERABILIDADE

O segundo cenário é o modo de desvio (bypass): de forma similar ao primeiro, um invasor envia
um pacote IP-in-IP para um dispositivo vulnerável que irá receber e desencapsular o pacote IP
do portador e encaminhar o pacote IP interno para a máquina da vítima. Neste modo, o pacote
interno possui o endereço IP de um segundo dispositivo cujo o invasor possui acesso, e com o
qual será possível realizar consultas via SNMP — protocolo de gerência de redes — no dispositi-
vo da vítima. Para este cenário presume-se que o dispositivo da vítima possua o SNMP ativo.

Modo bypass | Fonte: Repositório CERT / CC - GitHub

Segundo o comunicado da Cisco, a exploração da vulnerabilidade só pode ser acionada por

meio de pacotes IP — exclusivamente IPv4 (portador e passageiro) — em um tráfego destina-
do a um dispositivo vulnerável.

A falha afeta especificamente os dispositivos da série Nexus, que são switches projetados para
data centers: 1000, 5500, 5600, 6000 e 7000, incluindo algumas versões das séries 3000 e
9000. Também são afetadas as versões 6200 e 6300 do sistema de computação unificado da
Cisco (UCS) — linha de produtos que permitem o gerenciamento centralizado de data centers.

• Nexus 1000 Virtual Edge for VMware • Nexus 5600 Platform Switches
vSphere
• Nexus 6000 Series Switches
• Nexus 1000V Switch for Microsoft
• Nexus 7000 Series Switches
Hyper-V
• Nexus 9000 Series Switches in
• Nexus 1000V Switch for VMware vSphere
standalone NX-OS mode
• Nexus 3000 Series Switches
• UCS 6200 Series Fabric Interconnects
• Nexus 5500 Platform Switches
• UCS 6300 Series Fabric Interconnects

Mitigação

A Cisco lançou atualizações de software para corrigir a vulnerabilidade CVE-2020-10136

informando não ter evidências de que a vulnerabilidade esteja sendo explorada ativamente.
Entre as soluções alternativas propostas pela Cisco, estão o uso de listas de controle de aces-
so de proteção à infraestrutura (iACLs) e o uso de políticas de controle personalizado (CoPP).

Algumas soluções alternativas também foram divulgadas pelo Centro de Coordenação CERT,
dentre elas, está a desativação do protocolo IP-in-IP nas interfaces dos dispositivos Nexus
que não exigem esse recurso ativo e o bloqueio de pacotes IP-in-IP por filtro de campo para o
cabeçalho IP com o valor 4 — decimal que define o protocolo IP-in-IP no campo do cabeçalho.

Em fevereiro deste ano, analisamos na edição nº 126 do Situation Report, um conjunto de

vulnerabilidades críticas apelidadas de CDPwn no Cisco Discovery Protocol (CDP), que está
presente em quase todos os sistemas e dispositivos desenvolvidos pela Cisco. Duas das cinco
falhas descobertas por pesquisadores de segurança da Armis, são relacionadas a implementa-
ção do protocolo CDP no sistema operacional NX-OS.

REFERÊNCIAS
Cisco NX-OS Software Unexpected IP in IP Packet Processing Vulnerability. Cisco Security Advisories. 01 Junho 2020 //
Cisco warns: These Nexus switches have been hit by a serious security flaw. ZDNet. 02 Junho 2020 // IP Encapsulation
within IP. IETF RFC // IP-in-IP protocol routes arbitrary traffic by default. US CERT Coordination Center. 02 Junho 2020
// CVE-2020-0136. CERT Coordination Center. GitHub. 2020 // CDPwn: conjunto de vulnerabilidades é identificado em
protocolo proprietário da Cisco. Situation Report. Edição nº 126. 14 Fevereiro 2020
7 SITUATION REPORT | 05 JUNHO 2020

Perfis brasileiros do Anonymous que há anos estavam

dormentes foram reativados
Contas brasileiras ligadas ao movimento Anonymous que
estavam inativas há, pelo menos, dois anos passaram a
publicar conteúdo no último fim de semana. A movimentação
tem relação direta com os protestos anti racistas que se
espalham pelos Estados Unidos e que, no dia 31 de maio
se concentraram em frente à Casa Branca. Conteúdo com
hashtags como #dcblackout foi postado pelas contas do
movimento e propagado por seus seguidores.
Até o fechamento dessa edição não há evidências de
que ataques contra entidades brasileiras estejam sendo
planejados. No entanto, a reativação das contas em um dos
momentos mais acirrados da crise política brasileira cria
uma câmara de eco favorável à adesão de voluntários em
operações contra organizações no país, a exemplo do que
aconteceu recentemente na Nicarágua e na Bolívia.

Identificada nova forma para burlar segundo fator de
autenticação no LastPass
Um usuário do GitHub chamado pberba publicou recentemente
um artigo sobre como conduzir um ataque de phishing contra
usuários do popular gerenciador de senhas LastPass que usam
o Yubikey como segundo fator de autenticação.
O ataque é baseado em uma página falsa contendo um
código em JavaScript que rouba a senha do LastPass
intermediando a conectividade com o site original. Assim que
a vítima acessa o site e insere suas credenciais de acesso
somada ao OTP do Yubikey, o script as usa para fazer o
download de todas as senhas do usuário em um servidor sob
o controle do atacante.
Cisco alerta clientes sobre comprometimento de seus
servidores de simulação
A Cisco emitiu um alerta no último dia 28 de maio sobre o
comprometimento de seis de seus servidores em nuvem. Os
computadores fazem parte da rede que suporta os produtos
de laboratório, muito usados por profissionais e estudantes
na simulação de redes usando produtos da marca.
Os servidores afetados continham versões vulneráveis do
software SaltStack, produzido por empresa de mesmo nome
e muito usado na automação de atividades em ambientes
em nuvem. Segundo boletim da Cisco, os servidores foram
corrigidos 8 dias após a divulgação das vulnerabilidades.

Centenas de gigabytes roubados pelo Azorult estão à

venda por 950 dólares
Uma pasta contendo 330GB em dados coletados pelo Azorult
está sendo anunciada por 950 dólares em fórum. A ameaça
foi originalmente identificada em 2016 como um information
stealer focado em roubar senhas, dados de cartões de
pagamento e credenciais de acesso bancárias no navegador
da vítima.
O preço baixo para um pacote deste tamanho é algo que
tem intrigado a comunidade técnica. Embora haja indícios
de que o Azorult esteja em uso por múltiplos grupos, não
há indicações que a ameaça tenha se tornado obsoleta,
pois melhorias em seus módulos foram documentadas em
abril. Provavelmente se trata de informações antigas e/ou
reutilizadas por muitos indivíduos.
 8 SITUATION REPORT | 05 JUNHO 2020
PESQUISA
COVID-19: principais destaques do período
Wanessa Souza
Em meio a pandemia, grandes ameaças como o TrickBot continuam atualizando seu
arsenal de ferramentas; na Itália, uma nova família de ransomware se passa por uma
aplicação legítima de rastreamento de infectados por COVID-19
“[F] Unicorn”: ransomware imita aplica-
ção legítima de rastreio de infectados
por COVID-19
Uma nova família de malware, a “[F] Unicorn”, foi descoberta ten-
tando se passar por um aplicativo italiano chamado Immuni —
aplicação de rastreamento de infectados que está sendo lançada
em toda Itália (um dos países mais atingidos pelo coronavírus).
O App funciona em segundo plano, emitindo um sinal Bluetooth
de baixa energia para outros dispositivos, visando alertar os
usuários da proximidade com uma pessoa infectada.
O “[F] Unicorn”, identificado pelo perfil no Twitter @JamesWT_
MHT, se espalha como uma aplicação falsa do Immuni carregada
com um executável malicioso. O malware é distribuído sob uma
falsa notificação de disponibilidade de uma versão beta do apli-
cativo para Desktop. Técnicas como o typosquatting, são usadas
para induzir o usuário a clicar em um link de download do apli-
cativo, que está hospedado em uma página falsa que imita o site
da Federação de Farmacêuticos Italianos.
Quando a vítima abre o aplicativo após a instalação, um painel
com supostas informações sobre o COVID-19 coletadas pela
Universidade Johns Hopkins é exibido. Enquanto isso, o malware
é executado em segundo plano realizando a criptografia dos
dados. Após concluir esta etapa, uma nota de resgate é exibida
no computador da vítima solicitando o valor de 300 Euros pela
chave de descriptografia dos dados.
Fonte: DottorMarc
Trojan TrickBot adiciona novo backdoor
ao seu arsenal
Em nova campanha de phishing relacionada ao COVID-19,
o grupo criminoso por trás do infame trojan TrickBot
adiciona ao arsenal da ameaça um novo módulo conhecido
como “BazarBackdoor”. De acordo com a análise publicada
nesta semana pela empresa de segurança Panda Security, a
campanha de phishing iniciada no mês de março, utilizou
a plataforma de marketing Sendgrid para maximizar a
disseminação da ameaça.
Os detalhes da campanha demonstram que os operadores da
ameaça foram bastante meticulosos, sobretudo no quesito
de criação de e-mails e links de phishing incorporados aos
e-mails, fazendo com que eles se passem por legítimos,
correspondendo inclusive a temática utilizada para
personalizar os e-mails e, dentre os temas, o coronavírus
continua sendo explorado pelo grupo. Todos os e-mails
possuem links para documentos supostamente hospedados no
Google Docs.
Quando a vítima clica no link, um arquivo executável
responsável pelo download do backdoor é descarregado no
dispositivo da vítima. De acordo com a Panda Security, depois
de instalado, o loader fica oculto em segundo plano enquanto
se conecta a um servidor de comando e controle e, em seguida,
realiza o download do próprio BazarBackdoor.
A Panda Security descreve o backdoor como um “malware de
nível corporativo” e aponta algumas semelhanças (codificação,
métodos e operação) que sugerem que o BazarBackdoor tenha
sido desenvolvido pelo mesmo grupo de mantenedores do
TrickBot. Assim como em campanhas anteriores, o objetivo dos
ataques é aproveitar o aumento repentino de trabalhadores
remotos para assumir o controle de computadores
corporativos explorando a atual pandemia de COVID-19.
REFERÊNCIAS
‘[F]Unicorn’ Ransomware Impersonates Legit COVID-19 Contact-Tracing App.
ThreatPost. 27 Maio 2020 // TrickBot Adds BazarBackdoor to Malware Arsenal.
ThreatPost. 3 Junho 2020
 ########_ _ _////_ _

_ Re c if e
+55 81 3419 0800

Rua da Alfândega, 35
Loja 216A - 1º Piso
Bairro do Recife / Recife - PE
50030-030

_ São P a u l o
+55 11 3419 6200

Av. Lavandisca, 777

Moema/São Paulo - SP
04515-011

_ Lond on
+44 203 818 3248

30 Dukes Place
London EC3A 7LP

_w w w . t e m p e s t . c o m . b r