A execução remota de código (RCE) é a execução de código arbitrário em um sistema de computador em que o invasor não tem acesso direto ao console. Ao explorar as vulnerabilidades, um hacker remoto pode assumir o controle total do sistema. É o caso das falhas de segurança no Confluence e no Azure.
Por exemplo, qualquer usuário que tenha acesso a um endpoint com uma versão de software vulnerável pode executar comandos arbitrários por meio de uma solicitação HTTP sem exigir um cabeçalho de autorização. A resposta esperada para essa solicitação seria uma página de resposta 401 "Não autorizado". No entanto, o usuário pode executar comandos com privilégios de "raiz". Essas ameaças já foram identificadas durante o ataque da Equifax em 2017.
Duas vulnerabilidades descobertas recentemente são os desenvolvimentos mais recentes nesse tipo de ataque: a vulnerabilidade de injeção Atlassian Confluence OGNL e uma vulnerabilidade que afeta a infraestrutura de gerenciamento aberto do Azure (OMI). Os pesquisadores de segurança da Barracuda analisaram ataques que tentavam explorar essas vulnerabilidades durante um período de 45 dias em agosto e setembro de 2021 e identificaram picos de ataque originários de mais de 500 IPs de invasores exclusivos. A seguir, uma análise mais detalhada dessas vulnerabilidades, padrões de ataque recentes e soluções que as organizações podem usar para se proteger contra esses tipos de ataques.
Vulnerabilidades do Confluence e do Azure em detalhes
1. Vulnerabilidade de injeção de OGNL do Atlassian Confluence
A vulnerabilidade do Atlassian Confluence OGNL Injection foi divulgada pela primeira vez pela Atlassian em 25 de agosto de 2021. Pouco tempo depois, foi adicionado ao Banco de Dados Nacional de Vulnerabilidade (CVE-2021-26084). Essa vulnerabilidade permite que os agentes de ameaças enviem uma solicitação "POST" usando o mecanismo de modelo do Confluence sem um cabeçalho de autorização. Isso dá ao agente da ameaça acesso “root” ao sistema. Os invasores podem injetar código Java por meio dos parâmetros "queryString" e "linkCreation".
A Atlassian anunciou que "todas as versões do Confluence Server e Data Center anteriores às versões corrigidas são afetadas por esta vulnerabilidade." Analisando dados do final de agosto até o final de setembro, os pesquisadores de segurança da Barracuda determinaram que os ataques às vulnerabilidades do Confluence dispararam e permanecem em alta níveis, pois muitos usuários do Confluence ainda possuem uma versão vulnerável do software.
2. Vulnerabilidade na infraestrutura de gerenciamento aberto do Azure (OMI)
O Azure lançou o CVE-2021-38647 em 15 de setembro de 2021. Essa vulnerabilidade afeta o Azure Open Management Infrastructure (OMI). O Azure OMI é um agente de software silenciosamente pré-instalado e implantado em ambientes de nuvem. Essa instalação silenciosa agora coloca os clientes do Azure em risco até que atualizem seus sistemas para a versão mais recente do OMI.
Os invasores visam esses sistemas enviando uma mensagem HTTPS especialmente criada para uma das portas que escutam o tráfego OMI (portas 1270/5985/5986), dando ao invasor acesso inicial ao computador. Os comandos enviados pelo invasor são executados pelo serviço SCXcore, permitindo que o invasor explore as vulnerabilidades. O invasor pode emitir um comando sem um cabeçalho de autorização para o computador, no qual o servidor OMI confia e concede ao invasor acesso "root" ao sistema. A Microsoft explicou em seu blog: "O ExecuteShellCommand RunAsProvider executa qualquer comando UNIX/Linux por meio do shell /bin/sh".
Os invasores visam precisamente a vulnerabilidade
Analisando os dados dos sistemas Barracuda de meados de setembro, os pesquisadores de segurança do Barracuda notaram um aumento acentuado no número de invasores tentando explorar essa vulnerabilidade. Após o pico inicial em 18 de setembro, o número de tentativas de ataque diminuiu, mas esse pico continuou e se nivelou com o tempo.
A análise de ataques da Barracuda durante o período de 45 dias em agosto e setembro descobriu 550 IPs de invasores exclusivos tentando explorar a vulnerabilidade do Atlassian Confluence e 542 IPs de invasores exclusivos tentando explorar a vulnerabilidade de exploração do Azure OMI. Havia vários invasores por trás de cada IP, o que significa que o número de ataques foi significativamente maior do que o número de IPs. Os pesquisadores descobriram essas informações usando impressões digitais do cliente e outras técnicas.
A análise mostra a maioria dos IPs do invasor
Como pode ser visto no mapa de calor acima, a maioria dos IPs de invasores está localizada nos EUA, incluindo o Alasca. Isso pode ser devido ao fato de que a maioria dos farms de servidores está localizada nessas regiões. Ataques também foram enviados de países como Rússia, Reino Unido, Polônia e Índia. Invasores de todo o mundo estão tentando explorar essas vulnerabilidades, e as organizações precisam ficar à frente para proteger seus aplicativos da web.
As empresas devem proteger os aplicativos da web
Devido ao crescente número de vulnerabilidades em aplicações web, está se tornando cada vez mais complexo se defender contra ataques. No entanto, agora existem soluções completas que protegem os aplicativos da Web de explorar essas vulnerabilidades. As soluções WAF/WAF-as-a-Service, também conhecidas como serviços WAAP (Web Application and API Protection), podem ajudar a proteger os aplicativos da web fornecendo todas as soluções de segurança mais recentes em um único produto fácil de usar.
Com muitos funcionários trabalhando remotamente e muitos aplicativos online, a necessidade de uma solução WAF-as-a-Service ou WAAP nunca foi tão grande. As empresas, portanto, precisam garantir que tenham uma solução que inclua mitigação de bot, proteção contra DDoS e segurança de API.
Sobre a Barracuda Networks
A Barracuda se esforça para tornar o mundo um lugar mais seguro e acredita que todas as empresas devem ter acesso a soluções de segurança em toda a empresa habilitadas para nuvem que sejam fáceis de adquirir, implantar e usar. A Barracuda protege e-mail, redes, dados e aplicativos com soluções inovadoras que crescem e se adaptam ao longo da jornada do cliente. Mais de 150.000 empresas em todo o mundo confiam na Barracuda para que possam se concentrar no crescimento de seus negócios. Para mais informações, visite www.barracuda.com.
Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais
A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais
