Bug via IPV6 derruba roteadores Mikrotik

Os roteadores Mikrotik, muito populares entre os provedores de acesso, têm um problem grave segundo um pesquisador: eles podem ser derrubados por meio de um acesso via IPV6. O problema não é novo: ele foi informado à empresa em Abril do ano passado, mas até agora a Mikrotik não corrigiu o problema. Agora, o pesquisador que descobriu a falha, Marek Isalski, vai publicá-la na conferência UK Network Operators’ Forum, dia 9 de Abril, em Manchester, Inglaterra.

O problema está no sistema operacional RouterOS V7, e já tem até CVE reservado: é o CVE-2018-19299. O problema ganhou um score de 9.3 no CVSS. Segundo Isalski, a Mikrotik fez mais de 20 updates depois da comunicação dele, e não trouxe uma solução para esse problema alegando que é bug e não vulnerabilidade de segurança. De acordo com um post no fórum de usuários da MikroTik, a vulnerabilidade é “um problema de exaustão de memória. Você envia um pacote v6 formado de certa forma para um roteador Mikrotik e o kernel vaza um pouco de memória. Quando a memória se esgota,  o watchdog reinicia o dispositivo. Não há como barrar com firewall, porque seja qual for a característica que causa o problema ele pode ser criado com qualquer pacote IPv6”.

O pesquisador conta que o problema permite a um atacante remoto derrubar qualquer dispositivo Mikrotik caso possa acessá-lo via IPv6. “Mesmo com o firewall, você ainda é um pato sentado”, afirma. Num post no forum da Mikrotik, ele fez uma convocação aos colegas: “Como uma comunidade, é absolutamente crítico que nós pressionemos o Mikrotik para uma solução deste problema como uma questão de extrema urgência. As conseqüências de que isto vaze antes de uma correção estar disponível seria desastrosa para todos nós. Todos prestem atenção e ajudem a garantir que o Mikrotik entenda como esse problema é crítico”.

Embora a publicação ainda não tenha sido feita, o problema já está inquietando provedores. Por conta disso, o engenheiro Antonio Marcos Moreiras, do NiC BR e um dos evangelistas do IPv6 no Brasil, gravou um vídeo recomendando que ninguém se precipite. Assista:

Toyota comunica invasão da rede em Tóquio

A Toyota está na mira dos hackers: depois de uma invasão da sua operação na Austrália em fevereiro, agora é a vez do Japão. A empresa publicou sexta-feira um comunicado informando que os dados de 3,1 milhões de clientes podem ter vazado. O que aconteceu na verdade é que houve acesso não autorizado na rede das subsidiárias em Tóquio, as quais dão acesso a um servidor que armazena dados de clientes.

A empresa afirma que não foram expostos dados de cartões de crédito mas há outras informações sensíveis que podem ter vazado. Por enquanto, a Toyota admite somente que houve acesso não-autorizado na rede, sem confirmar o vazamento dos dados.

Em fevereiro, o ataque paralisou o site da empresa em Melbourne e outros todos os outros meios de comunicação, inclusive sua rede telefônica e seu servidor de e-Mails.

O comunicado da Toyota diz o seguinte:

Aviso da possibilidade de vazamento de informações do cliente em nossos revendedores da área de Tóquio

Em 21 de março de 2019, nossas subsidiárias de vendas Toyota Tokyo Holdings, Tokyo Motor, Toyopet, Toyota Corolla, Redes Toyota Tokyo, além das empresas Lexus Koishikawa Sales, Jamil Shoji (Lexus Nerima) e Toyota Oeste Tóquio Corolla registraram acesso não-autorizado à rede e a um servidor conectado à rede. Descobriu-se que até 3,1 milhões de itens de informações de clientes podem ter vazado para fora da empresa. As informações que podem ter vazado desta vez não incluem informações sobre cartões de crédito.

Não confirmamos neste momento o fato de que informações do cliente vazaram, mas continuaremos a conduzir pesquisas detalhadas, priorizando a segurança e a segurança do cliente.

Pedimos desculpas a todos que estiveram usando veículos Toyota e Lexus pela grande preocupação.

Levamos essa situação a sério e implementaremos medidas de segurança da informação nas concessionárias e em todo o Grupo Toyota.

Hackers anunciam invasão do site Hospital das Clínicas

Aviso no site do HC até as 13h de hoje

Dois hackers publicaram há 36 horas informações alegando que invadiram cinco servidores http relacionados à Faculdade de Medicina da Universidade de São Paulo. As informações, se confirmadas,  indicam que os cinco servidores têm vulnerabilidades graves. Um deles, o do Hospital das Clínicas da USP, esteve inoperante pelo menos até as 13h30 de hoje para o público externo, com uma tela avisando “site em manutenção”; o servidor que atende, entre outros departamentos, o de Psiquiatria, em http://hcnet.usp.br, estava desconectado da Internet.

O Cisoadvisor entrou em contato por telefone e por e-Mail com a assessoria de imprensa do Hospital das Clínicas, solicitando esclarecimentos para a manutenção do site do HC e para o downtime do hcnet. O retorno foi dado por e-Mail às 21h06, com a seguinte nota: “O HCFMUSP informa que houve uma tentativa de invasão a seu site, mas a própria estrutura de segurança do HC impediu o acesso a dados sensíveis da instituição, como informações sobre pacientes. O próprio HCFMUSP retirou momentaneamente sua página do ar para garantir a segurança e avaliar detalhadamente a tentativa de ataque”. A home page do hospital continua exibindo, neste momento, a tela “site em manutenção” com apenas um link em funcionamento, conduzindo à página de resultados de exames.

Em posts nos sites Zone-H e Pastebin, dois hackers publicaram informações indicando que comprometeram os seguintes servidores:

  • http://www.hc.fm.usp.br
  • http://hcnet.usp.br
  • http://autoatendimento.hc.fm.usp.br
  • http://resultados.hc.fm.usp.br
  • http://cirurgiaconvenio.hc.fm.usp.br

Nos posts foram publicados detalhes supostamente desses servidores, entre os quais os nomes de 111 tabelas, os nomes de quatro colunas de uma dessas tabelas, com indicação do tipo de dado contido, além de uma lista de 22 usuários do sistema, com seu número de matricula, nome do usuário e senha, tudo em texto aberto. Os três últimos servidores estavam em operação quando fizemos a consulta ao endereço. Em todos, contudo, hove desfiguração, publicada no Zone-H.

Os hackers publicaram ainda detalhes de sistema operacional e gerenciador de banco de dados, incluindo a sua versão.

Pesquisa mostra negligência total em senhas


O pesquisador de segurança brasileiro Renato Borbolla colecionou 211 mil pares de logins e senhas vazados na Internet e começou a examinar a natureza do conteúdo, principalmente das senhas. As descobertas que ele fez indicam não só descaso mas, principalmente, negligência dos usuários em relação ao assunto. Um dos indicadores está na lista das dez senhas mais utilizadas. Assista a entrevista e entenda a pesquisa.

Senha Repetição %
123456 825 0,39%
password 454 0,21%
barosan 348 0,16%
ilshofen0926 236 0,11%
123456789 223 0,11%
withoutu 223 0,11%
qaz123 207 0,10%
12345678 191 0,09%
qwerty 171 0,08%
football 149 0,07%

Como um ransomware pegou a Norsk Hydro pelo AD

Alerta sobre o problema na entrada da empresa

Hoje é sexta-feira, são 5 da tarde no Brasil e 9 da noite em Oslo, capital da Noruega. Na sede da Norsk Hydro, empresa com mais de 100 anos e 35 mil funcionários, tem um monte de gente trabalhando (embora isso não seja um hábito nos países nórdicos). Essas pessoas estão tentando desatar o nó causado pelo ransomware que atacou a empresa na terça-feira passada. 

Já são quatro dias de batalha e a empresa admite que ainda não é possível determinar quando as operações retornarão à normalidade. Como também é cedo para avaliar os exatos impactos financeiro e operacional. A Hydro é um dos maiores produtores de alumínio do mundo e um impacto em sua produção se reflete na estratégia industrial de muitos países. Inclusive do Brasil. Aqui, a Hydro tem uma operação em Barcarena (PA) chamada Alunorte, onde processa bauxita e produz alumina. Segundo a empresa, a produção da Alunorte não foi prejudicada e ela opera dentro da normalidade.

Ataque direcionado

Gente do mundo inteiro está trabalhando para resolver o problema já que a Hydro decidiu não gastar nenhum centavo de Euro para pagar os criminosos, até porque ela é uma empresa que tem ações na bolsa e não pode se curvar desse jeito ao crime. As primeiras suspeitas indicam que esse ataque foi cuidadosamente planejado para a Norsk Hydro e por isso há policiais noruegueses e da Europol investigando o assunto.

Na minha modesta opinião, o problema não é só da Norsk Hydro. A dimensão dele tem alcance global e deve causar enorme preocupação em todas as corporações, independente do tamanho que tenham.

Nenhum antivírus pegou

O fato de ter sido contaminada pelo ransomware Lockeroga não implica qualquer descuido ou negligência da empresa. Esse mesmo ransomware atacou uma companhia francesa em Janeiro, e ainda não se sabe como ele entrou na Hydro. Mas já é possível afirmar que ele não estava sendo detectado por nenhum antivírus ou qualquer outra solução de proteção de endpoint.

Essa revelação foi feita pelo especialista inglês Kevin Beaumont no dia 8 de Março. Ele capturou uma amostra desse ransomware e enviou ao Virustotal para verificar que solução podia detectá-lo. Descobriu nesse momento que NENHUMA das 67 soluções detectava aquele código. Ele conta que comentou isso no Twitter, que discutiu o assunto com outras pessoas e tentou entrar em contato, sem sucesso, com fabricantes de antivírus para fazer um alerta. Mas não conseguiu, conforme revelou no seu Twitter.

Num artigo que escreveu para o portal Doublepulsar, publicado na manhã de hoje,  ele conta que todos os sistemas atingidos pelo LockerGoga tinham quatro características-chaves: 1) todos rodavam Microsoft Windows; 2) todos os arquivos, incluindo alguns de sistemas, foram criptografados; 3) todas as interfaces de rede nos sistemas foram desabilitadas; e 4) foram alteradas as senhas em todas as contas de usuários locais.

Office 365 salvou

Apesar de os sistemas estarem comprometidos, a empresa continuou se comunicando por e-mail porque utiliza o Office 365 e portanto essa parte não foi afetada. Para comunicação com o público externo foi utilizada a página da empresa no Facebook, já que o seu site ficou fora do ar. A seguir foi levantado um site temporário na nuvem Azure, da Microsoft. Depois, o DNS foi movido para o Cloudflare, para ficar protegido de DDoS.

O certificado digital utilizado para assinar o ransomware, segundo Kevin, havia sido usado para assinar também outros códigos maliciosos. Nesse caso, ele foi emitido para uma empresa que tinha um capital de apenas uma libra. Depois de ser informada desse fato a autoridade certificadora revogou o certificado é claro.

Cópia foi feita pelo AD

Pela análise do especialista inglês, o LockerGoga não tem código apropriado para se reproduzir ou se propagar. Quer dizer que não pode se auto-replicar numa rede como outros ransomwares como o WannaCry ou o Notpetya.

A hipótese de Belmont é que para isso os atacantes buscaram obter credenciais do AD, o Active Directory dos servidores Windows. É possível, segundo ele, que tenham sido usados tarefas ou serviços agendados. Uma vez dentro da rede, ele supõe, seria necessário ter privilégios de administrador de domínio para fazer o ataque. Normalmente, nas empresas e isso é extremamente fácil segundo o especialista, simplesmente pescando logins fora da memória utilizando o software Mimikatz. Ou pegando senhas do Active Directory Group Policy Preferences, que ele supõe estarem nos arquivos XML, “na verdade a ‘carne-de-vaca’ dos Red Teams”.

Como quer que tenha ocorrido, afirma Kevin, os criminosos tinham  a administração do domínio. Estando nessa condição, segundo ele, é possível colocar o executável num local onde todos os sistemas da organização possam alcançá-lo, e com a vantagem de os firewalls das organizações normalmente aceitarem todo o tráfego interno.

Proteção de endpoind

Feito isso, supõe Kevin, o ataque estava resolvido, mas poderia ser bloqueado por qualquer solução de proteção de endpoint. Só que elas não tinham a informação para deter o LockerGoga.

Segundo Kevin Beaumont, uma das possibilidades é também colocar o arquivo num Domain Controller, dentro da pasta de share do NETLOGON, debaixo do SYSVOL, que é replicado dentro de todos os sites de um controlador de domínio. Depois, pode-se usar uma política de grupo (como a criação de tarefas agendadas) para automaticamente iniciar o executável do LockerGoga.

A seguir, qualquer laptop, desktop e servidor conectado ao Active Directory executa o software malicioso, afirma  o especialista.

 

Hacker brasileiro é condenado e vai para a cadeia nos EUA

Um brasileiro identificado como Billy Ribeiro Anderson, citado também como Anderson Albuquerque em seu processo, foi condenado a ficar três meses na cadeia em Nova York por ter desfigurado sites de interesse do governo dos EUA. Utilizando o apelido de “Alfabeto Virtual”, Anderson foi identificado como o autor de aproximadamente 11 mil desfigurações de sites hospedados em vários países, principalmente EUA e Brasil. Seu advogado chegou a fazer um pedido para que ele não fosse preso mas o juiz resolveu prendê-lo para “enviar uma mensagem” a outros ‘hackers’.

As desfigurações que o mandaram para a cadeia foram duas: nos sites do Centro de Combate ao Terrorismo da Academia Militar do Exército em West Point, e na controladoria de finanças de Nova York. Anderson tem 42 anos e mora em Torrance, Califórnia. Depois dos ataques, ele andou contando seus feitos em um fórum de hackers. Mas quando derrubou o site do controller da cidade de Nova York por quase dois dias em 2015, deixando seu pseudônimo no site, e invadiu outro pertencente à academia militar West Point no ano seguinte, as autoridades decidiram pegá-lo.

Anderson foi condenado a pagar um total de US$ 12.804 para cobrir os custos de correção dos sites do governo. Notando que ele havia expressado remorso por suas ações, a juíza distrital de Manhattan, Laura Swain, deu a ele muito menos tempo na prisão do que os 12 a 18 meses que o promotor havia recomendado.

Anderson pediu desculpas por suas ações e disse que o julgamento lhe deu uma pausa para pensar. O caso foi notável pelo nível de rancor entre os procuradores do governo e os advogados de Anderson. Em um dos autos, seu advogado se queixou de que “um dos aspectos mais intrigantes do pleito do governo é seu tom e seu tom francamente vingativo”. Isso não é surpresa: um dos promotores do governo disse ao tribunal que Anderson se ofereceu para cooperar a fim de reduzir sua sentença prometendo informações sobre outros hackers, incluindo suas identidades reais. Mas nenhuma das informações que ele forneceu levou a novos casos ou prisões, explicou o promotor.

Além dos três meses na prisão, Anderson está condenado a três anos de liberdade supervisionada e a 200 horas de serviço comunitário.

 

Banco da Venezuela, vulnerável, está invadido

A infraestrutura do Banco Venezolano de Crédito na internet está comprometida: os servidores da instituição financeira, fundada em 1925, uma das maiores do país, foram contaminados por hackers. Eles injetaram scripts para que os servidores trabalhem na ‘mineração’ de criptomoedas, enviando a eles os resultados da ‘mineração’. Essa atividade foi programada para ocupar 95% do tempo de processamento dos servidores. Para os clientes, a sensação é de que os servidores estão apenas lentos demais. Nesta manhã, por essa causa ou mais algumas outras, o endereço não responde nem ao Ping.

A descoberta foi feita por um pesquisador não-identificado, por meio de uma rede de honeypots ligada ao site Def-Con Lab, que publicou também um relatório detalhado sobre o assunto.

Segundo o relatório, “Recentemente registramos atividade direcionada a sensor que apresentou discrepância entre o comportamento observado e a a origem do incidente. A tentativa de acesso a portas não convencionais em um servidor que não possui serviço anunciado, é por si indicador de atividade questionável. Uma ação observada de forma persistente nos últimos meses é a mineração de criptomoedas em algumas portas específicas”.

“Em virtude disso, passamos a observar esse comportamento com maior atenção. Em um caso concreto, além de ação maliciosa, a origem da conexão foi determinante para que o sistema indicasse um alerta.
Incidente

O endereço IP 190.93.44.XX, do Banco Venezolano de Crédito, instituição financeira de médio porte da Venezuela, o qual possui 103 agências e mais de 7.000 funcionários, apresentou comportamento malicioso. Pela origem em uma instituição financeira, optamos por averiguar em maior detalhe o endereço IP referido.

Em análise detalhada do endereço IP 190.93.44.XX observamos a presença de página de configuração JBoss acessível sem qualquer filtro de origem.”

A vulnerabilidade do servidor permitiu o acesso não só à configuração JBoss como a vários outros recursos, indicando enorme fragilidade na infraestrutura da instituição bancária. Leia o relatório completo em

Banco Venezuelano e Criptomoedas (mas não do jeito certo)

 

 

 

Perfil fake do Bradesco oferecia fim-de-semana na praia

A imagem foi obtida de um vídeo publicado noTwitter

O Instagram removeu hoje de sua rede um perfil falso do Bradesco. O perfil estava oferecendo o sorteio de um fim-de-semana na praia em troca de um cadastro bem simples do usuário: número da agência, número da conta e dígito verificador, senha de quatro dígitos de acesso à internet e número do celular.

Precisa mais?

Até que a conta fosse removida, ela conseguiu cerca de 44 mil visualizações.

Tela do golpe

A suposta promoção havia isido ilustrada com uma imagem do Hotel Essenza, um resort na cidade de Jericoacoara, no Ceará. A imagem, por sua vez, sequer era uma foto: era apenas um dos quadros de um vídeo de 30 segundos feito na piscina do hotel e publicado no perfil de um jovem brasileiro no Twitter.

O perfil foi desativado por volta de 14h45, após o jornalista Daniel Praciano, do Diário do Nordeste, ter alertado o Instagram. Ao jornalista, o Instagram enviou a seguinte nota: [quote]A segurança da comunidade do Instagram é nossa prioridade. A conta foi removida assim que nos foi reportada. Encorajamos as pessoas a denunciarem quaisquer atividades suspeitas no Instagram por meio das nossas ferramentas de denúncia e fiquem sempre atentos à segurança de suas contas. Jamais compartilhe senhas com terceiros[/quote]

O golpe foi feito com telas assinadas com o logotipo Bradesco Exclusive, uma área do banco destinada a clientes com renda entre R$ 4 mil e R$ 10 mil ou investimentos a partir de R$ 40 mil.

 

Trojan pega carona em antivírus e software bancário

Pesquisadores da empresa Cybereason descobriram que há uma nova campanha do trojan Astaroth atingindo o Brasil. É um trojan extremamente sofisticado, que faz o roubo de credenciais e outros dados do usuário, e que na contaminação da máquina pode utilizar-se até mesmo de um arquivo de um antivírus ou de um plugin bancário para executar o roubo. A versão descoberta pelos pesquisadores da Cybereason utilizava um arquivo do Avast e também de um software de segurança da Diebold Nixdorf, desenvolvido pela extinta GAS Tecnologia, embora possa utilizar arquivos de outras aplicações.

A Avast enviou ao Ciso Advisor o seguinte comunicado: “Tomamos conhecimento hoje sobre essa variante do trojan Astaroth analisada no relatório da Cybereason. Os autores fazem uso indevido de um binário confiável para executar o malware. Neste caso, eles usaram um processo Avast, provavelmente devido ao tamanho de nossa base de usuários no Brasil. Uma coisa importante a considerar é que isso não é uma injeção nem uma escalada de privilégios: os binários do Avast instalados possuem mecanismos de autoproteção para evitar injeções. Nesse caso, eles estão usando um arquivo Avast para executar um binário do mesmo modo que uma DLL usa o rundll32.exe do Windows. Já havia sido publicada uma detecção do malware para que todos os usuários do Avast fossem protegidos dessa variante. Além disso, iremos implementar mudanças em nosso ambiente para garantir que o mesmo processo não possa ser utilizado dessa maneira no futuro”.

Os desenvolvedores do trojan certamente usaram essa estratégia para economizar trabalho e código: pegam uma carona no antivírus que tem a maior base instalada no Brasil, com cerca de 44 milhões de usuários.

A estratégia, segundo os pesquisadores, continua baseada numa campanha de spam com anexos zipfile contendo arquivos .jpeg, .gif e extensionless. Quando um usuário clica no arquivo ou link malicioso, a ferramenta Windows BITSAdmin faz o download do malware e implanta a partir do servidor de comando e controle. Posteriormente, ele inicia um script XSL ofuscado e juntos eles ocultam tudo do antivírus.  O Astaroth, diz a pesquisa, abusa do aswrundll.exe, arquivo que é executado no Avast Software Runtime Dynamic Link Library, como também é capaz de explorar ainda o unins000.exe, parte do plugin bancário da GAS Tecnologia (agora Diebold) para fins de coleta de informações.

A Cyberason descobriu que o uso do trojan aumentou bastante no final do ano passado. A empresa prevê que as táticas de trojans continuarão a se tornar mais incisivas em ataques cibernéticos neste ano, por causa da sua capacidade de roaming de dispositivos e do uso de ferramentas já incorporadas em um dispositivo – como os antivírus e softwares de proteção bancária.