[ Tráfego 9/Out a 7/Nov: 364.836 page views - 139.188 usuários ] - [ Newsletter 5.526 assinantes Open rate 27%]

RCE no Log4j é explorada por hackers apoiados pela China

Da Redação
09/10/2022

Operadores de ameaças patrocinados pelo governo chinês continuam a explorar vulnerabilidades conhecidas para atingir redes e empresas dos EUA e países aliados, de acordo com um novo comunicado conjunto publicado pela Agência de Segurança Nacional (NSA) e Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA e o FBI.

Os hackers utilizam “uma gama crescente de técnicas novas e adaptáveis, algumas das quais representam um risco significativo para organizações do setor de tecnologia da informação, incluindo provedores de telecomunicações, organizações do setor de base industrial de defesa [DIB] e outras organizações de infraestrutura crítica”, diz a nota conjunta.

Como os principais objetivos dos hackers são “roubar propriedade intelectual” e “desenvolver acesso a redes confidenciais”, as três agências descobriram que [os hackers] “continuam a usar redes privadas virtuais (VPNs) para ofuscar suas atividades e direcionar aplicativos voltados para a web para estabelecer o acesso inicial”.

Segundo a nota, em seguida, eles usam as vulnerabilidades para obter acesso não autorizado a redes confidenciais, após o que procuram estabelecer persistência e mover-se lateralmente para outras redes conectadas internamente.

As agências dos EUA também publicaram as 20 principais vulnerabilidades e exposições comuns (CVEs) exploradas por operadores patrocinados pelo governo chinês desde 2020. Execução remota de código (RCE) no Apache Log4j (CVE–2021–44228), Microsoft Exchange (CVE–2021–26855) ) e Atlassian (CVE–2022–26134) estão entre eles, bem como o upload arbitrário de arquivos no VMWare vCenter Server (CVE–2021–22005).

Veja isso
Falha no Log4j pode se tornar ‘endêmica’, alerta painel dos EUA
Hackers continuam a explorar bug Log4Shell no VMware Horizon

A NSA, CISA e FBI ainda deram uma lista de recomendações para mitigar os riscos:

  • Atualize e corrija os sistemas o mais rápido possível. Priorize a correção de vulnerabilidades identificadas no Aviso de Segurança Cibernética (CSA) e outras vulnerabilidades exploradas conhecidas;
  • Utilize a autenticação multifator, resistente a phishing, sempre que possível;
  • Exija que todas as contas com logins de senha tenham senhas fortes e exclusivas e alterem as senhas imediatamente se houver indicações de que uma senha pode ter sido comprometida;
  • Bloqueie protocolos obsoletos ou não utilizados na borda da rede;
  • Atualize ou substitua dispositivos em fim de vida útil;
  • Avance em direção ao modelo de segurança zero trust
  • Habilite o registro robusto de sistemas voltados para a Internet e monitore os registros quanto a atividades anômalas

Compartilhar: