Vulnerabilidade crítica de execução remota por Código (RCE)

Sticky 14/10/2024
OpenSSH
Visualizações: 1

Em 1o de julho de 2024, a comunidade de segurança cibernética foi abalada pela descoberta de uma vulnerabilidade crítica de Execução Remota de Código (RCE) no OpenSSH, apropriadamente chamada de regreSSHion. Essa revelação desencadeou um frenesi entre as equipes de segurança que se esforçaram para localizar e proteger seus servidores SSH, enquanto os fornecedores de segurança se apressaram para desenvolver e implantar correções e detecções. O caos era palpável, ressaltando a necessidade de uma compreensão mais profunda de tais vulnerabilidades. Neste artigo, exploraremos a natureza das vulnerabilidades da RCE, seu impacto potencial e como avaliar sua gravidade e urgência.

As vulnerabilidades de Execução Remota de Código (RCE) permitem que os invasores executem código arbitrário em uma máquina de destino remotamente devido a um bug de software. Essas vulnerabilidades podem variar muito em sua criticidade, influenciadas por vários fatores-chave que você deve verificar, antes de entrar em pânico.

Um dos aspectos mais críticos das vulnerabilidades do RCE é se elas são pré-autenticação (pré-auth). As vulnerabilidades pré-auth não exigem nenhuma forma de autenticação, permitindo que os invasores executem código sem precisar conhecer senhas, chaves ou segredos. Isso reduz drasticamente a barreira à exploração. Exemplos notáveis incluem EternalBlue e regreSSHion, que causaram preocupação generalizada devido à sua natureza pré-auth.

As vulnerabilidades que não requerem interação do utilizador, conhecidas como vulnerabilidades “zero-click” (0-click), são particularmente perigosas. Essas vulnerabilidades podem ser exploradas sem que a vítima faça nada, como clicar em um link ou abrir um arquivo. As vulnerabilidades de clique zero são frequentemente contrastadas com as vulnerabilidades “one-click” ou “multi-click”, que requerem algum grau de interação do usuário. A exploração FORCEDENTRY para dispositivos Apple iOS é um excelente exemplo de uma vulnerabilidade de 0-clique.

A facilidade com que uma vulnerabilidade pode ser explorada é outro fator crucial. Embora ter uma exploração pública disponível aumente significativamente o perigo, outros fatores também desempenham um papel. As explorações modernas geralmente consistem em várias vulnerabilidades menores acorrentadas, conhecidas como “primitives.” Esta complexidade pode tornar a exploração um desafiante jogo “cat and mouse” entre atacantes e defensores. Algumas vulnerabilidades dependem de condições raras para serem acionadas, conhecidas como explorações estatísticas. Isso pode levar a ataques de Negação de Serviço (DoS) se a exploração falhar ou tornar a exploração inerentemente difícil e não confiável.

O impacto de uma vulnerabilidade RCE também é influenciado pela popularidade do software afetado. Uma vulnerabilidade em software amplamente utilizado como Windows ou OpenSSH é inerentemente mais crítica do que em um aplicativo pouco conhecido. Por exemplo, a vulnerabilidade EternalBlue no Windows teve um enorme impacto devido à ubiquidade do Windows’.

Como é fácil corrigir a vulnerabilidade também afeta sua criticidade. Algumas vulnerabilidades podem ser corrigidas com uma atualização simples, enquanto outras podem exigir alterações significativas na infraestrutura ou até mesmo novo hardware. A vulnerabilidade RowHammer, por exemplo, destacou as dificuldades em corrigir certas vulnerabilidades no nível de hardware. Além disso, as vulnerabilidades que são exploráveis na configuração padrão de um aplicativo são particularmente perigosas, pois afetam uma base mais ampla de instalações. Muitos usuários e organizações não alteram as configurações padrão, tornando essas vulnerabilidades mais propensas a serem exploradas.

O EternalBlue é uma das vulnerabilidades RCE mais infames, afetando a funcionalidade do Windows SMB em sua configuração padrão. A disponibilidade de uma exploração pública tornou milhões de máquinas Windows vulneráveis, levando a uma exploração generalizada e a um impacto significativo nas organizações em todo o mundo. Vários fatores contribuíram para a sua gravidade: exigia apenas comunicação de rede com uma máquina Windows, tornando-se uma vulnerabilidade de 0-clique, pré-auth. O vazamento do Shadow Brokers incluiu uma exploração funcional, diminuindo a barra para os atacantes. O uso generalizado do Windows’ amplificou o impacto das vulnerabilidades, e a correção de sistemas legados do Windows provou ser um desafio, exacerbando os efeitos das vulnerabilidades.

A vulnerabilidade regreSSHion, descoberta no OpenSSH, é outro RCE pré-autêntico significativo. Apesar de sua natureza alarmante, uma análise mais profunda revela fatores atenuantes. O OpenSSH é amplamente utilizado, tornando qualquer vulnerabilidade nele potencialmente impactante.regreSSHion é uma vulnerabilidade de 0-clique, pré-auth que afeta a configuração padrão. No entanto, a questão subjacente é uma condição de corrida, uma vulnerabilidade estatística que é difícil de explorar de forma confiável. O exploit mais conhecido requer tentativas contínuas durante várias horas e é propenso a detecção por ferramentas de segurança. Embora uma prova de conceito estivesse rapidamente disponível, nenhuma exploração em pleno funcionamento foi lançada, e as existentes são altamente complexas e dependentes do meio ambiente.

Apesar do seu potencial de impacto generalizado, a complexidade da exploração do regreSSHion e a disponibilidade de mitigações reduzem o risco imediato. As organizações são aconselhadas a corrigir ativos críticos, priorizando servidores SSH voltados para a Internet.

Analisar um risco, através da compreensão dos seus fatores de criticidade (preauth, default config, exploitability, popularidade, etc) é a forma de abordar o problema de um novo incidente crítico de vulnerabilidade“, de uma forma muito eficiente, à semelhança da forma como descompactámos os casos EternalBlue e regreSSHion para os seus fatores de criticidade.

Além de analisar a criticidade e os patches regulares, uma resposta estruturada a vulnerabilidades críticas também é essencial. Primeiro, identifique todos os ativos afetados para priorizar os esforços, concentrando-se primeiro nos ativos voltados para a Internet e críticos para os negócios. Em seguida, automatize os patches sempre que possível para garantir uma correção rápida e eficaz. Lembre-se, o objetivo é evitar o pânico, avaliar a criticidade com precisão e agir decisivamente para proteger sua organização!

Dividimos as vulnerabilidades do RCE em seus fatores de criticidade para fornecer uma estrutura para avaliar sua gravidade. Ao examinar estudos de caso como EternalBlue e regreSSHion, destacamos o que torna certas vulnerabilidades mais perigosas do que outras. A principal conclusão é manter-se informado, analisar os riscos com cuidado e priorizar ações para manter uma postura de segurança robusta.

Fonte: cyberdefensemagazine.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança de rede web e servidores empresariais.

Av. São Paulo, 1223. João Pessoa
Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 20.962.496/0001-91

Central de Atendimento ao Cliente
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br
https://www.hostcuritiba.net.br

contato@hostcuritiba.net.br
suporte@hostcuritiba.net.br
abuse@hostcuritiba.net.br

Outros artigos

ranwomware

Novo ‘Helldown’ Ransomware expande ataques para sistemas VMware e Linux

Sticky 19/11/2024

Os pesquisadores de segurança cibernética lançaram luz sobre uma variante do Linux de uma cepa de ransomware relativamente nova chamada Helldown, sugerindo que os agentes de ameaças estão ampliando seu foco de ataque. “Helldown implanta Windows ransomware derivado do código LockBit 3.0,” Sekoia disse em um relatório compartilhado com o The Hacker News. “Dado o recente desenvolvimento […]

wordpress

Urgente: Vulnerabilidade crítica do plugin WordPress expõe mais de 4 milhões de sites

Sticky 18/11/2024

Uma vulnerabilidade crítica de desvio de autenticação foi divulgada no plugin Really Simple Security (antigo Really Simple SSL) para WordPress que, se explorada com sucesso, pode conceder a um invasor acesso administrativo total remotamente a um site suscetível. A vulnerabilidade, rastreada como CVE-2024-10924 (pontuação CVSS: 9,8), impacta versões gratuitas e premium do plugin. O software […]

windows11-23h2

Microsoft confirma problemas de OpenSSH no Windows 11 23H2 KB5044380

Sticky 08/11/2024

Em 22 de outubro de 2024, a Microsoft lançou a mais recente atualização não relacionada à segurança para o Windows 11 versão 23H2 sob KB5044380, também conhecido como builds 22621.4391 e 22631.4391. A atualização introduziu várias melhorias e alterações úteis, incluindo correções de drenagem de bateria, remapeamento de chave Copilot, novas configurações para notificações e muito […]