Pesquisar na Comunidade

Recentemente foram encontradas dezenas de vulnerabilidades de VNC na plataforma do Windows Solutions e Linux. Veja todos os detalhes e como se prevenir aqui com a Delta Servers. Os pesquisadores encontraram um total de 37 vulnerabilidades de segurança afetando quatro implementações de VNC (Virtual Network Computing) de código aberto e presentes nos últimos 20 anos, desde 1999. As falhas foram encontradas nas soluções LibVNC, TightVNC 1.X, TurboVNC e UltraVNC VNC examinadas pelo pesquisador de segurança da Kaspersky Industrial Systems Emergency Response Team (ICS CERT) Pavel Cheremushkin - o altamente popular RealVNC, não analisado por não permitir engenharia reversa. Esses sistemas VNC podem ser usados em uma ampla variedade de sistemas operacionais, incluindo, entre outros, Windows, Linux, macOS, iOS e Android. Uma implementação de VNC consiste em duas partes, um cliente e um servidor, permitindo que os usuários acessem remotamente uma máquina executando o servidor VNC com a ajuda de um cliente VNC usando o protocolo RFB para transmitir "imagens de tela, movimento do mouse e eventos de pressionamento de tecla". Você pode encontrar mais detalhes sobre as implementações de VNC analisadas por Cheremushkin abaixo: LibVNC - uma biblioteca multiplataforma de código aberto para criar um aplicativo personalizado com base no protocolo RFB. O componente de servidor do LibVNC é usado, por exemplo, no VirtualBox para fornecer acesso à máquina virtual via VNC. UltraVNC - uma implementação popular de VNC de código aberto desenvolvida especificamente para Windows. Recomendado por muitas empresas de automação industrial para conectar-se a interfaces HMI remotas através do protocolo RFB. TightVNC 1.X - mais uma implementação popular do protocolo RFB. Recomendado por muitos fornecedores de sistemas de automação industrial para conectar-se a interfaces HMI de máquinas * nix. TurboVNC - uma implementação de VNC de código aberto. Usa a biblioteca libjpeg-turbo para compactar imagens JPEG, a fim de acelerar a transferência de imagens. Mais de 600.000 servidores VNC potencialmente expostos: Com base nessas informações, o pesquisador ICS CERT da Kaspersky descobriu mais de 600.000 servidores VNC que podem ser acessados remotamente pela Internet com base nas informações coletadas usando o mecanismo de pesquisa Shodan para dispositivos conectados à Internet - essa estimativa não cobre os servidores VNC em execução em locais. redes de área. As falhas de segurança do VNC encontradas por Cheremushkin são todas causadas pelo uso incorreto da memória, com ataques que os exploram levando a estados de negação de serviço, mau funcionamento, além de acesso não autorizado às informações dos usuários e a opção de executar códigos maliciosos no dispositivo de um destino. Embora o foco de nossos colegas tenha sido o uso de VNC em empresas industriais, as ameaças são relevantes para qualquer empresa que implanta essa tecnologia, acrescenta o relatório da Kaspersky. Embora a maioria das vulnerabilidades de corrupção de memória do VNC divulgadas pelos pesquisadores às equipes de desenvolvimento tenham sido corrigidas, em alguns casos elas não foram abordadas até hoje. É o caso do TightVNC 1.X, cujos desenvolvedores disseram que não resolverão os problemas de segurança encontrados, já que a primeira versão do software "não é mais compatível com a primeira versão do sistema [..]". Atualmente, eles mantêm o produto comercial TightVNC 2.X. Erros encontrados nas soluções VNC; Cheremushkin encontrou estouros de buffer baseados em heap na biblioteca LibVNC que poderiam permitir que invasores "ignorassem o ASLR e usassem estouros para obter execução remota de código no cliente". O TightVNC veio com uma desdiferenciação de ponteiro nulo, levando a estados de negação de sistema (DoS), bem como dois estouros de buffer de heap e um estouro de buffer global que poderia levar à execução remota de código. Como já mencionado acima, esses problemas de segurança não serão corrigidos. Foi descoberta uma vulnerabilidade de estouro de buffer de pilha no servidor TurboVNC que pode levar à execução remota de código, embora exija autorização no servidor ou controle sobre o cliente VNC antes da conexão. Quando se trata do UltraVNC, o pesquisador diz que foi capaz de descobrir "um 'zoológico' inteiro de vulnerabilidades no UltraVNC - desde estouros triviais de buffer no strcpy e sprintf até vulnerabilidades mais ou menos curiosas que raramente podem ser encontradas em projetos do mundo real. De todas as falhas do UltraVNC que ele viu, o buffer underflow um rastreado como CVE-2018-15361 que pode disparar um DoS em 100% dos ataques, mas também pode ser usado para execução remota de código. O CVE-2019-8262 é atribuído a várias vulnerabilidades de estouro de buffer de heap que podem resultar na execução remota de código. A lista completa de vulnerabilidades VNC descobertas encontradas por Pavel Cheremushkin da Kaspersky está listada na tabela abaixo: Implementação de VNC Vulnerabilidades LibVNC; | CVE-2018-6307 | CVE-2018-15126 | CVE-2018-15127 | CVE-2018-20019 | CVE-2018-20020 | CVE-2018-20021 | CVE-2018-20022 | CVE-2018-20023 | CVE-2018-20024 | | CVE-2019-15681 | Implementação de VNC Vulnerabilidades TightVNC; | CVE-2019-8287 | CVE-2019-15678 | CVE-2019-15679 | CVE-2019-15680 | Implementação de VNC Vulnerabilidades TurboVNC; | CVE-2019-15683 | Implementação de VNC Vulnerabilidades UltraVNC; | CVE-2018-15361 | CVE-2019-8258 | CVE-2019-8259 | CVE-2019-8260 | CVE-2019-8261 | CVE-2019-8262 | CVE-2019-8263 | CVE-2019-8264 | CVE-2019-8265 | CVE-2019-8266 | CVE-2019-8267 | CVE-2019-8268 | CVE-2019-8269 | CVE-2019-8270 | CVE-2019-8271 | CVE-2019-8272 | CVE-2019-8273 | CVE-2019-8274 | CVE-2019-8275 | CVE-2019-8276 | CVE-2019-8277 | CVE-2019-8280 | No lado positivo, a autenticação por senha geralmente é necessária para explorar vulnerabilidades no servidor, e o servidor pode não permitir que os usuários configurem um método de autenticação sem senha por razões de segurança. Esse é o caso, por exemplo, do UltraVNC, Cheremushkin concluído. Como proteção contra ataques, os clientes não devem se conectar a servidores VNC desconhecidos e os administradores devem configurar a autenticação no servidor usando uma senha forte exclusiva. A Kaspersky fornece as seguintes recomendações para impedir que os invasores explorem essas falhas de segurança do VNC: Verifique quais dispositivos podem se conectar remotamente e bloqueie as conexões remotas, se não forem necessárias. Inventeie todos os aplicativos de acesso remoto - não apenas o VNC - e verifique se suas versões estão atualizadas. Se você tiver dúvidas sobre sua confiabilidade, pare de usá-las. Se você pretende continuar implantando-os, não deixe de atualizar para a versão mais recente. Proteja seus servidores VNC com uma senha forte. Isso tornará os ataques muito mais difíceis. Não conecte a servidores VNC não confiáveis ou não testados. Mais informações e mais detalhes sobre as vulnerabilidades do VNC descobertas por Cheremushkin estão disponíveis no relatório completo de pesquisa de vulnerabilidades do VNC, disponível no site do Kaspersky Lab ICS CERT. Deixe um comentário abaixo para sabermos à sua opinião em relação a este artigo.

A gigante do comércio eletrônico recentemente lançou uma advertência para sites de comércio eletrônico realizar atualizações o mais rápido possível para evitar ataques. A plataforma que muitas lojas virtuais ao redor do mundo utiliza diariamente, é o alvo favorito do coletivo Magecart de grupos de ameaças que desnatam cartões de crédito clonado. A popular plataforma de comércio eletrônico Magento esta incentivando os administradores da Web a instalar sua mais recente atualização de segurança para se defender contra ataques maliciosos que possam explorar uma vulnerabilidade crítica à execução remota de código. Embora a empresa não tenha especificado quais tipos de ataques em potencial os sites deveriam se preocupar (Threatpost entrou em contato para comentar sobre isso), o Magento é um alvo comum para a associação de grupos de ameaças Magecart , que compromete sites construídos em e-commerce sem patches. plataformas para injetar scripts de leitura de cartões nas páginas de checkout. Os scripts roubam os detalhes do cartão de pagamento dos clientes e outras informações inseridas nos campos da página. A vulnerabilidade ( CVE-2019-8144 ), que possui uma classificação de gravidade de 10 em 10 na escala CVSS v.3, pode permitir que um usuário não autenticado insira uma carga maliciosa no site de um comerciante através dos métodos de modelo do Page Builder e execute isto. O Page Builder permite que os sites projetem atualizações de conteúdo, visualizem-nas ao vivo e planejem que sejam publicadas. O bug existe especificamente na função de visualização. A falha afeta o Magento 2.3 e foi corrigida no Magento e-commerce 2.3.3 com o patch apenas de segurança 2.3.2-p2, lançado em outubro . A empresa alertou que o patch terá o efeito colateral de "impedir que os administradores visualizem pré-visualizações de produtos, blocos e blocos dinâmicos"; mas disse que reativará a funcionalidade de visualização o mais rápido possível. “Recomendamos que todos os comerciantes, mesmo aqueles que já fizeram o upgrade para o 2.3.3 ou tenham aplicado o patch apenas de segurança 2.3.2-p2, revisem a segurança do site Magento para confirmar que não estavam potencialmente comprometidos antes da atualização”, Piotr Kaminski da equipe de segurança do Magento escreveu em uma postagem em 11/11/2019." A aplicação dessa correção ou atualização, ajudará a defender sua loja contra possíveis ataques daqui para frente, mas não abordará os efeitos de um ataque anterior. A mesma atualização corrige várias outras falhas críticas de execução remota com uma pontuação CVSS v.3, igual a 9 ou acima, além de problemas de script entre sites (CSS). O aviso ocorre quando a atividade e a infraestrutura do Magecart continuam saturando a web. De acordo com a análise do RiskIQ no mês passado, agora existem 573 domínios de comando e controle (C2) conhecidos para o grupo, com cerca de 10.000 hosts carregando ativamente esses domínios. Ao todo, o RiskIQ detectou quase 2 milhões (2.086.529) de instâncias dos binários javaScript da Magecart, com mais de 18.000 hosts de comércio eletrônico violados diretamente. "É lamentável que esse tipo de ataque ainda seja bem-sucedido, embora uma atenuação seja bastante direta", disse Mounir Hahad, chefe do Juniper Threat Labs da Juniper Networks, por e-mail." Como último recurso, os proprietários de sites devem verificar periodicamente a integridade de seu código de script, o que pode ser tão simples quanto calcular uma soma de verificação a cada poucos minutos para procurar uma mudança inesperada." Quais são os principais riscos para as empresas modernas na era de pico de violações de dados? A Delta Servers está constantemente atualizando os sistemas de segurança para essa plataforma e-commerce, recomendamos que façam o mesmo.