Episódio 121: Wordfence agora é uma autoridade de numeração CVE (CNA)

Wordfence agora é uma autoridade de numeração CVE, ou CNA. Como um CNA, o Wordfence agora pode atribuir IDs CVE para novas vulnerabilidades no WordPress Core, WordPress Plugins e WordPress Themes. Uma interrupção no Fastly tira do ar sites importantes, incluindo Reddit, Twitch, Amazon e muitos outros. A Microsoft corrige várias vulnerabilidades do Windows 0-day e o Google corrige um RCE em telefones Android. Um informante do FBI e um aplicativo de mensagens levaram a uma grande onda de crime global, e o malware de contêiner do Windows tem como alvo os clusters do Kubernetes usados ​​por vários data centers.

Aqui estão os carimbos de data/hora e links, caso você queira dar uma olhada, e uma transcrição está abaixo.
0:15 Wordfence agora é uma Autoridade de Numeração CVE (CNA)
5:50 Explicação rápida da interrupção da Internet , Resposta do Fastly , The Verge usa um documento do Google gravável
8:55 Microsoft Patch Tuesday corrige 6 exploits in-the-wild, 50 falhas
10:44 Google Patches críticos para Android RCE Bug
11h33 Como um informante e um aplicativo de mensagens levaram a uma grande artilharia de crime global
15:26 Malware de contêiner do Windows Segmenta os clusters do Kubernetes
18:55 Resposta a incidente do WordPress: Como se recuperar de um hack antes que qualquer outra pessoa saiba
19:07 Próximo horário comercial do Wordfence

Encontre-nos em seu aplicativo ou plataforma favorita, incluindo iTunes , Google Podcasts , Spotify , YouTube , SoundCloud e Céu Encoberto .

Clique aqui para baixar uma versão em MP3 deste podcast. Inscreva-se em nosso feed RSS .

Transcrição do episódio 121

Carneiro:
Bem-vindo ao Think Like a Hacker, o podcast sobre segurança e inovação do WordPress. Eu sou Ram Gall, analista de ameaças da Wordfence, e comigo está a diretora de marketing, Kathy Zant. Olá, Kathy, ouvi dizer que temos uma notícia empolgante hoje.

Kathy:
Temos algumas notícias empolgantes. Você ouviu? Wordfence é agora um CNA. Ooh, siglas.

Carneiro:
Eu sei. Isso significa que somos uma autoridade de numeração CVE, e isso significa que podemos emitir IDs CVE. Agora, o que significa CVE? Estou feliz que você perguntou. CVE significa Common Vulnerabilities and Exposures. E sim, são siglas até o fim, ou espere, são tartarugas?

Kathy:
Continuando, tudo bem, eu sei o que é um CVE porque vejo isso sempre que publicamos uma história no blog em que encontramos uma vulnerabilidade em um plugin ou tema, recebemos CVEs atribuídos. E esses CVEs são muito específicos sobre essa vulnerabilidade e também há um sistema de pontuação que o acompanha. Diz basicamente o quão grave era a vulnerabilidade que foi encontrada e corrigida. Minha pergunta é… Bem, em primeiro lugar, o que isso significa para o Wordfence e, então, o que isso significa para os usuários do WordPress?

Carneiro:
Isso significa que podemos emitir identificadores diretamente. E a razão disso é importante é que os identificadores são basicamente nossa maneira de rastrear o que é vulnerável e como é vulnerável e onde está vulnerável. Tipo, se você disser “Essa vulnerabilidade no Slider Revolution”.”Qual deles?”“Aquele em versões de blá a blá.””Ok, havia três vulnerabilidades diferentes, de qual você está falando?”Esta é uma forma de identificar qual era, e é realmente útil porque se você os tiver, para descobrir se algo está vulnerável, você pode apenas olhar o que você instalou e quais versões dele estão instaladas e você pode dizer, “Ok, esta versão disso tem esses identificadores CVE associados a ela e aquele é super severo, aquele não é tão severo,” e você pode priorizar. E você também pode, se não tiver a opção de atualizar diretamente, também dá uma ideia do que estava vulnerável, de modo que, se precisar fazer um patch personalizado ou algo assim, você também pode fazer isso.

Kathy:
Excelente. OK. E isso é algo que não é apenas um tipo de segurança do WordPress. Isso é como segurança em qualquer software, certo?

Carneiro:
Correto. Estamos trabalhando com o MITER, que é o órgão organizador para a identificação da vulnerabilidade, e com toda a comunidade que o faz. Então, sim.

Kathy:
Ok, legal.

Carneiro:
Isso é muito importante.

Kathy:
É um grande negócio. E a razão pela qual a comunidade de segurança faz isso e atribui identificadores a uma vulnerabilidade em particular, você tem que se colocar no lugar de alguém que está talvez em um centro de operação de segurança e lidando com milhares de instalações do Microsoft Windows ou apenas todas os diferentes servidores que eles precisam gerenciar, todos os diferentes sistemas, o software que está em todos esses sistemas. E quando você recebe relatórios de vulnerabilidade, precisa determinar rapidamente o que precisa ser resolvido primeiro, certo? Você tem que dizer: “Ok, aqui estão três CVEs de 9,9 e aqui está um CVE de 6,2” e, obviamente, você vai lidar com a maior probabilidade de obter sistemas hackeados primeiro com as pontuações de vulnerabilidade mais altas, certo?

Carneiro:
Sim. E quero dizer que isso se aplica até mesmo a sistemas WordPress. Sempre que possível, recomendamos sempre manter tudo completamente atualizado. Mas haverá algumas instalações em que fazer isso imediatamente não será possível, pois você tem uma centena de plug-ins diferentes em uma instalação de e-commerce e pode ter um ou dois vulneráveis ​​a alguma coisa. Então, depois de ter uma ideia de quais são as vulnerabilidades e quão graves elas são, quanto teste você pode gastar fazendo isso? Se algo vai levar a uma tomada de controle do site que é super fácil de fazer, você pode querer apenas testá-lo, certifique-se de que não vai quebrar tudo e, em seguida, faça o acompanhamento após o fato.

Carneiro:
Considerando que se for como uma gravidade quatro onde é como,”Oh sim, eles podem descobrir em qual servidor você está executando, ou se você está executando um patch para o seu NGINX, embora você tenha escondido isso em outro lugar”, então é como , “Sim, vamos passar por todo o processo de controle de qualidade antes de atualizar.” Ou, se não houver atualizações disponíveis, não precisamos necessariamente alocar tempo de desenvolvimento para consertá-lo. Vamos apenas esperar.

Kathy:
Certo, certo. A capacidade de priorizar e agir rapidamente quando necessário é uma grande parte da segurança. É uma das razões pelas quais temos o Wordfence Central, que é uma ferramenta totalmente gratuita para qualquer pessoa que gerencia uma série de sites WordPress protegidos pelo Wordfence. Você pode autenticá-los no Wordfence Central, e isso também tem um sistema de pontuação para que você possa determinar o que precisa ser tratado imediatamente, o que pode esperar e ajuda você a tomar boas decisões de segurança, e também criar algumas políticas e procedimentos para que sua organização pode tomar esse tipo de decisão de uma forma bem ponderada e planejada, eu acho.

Carneiro:
Intencional?

Kathy:
Intencional. Essa é a palavra que eu estava procurando. Sim, exatamente. Portanto, ser um CNA é apenas mais um passo. Eu vi algumas das outras organizações que estão no site do MITRE e é como se estivéssemos nas grandes ligas de segurança aqui, hein?

Carneiro:
Eu sei, certo?

Kathy:
Sim. OK. Bem, vamos falar sobre o que aconteceu na terça-feira de manhã com Fastly e sua interrupção. O que aconteceu lá?

Carneiro:
Oh garoto. Então, nós cobrimos isso no Wordfence Live, que por acaso era sobre resposta a incidentes. Você deveria dar uma olhada.

Kathy:
Interessante. Quão fortuito.

Carneiro:
É provavelmente o melhor que já fizemos, honestamente. Mas alguns incidentes são incidentes de segurança, mas nem todos os incidentes são incidentes de segurança. Este não foi um incidente de segurança, embora tenha impactado a disponibilidade, que é uma das coisas com que você se preocupa com incidentes de segurança. Derrubou Twitch, Pinterest, Reddit, E-bay e, de alguma forma, Amazon, embora tenham seu próprio CDN. Portanto, provavelmente devo voltar um segundo, porque Fastly é basicamente um provedor de CDN. Essa é uma rede de distribuição de conteúdo.

Kathy:
OK. E o que é isso exatamente?

Carneiro:
Bem, digamos que eu queira tirar uma foto de um servidor na Alemanha e se eu perguntar a esse servidor na Alemanha, quero dizer que a velocidade da luz é muito rápida, mas não é instantânea, então ainda vai demorar, não é? Não sei meio segundo para chegar aqui. Bem, acontece que as pessoas realmente não gostam de esperar que os sites carreguem. Mesmo meio segundo acrescenta muito a isso. Então, se você puder manter uma cópia dessa imagem em um data center em Nevada, ela aparecerá mais rápido do meu lado. O Fastly faz com que as coisas carreguem com rapidez basicamente.

Kathy:
É verdade. É verdade. Você se pergunta como está o desempenho do seu site e os milissegundos de latência que o globo pode trazer para as coisas, por exemplo, como o seu site está servindo para alguém na Austrália se o seu servidor está localizado em Nova York? Se você está se perguntando sobre esse tipo de coisa, pode ser interessante dar uma olhada em FastorSlow.com. É nossa ferramenta de medição de velocidade que permite que você veja basicamente o desempenho de seu site em todo o mundo, o que é muito importante se você tiver uma base global. Então, definitivamente dê uma olhada nisso.

Kathy:
Mas houve tantas organizações diferentes que foram afetadas por essa interrupção do Fastly. Quero dizer, até o New York Times, o Washington Post, tantos sites diferentes afetados e até o The Verge foi afetado. Você viu o que eles fizeram com a página inicial?

Carneiro:
Sim, eles pensaram rapidamente. Eles o substituíram por um Documento Google apenas para manter todos atualizados, mas se esqueceram de desativar as permissões de edição para todos, então as pessoas estavam apenas escrevendo pequenas mensagens na página inicial do Google Doc da Verge.

Kathy:
Você sabe, eu pensei, “Oh meu Deus, você não quer nunca fazer isso,” porque as pessoas estavam escrevendo todos os tipos de coisas lá, mas cara, isso foi muito compartilhado ao redor, não é?

Carneiro:
Foi surpreendentemente saudável, pelo que pude ver, sabe?

Kathy:
Foi saudável e interessante, foi muito falado, o que estou começando a me perguntar se isso era como um pequeno golpe de relações públicas. Você tem uma situação ruim acontecendo, está completamente fora do seu controle, você pode também se divertir um pouco com ela e talvez obter um pouco de tração no Twitter, hein?

Carneiro:
Sim. Quanto a situações ruins que não estão fora de controle, se você usa o Windows, o que eu acho que a maioria de nós faz de uma forma ou de outra, há seis dias zero sendo explorados ativamente no Windows e também cinco bugs críticos que foram corrigidos no mais recente patch terça-feira. Todos estes foram corrigidos no patch terça-feira. Alguns deles existem desde o Windows 7. E dois dos zero dias estão relacionados a um patch recente da Adobe no Acrobat e no Acrobat Reader, em que os invasores têm enviado e-mails com PDFs especialmente criados e, se você abrir o PDF, o invasor é o proprietário de seu computador.

Kathy:
Oh meu Deus. Isso parece muito assustador.

Carneiro:
Eu sei. Não há soluções alternativas para essas vulnerabilidades, então a maioria das pessoas disse, “Sim, atualização do Windows, me incomode no próximo mês”. Não, corrija tudo, literalmente, atualize agora, por favor. Este é um patch para todas as coisas do dia.

Kathy:
Oh garoto. Caramba.

Carneiro:
E mesmo se a Adobe incomodar você com qualquer coisa também.

Kathy:
Sim, definitivamente. Oh meu Deus. Muitas pessoas não consideram PDFs como qualquer tipo de vetor de intrusão para seus computadores, porque é apenas um PDF. Nem mesmo que você esteja realmente… Você não está interagindo muito com isso. É apenas algo que você normalmente está lendo, então parece algo muito inócuo, mas em casos como este, não é.

Carneiro:
No passado, ocorreram muitos problemas com os PDFs sendo vetores de malware, então esta não é a primeira vez que isso aconteceu.

Kathy:
Ah, provavelmente porque é tão inócuo.

Carneiro:
Exatamente. É como, “Ah, PDFs, totalmente seguro.” E se parece com um PDF real, então não é como se estivesse em um.pdf.exe ou algo assim. Não, é um PDF real que é simplesmente maligno.

Kathy:
Ooh, assustador. Tudo bem. Parece que temos um RCE crítico em telefones Android. Do que se trata?

Carneiro:
Este é um pouco ruim. Pode ser abusado remotamente e parece que está na pilha da rede e não requer nenhuma engenharia social. Parece que um invasor pode simplesmente enviar uma transmissão especialmente criada para um telefone e executar um código arbitrário dentro do contexto de um processo privilegiado. Basicamente, isso significa que eles são donos do seu telefone, se puderem enviar a transmissão para ele. Então, sim, atualize isso também. Acabei de receber uma atualização do Android no meu telefone e geralmente tenho que esperar um ou dois meses por isso, então isso foi grave o suficiente para, tipo, verificar se há atualizações no seu telefone. Nem todo provedor de telefonia fornecerá atualizações em tempo hábil ou nunca, mas não custa verificar.

Kathy:
Excelente. OK. Bom negócio.

Carneiro:
Falando em telefones, você ouviu sobre aquela enorme armação de crime global?

Kathy:
A picada do crime global. Agora era aquele em que você tinha todos esses criminosos basicamente usando telefones especiais que não podiam ser hackeados que apenas mantinham comunicação segura?

Carneiro:
Sim. Sim. Então, alguns anos atrás, uma empresa chamada Phantom Secure finalmente foi fechada porque estava vendendo telefones especializados para enviar mensagens criptografadas para traficantes de drogas. E isso deixou um enorme buraco na necessidade do tráfico internacional de drogas por dispositivos criptografados. Portanto, o FBI trabalhou com alguém que já havia feito esse tipo de coisa antes. E em troca de uma pena reduzida, ele construiu uma nova empresa para telefones que basicamente só fazia uma coisa: enviar mensagens criptografadas. E esses telefones custam alguns mil dólares cada. Acontece que, literalmente, todo mundo que comprou um era traficante de drogas internacional ou assassino de aluguel ou algo assim. Mas o FBI tinha as chaves de criptografia e encaminhou todas as mensagens para servidores separados. Então, sim.

Kathy:
Uau, isso é uma loucura. Então, apenas tentando ser a comunicação mais segura do mundo, eles basicamente se auto-selecionaram em um lugar onde poderiam ser comprometidos?

Carneiro:
Basicamente, sim. Inicialmente, as divisões de aplicação da lei trabalharam com a aplicação da lei australiana e alguns outros países, eu gostaria de dizer, mas inicialmente eles estavam preocupados que pegariam alguns indivíduos preocupados com a privacidade, como digamos você e eu, em que eles arrastão. Não. Literalmente, todo mundo que comprava era um traficante de drogas em grande escala, um assassino de aluguel ou algo assim. Foi uma loucura. Isso meio que abre uma brecha em todo o argumento de que temos ouvido muito que precisamos de portas dos fundos de criptografia. Apenas use Signal ou algo assim, porque eles não precisam realmente quebrar nossas comunicações de Signal. Eles podem simplesmente estabelecer uma rede de honeypot gigante da coisa mais segura e, se você construir, eles virão aparentemente.

Kathy:
E aqueles que vêm estão fazendo coisas bastante ilegais. Esta é uma história realmente fascinante. Eu nem sabia que alguns desses telefones existiam ou que essas redes existiam. Então foi meio fascinante ver quem os estava usando e como toda essa história aconteceu, como toda a dor desabou. Muito fascinante.

Carneiro:
Sim. Sim. Não, eu recomendo a leitura de artigos sobre isso apenas porque é na verdade uma história bastante longa e profunda e não podemos gostar muito de entrar nisso no podcast.

Kathy:
Sim.

Carneiro:
Sim. Honestamente, sou um grande fã de criptografia de ponta a ponta, mas sim.

Kathy:
Sim. A grande lição para mim nisso é o fato de que, tentando esconder algo, tomando medidas para ser o mais seguro, o mais criptografado, o mais privado-

Carneiro:
E disposto a gastar muito dinheiro com isso é realmente o identificador principal, porque se você for um dissidente em um país opressor, não terá dois mil para gastar em um dispositivo especializado para isso. Mas se você está traficando 100.000 libras de cocaína para o país, você pode.

Kathy:
Direito. E se você não está implementando sozinho, para usar um termo criminoso, pelo menos em algumas jurisdições, se você não está fazendo isso sozinho, se você não está construindo o sistema sozinho, se não está protegendo você mesmo, você ainda está se colocando em risco se estiver fazendo um contrato e pagando muito dinheiro pela segurança. Se você não entende como essa rede ou esses dispositivos estão sendo protegidos, você ainda está se colocando em risco. Na verdade, você está se colocando mais em risco porque está automaticamente se auto-selecionando no mercado. Isso é obviamente suspeito porque eles querem que seja muito seguro.

Carneiro:
E eles estão dispostos a gastar muito dinheiro nisso. Na verdade, é outra coisa.

Kathy:
Direito. Sim, definitivamente. Interessante. OK. Qual é a nossa próxima história?

Carneiro:
Falando em não tão seguro, alguns pesquisadores descobriram uma variante de malware que tem como alvo os contêineres do Windows em clusters do Kubernetes e pode escapar desses contêineres do Windows e assumir o controle a partir deles. É chamado de escape de silo e aparentemente é muito ruim porque o conselho da Microsoft agora é não usar contêineres do Windows como um recurso de segurança. Em vez disso, a Microsoft recomenda o uso estritamente de contêineres Hyper-V para qualquer coisa que dependa da conteinerização como limite de segurança.

Kathy:
E o Hyper-V funciona no Windows?

Carneiro:
O Hyper-V funciona no Windows. O Kubernetes ainda não oferece suporte ao Hyper-V, o que é um problema porque o Kubernetes é muito útil para coisas como data centers para orquestrar a execução de vários contêineres de uma vez. Portanto, isso pode dificultar a vida dos provedores de hospedagem especializados em hospedagem Windows. Isso não quer dizer que não haja configurações que possam proteger contra algo assim, mas não será o contêiner que fará a proteção.

Kathy:
Agora, o Kubernetes em uma distribuição baseada em Linux provavelmente seria adequado?

Carneiro:
Ai sim. Quer dizer, você ainda precisa configurá-lo com segurança e isso não é necessariamente algo que acontece por padrão, dependendo da versão que você está executando, mas não será afetado por esta variante de malware em particular.

Kathy:
OK. Interessante. Tudo bem. Bem, parece que algumas pessoas em alguns data centers estarão bastante ocupadas, pelo menos tratando disso para garantir que não haja vazamento de contêineres.

Carneiro:
Vulnerabilidades de escape de contêiner geralmente são um momento ruim para todos porque se você pode escapar do contêiner e, em seguida, assumir o sistema em que o contêiner está em execução, então você pode pivotar para outros lugares e assumir mais coisas em outro lugar na rede e obter acesso para essas coisas também. E é apenas um momento muito ruim. É como se alguém infectasse seu site WordPress e dissesse infectar todos os outros sites WordPress naquele servidor, mesmo que estivessem separados por limites. Mas vemos esse tipo de coisa acontecendo e ficamos atentos a isso.

Kathy:
sim. Fique ligado nas nossas histórias de terror ao redor da fogueira. Isso acontecerá em breve.

Carneiro:
Assustador.

Kathy:
Na verdade, sim, muito assustador. Excelente. Bem, essas são todas as histórias que temos para você esta semana. Obrigado por se juntar a nós aqui no Think Like a Hacker. Se você tiver alguma história que gostaria que víssemos, envie-a para [email protected]. Podemos levá-los lá. Se você gosta de ouvir Think Like a Hacker, também adoraríamos receber comentários sobre isso. Muitas vezes parece uma conversa unilateral em podcasting, porque você está sentado em um ônibus ou trem ou saindo para uma caminhada, talvez em seu carro. Nós nem sabemos onde você está ouvindo. E gostaríamos de ouvir de você e saber como o Think Like a Hacker o ajuda a fazer melhor seu trabalho, o ajuda a ficar mais seguro com seus sites WordPress. Gostaríamos muito de ouvir de você. Olá, aí fora.

Carneiro:
Envie-nos seus comentários.

Kathy:
Adoramos feedback. E temos algumas outras coisas que gostaríamos de destacar. Em primeiro lugar, obviamente o Wordfence Live. Toda semana pegamos um tópico de segurança e o dissecamos. Realmente queremos que você dê uma olhada na resposta a incidentes que fizemos no início desta semana. Vamos colocar um link para isso nas notas do programa, porque este foi um episódio excepcional. Acho que sim, você sabe que estávamos conversando antes, pode ter sido nosso melhor Wordfence Live de todos os tempos, apenas por causa de todos os conselhos que basicamente ajudam você a se preparar para um incidente. Está no YouTube, então teremos um link nas notas do programa.

Kathy:
Outra coisa que queremos destacar é o Horário comercial do Wordfence. Agora, obviamente você está ouvindo este podcast de segurança em que às vezes ficamos bastante técnicos, mas você deve saber de alguém que está apenas começando com o WordPress, ou talvez esteja apenas começando com o Wordfence e não esteja familiarizado com segurança tanto quanto você. Bem, estamos cumprindo um horário comercial semanal para ajudar as pessoas a entender a segurança do WordPress, ajudá-las a se familiarizarem com o Wordfence rapidamente. Então, estamos fazendo isso todas as quintas-feiras ao meio-dia, horário do Pacífico, 9h. Se você quiser um convite para isso, ou se você conhece alguém que poderia precisar de ajuda para configurar o WordFence, este é um horário de expediente totalmente gratuito onde respondemos a perguntas e meio que fornecemos uma visão geral básica da segurança do WordPress apenas para animar as pessoas Acelerar. Portanto, esta é apenas mais uma forma de retribuirmos à comunidade e ajudarmos todos a se protegerem. Portanto, procure por eles. Colocaremos links nas notas do programa para o próximo Wordfence Live, bem como o horário de expediente. Isso é tudo que temos esta semana. Obrigado por se juntar a mim, Ram.

Carneiro:
Sempre um prazer. Vejo você na próxima semana.

Kathy:
Soa bem. Cuidar. Tchau.

Carneiro:
Tchau.

Você pode encontrar o Wordfence no Twitter , Facebook , Instagram . Você também pode nos encontrar no YouTube , onde nós tenha nosso Wordfence Live semanal às terças-feiras ao meio-dia, horário do leste, 9h, horário do Pacífico.