No início desta semana, descobrimos que a SolarWinds, o maior fornecedor de ferramentas de gerenciamento de rede para governo e empresas organizações foram vítimas de um ataque à cadeia de abastecimento. Este ataque afetou seu sistema de gerenciamento de rede Orion. Alegadamente, 18.000 clientes empresariais e governamentais instalaram malware que foi assinado digitalmente por um certificado válido como parte de uma atualização dos servidores SolarWinds. A Microsoft assumiu o controle de um dos principais domínios de comando e controle, e um pesquisador de segurança afirmou que alertou a empresa em 2019 que qualquer pessoa poderia acessar o servidor de atualização da SolarWinds usando a senha “solarwinds123”.
Também falamos sobre uma vulnerabilidade no plug-in PageLayer e um bug XSS de zero-click wormable encontrado no cliente Jabber.
Aqui estão os carimbos de data/hora e links, caso você queira dar uma olhada, e uma transcrição está abaixo.
0:31 XSS refletido no plug-in PageLayer afeta mais de 200.000 sites WordPress
3:06 Ataque da cadeia de abastecimento SolarWinds confirmado , Microsoft assume o controle do domínio C2 . Centenas de organizações afetadas .
12:32 Falha de execução de código Wormable no Cisco Jabber tem uma classificação de gravidade de 9,9 em 10
Encontre-nos em seu aplicativo ou plataforma favorita, incluindo iTunes , Google Podcasts , Spotify , YouTube , SoundCloud e Céu Encoberto .
Clique aqui para baixar uma versão em MP3 deste podcast. Inscreva-se em nosso feed RSS .
Transcrição do episódio 99
Ram Gall:
Olá, bem-vindo ao Think Like a Hacker, o podcast sobre WordPress, segurança e inovação. Sou o engenheiro de controle de qualidade e analista de ameaças do Wordfence, Ramuel Gall, e comigo está a diretora de marketing Kathy Zant.
Kathy:
Ei, Ram. Parece que tivemos uma semana muito ocupada no mundo da segurança. O que está acontecendo?
Carneiro:
Bem, em primeiro lugar, há o SolarWinds, que é enorme, e continua ficando cada vez maior e maior e se expandindo como uma supernova de, bem, insegurança.
Kathy:
Sim. Antes de entrarmos nisso, porém, gostaria de perguntar sobre a vulnerabilidade de script entre sites refletida que você encontrou no plug-in PageLayer, porque isso está afetando mais de 200.000 sites WordPress. O que você achou?
Carneiro:
O plug-in PageLayer, é um construtor de páginas para WordPress. E, neste caso, ele tinha duas vulnerabilidades, na verdade, onde você poderia ir para a página de configurações e enviar uma solicitação para atualizar o tamanho da fonte ou a cor de fundo. E ele tinha verificações adequadas, tinha uma verificação de permissão e uma verificação de nonce, se você tentasse salvar essas configurações. Mas se você acabou de enviá-los sem adicionar um parâmetro que diz: “Salve isto”, isso os refletirá de volta para você. E isso significava que um invasor poderia executar um JavaScript malicioso nisso.
Carneiro:
O que acontece com o script cross-site refletido é que requer engenharia social. Basicamente, você teria que enganar um administrador para que ele clicasse no link que enviava essas solicitações. Mas assim que você tiver isso, o script será executado no navegador do administrador. E uma vez que está fazendo isso, ele pode fazer todos os tipos de coisas que o administrador pode fazer, incluindo, por exemplo, adicionar uma conta de administrador mal-intencionada ou adicionar um backdoor a um cabeçalho de tema. Ter um nonce na página para evitar falsificação de solicitação entre sites não adianta muito porque o script que está sendo executado no navegador do administrador está em execução no site e pode ler esses valores e usá-los ao fazer essas solicitações.
Carneiro:
E, ao contrário de outras coisas de engenharia social, não é como uma página de phishing em que o administrador precisa inserir suas credenciais. Se o administrador estiver conectado ao site e clicar nesse link, tudo o que acontecer a partir dele será automático.
Kathy:
Interessante. Então, isso definitivamente poderia ser usado para assumir o controle de um site.
Carneiro:
Corrigir. Praticamente qualquer script entre sites que pode acontecer no painel administrativo pode ser usado para assumir o controle de um site.
Kathy:
OK. Portanto, se você estiver usando o PageLayer, com certeza atualize seu site. Mas os usuários do WordPress que usam o Wordfence gratuito ou a versão premium, eles estavam protegidos?
Carneiro:
Corrigir. Nossa proteção embutida de script entre sites cobriu isso.
Kathy:
OK. Portanto, é sempre bom tê-lo apenas pela natureza de ter firewall Wordfence em seu site, mesmo se houver uma vulnerabilidade de script entre sites que não descobrimos, que não trabalhamos com o desenvolvedor para corrigir, você vai para ser protegido de quaisquer ataques que possam alavancar essa vulnerabilidade, correto?
Carneiro:
Corrigir. E, de vez em quando, obtemos uma nova vulnerabilidade que consegue gerar scripts entre sites de uma forma que a proteção integrada não cobre. E então partimos imediatamente e oferecemos essa proteção aos nossos usuários.
Kathy:
Wordfence, bom ter. Então, conversamos na semana passada sobre um problema bastante chocante com FireEye. E esta semana, ficou muito pior. Quero dizer, muito pior. O que está acontecendo?
Carneiro:
Portanto, parece que foi um ataque à cadeia de suprimentos em um produto usado pela FireEye. E acho que já cobrimos ataques à cadeia de suprimentos antes no ecossistema WordPress.
Kathy:
Sim. Mas para as pessoas que nunca ouviram falar de um ataque à cadeia de abastecimento, vamos falar sobre o que isso significa.
Carneiro:
Portanto, um ataque à cadeia de suprimentos ocorre efetivamente quando um invasor consegue inserir algum tipo de carga maliciosa em um software confiável. Algo que um monte de gente vai baixar, instalar e usar, e eles confiam porque é de uma fonte confiável.
Kathy:
Direito. Então, isso aconteceu com o WordPress, com alguns plug-ins que foram comprados do desenvolvedor original e um agente malicioso entrou e comprou esses plug-ins, colocou malware neles, então quando as pessoas foram atualizar seus plug-ins, eles pegaram o malware, certo?
Carneiro:
Corrigir. Essa foi a coisa do Mason Soiza, não foi?
Kathy:
Sim. Mason Soiza, nosso velho amigo. Temos alguns posts interessantes no blog do Wordfence sobre todas as nossas pesquisas que foram feitas nisso. Portanto, o mesmo tipo de coisa está acontecendo aqui com o ataque à cadeia de suprimentos da SolarWinds. O que exatamente aconteceu?
Carneiro:
Acho que o problema estava na plataforma Orion. Portanto, acho que devo fornecer algumas informações básicas sobre o que a SolarWinds faz. Eles oferecem soluções de monitoramento de rede e gerenciamento de TI, o que é basicamente uma maneira elegante de dizer que têm um software que irão vender para você e você pode usá-lo para ficar de olho no que está acontecendo em sua rede e para fazer alterações de configuração, se quiser.
Carneiro:
Então, o problema era com a plataforma Orion, que é uma coisa que comanda todos eles. Ele roda em um servidor e você o alimenta com diferentes contas às quais deseja dar permissão de execução para fazer esse monitoramento, a fim de fazer essas mudanças de configuração. Acho que o problema estava nas versões de atualização 2019.4 a 2020.2.1. De acordo com o artigo de lançamento à imprensa, vimos que eles foram lançados entre março de 2020 e junho de 2020, mas eu fui e olhei o changelog e a versão 2019.4 foi lançada em novembro do ano passado.
Kathy:
Então, nós suspeitaríamos que esse 2019.4, o que você encontrou? Foi em 5 de novembro que foi lançado? Mas há uma discrepância no que está sendo relatado?
Carneiro:
Sim, é possível que os invasores tenham feito upload de uma versão alterada dessa versão que só foi alterada em março de 2020, dependendo de onde na cadeia de abastecimento foi comprometida. Se eles apenas substituíssem o binário existente por seu próprio binário assinado, isso poderia ter acontecido desde março. Mas a versão que foi inicialmente comprometida era do final do ano passado.
Kathy:
Peguei vocês. E sabemos como a SolarWinds foi realmente comprometida?
Carneiro:
Portanto, não temos muitas informações sobre isso. Um pesquisador de segurança, Vinoth Kumar, disse no ano passado à Reuters que alertou a empresa que qualquer pessoa poderia acessar seu servidor de atualização usando a senha “solarwinds123”.
Kathy:
Oh, esses são meus tipos de senha favoritos.
Carneiro:
Eu sei direito? E acho que ele encontrou isso em um repositório público do GitHub que não era para ser público. E aqui está a coisa, diferentes analistas mencionaram que provavelmente não foi assim que eles entraram. Mas se eles tivessem um repositório GitHub público, mesmo se o SolarWinds alterasse a senha, isso ainda poderia revelar informações sobre suas ferramentas internas e poderia ter outras credenciais que ele não encontrou. Portanto, é apenas indicativo de uma postura de segurança geralmente ruim. Não me entenda mal. Se você estiver usando código-fonte aberto, é bom ficar de olho nele. Mas se você está realmente contando com a segurança através da obscuridade, o que não deveria ser inteiramente baseado nisso, mas se é disso que você está contando, algo assim pode ser devastador.
Kathy:
Definitivamente. Então, quero dizer, o que podemos tirar disso? Então, se você está vendo um desenvolvedor que tem uma postura de segurança ruim, ele está usando “solarwinds123” como uma senha para sistemas importantes, e você vê que mesmo mencionado em algum lugar, dá uma pista de que você possivelmente deveria cavar mais fundo. Porque a segurança não se trata apenas de confiança e seja o seu plug-in no seu site WordPress ou algo que esteja protegendo sua rede corporativa gigante, confiança é a chave, certo?
Carneiro:
É realmente. E a SolarWinds era um fornecedor confiável. Eles têm/tiveram 300.000 clientes. Eu não sei quantos eles ainda têm. Tenho certeza que eles ainda têm muitos. Mas a boa notícia é que apenas 33.000 deles estavam usando o Orion e acredita-se que menos de 18.000 instalaram a atualização lançada por malware. Mas ainda são 18.000 organizações, incluindo algumas de alto perfil. Não foi o Departamento do Tesouro?
Kathy:
Sim. Vimos notícias neste fim de semana de que o Departamento do Tesouro, e acho que o Departamento de Comércio também, foram comprometidos. Essa informação foi divulgada no fim de semana, antes que soubéssemos o que estava acontecendo com a SolarWinds.
Carneiro:
Falando em coisas que aconteceram antes de sabermos que isso estava acontecendo, Silver Lake e Thoma Bravo não, algumas empresas de capital privado também não venderam mais de cem milhões de dólares em ações da SolarWinds cada uma?
Kathy:
Sim. Eu estava olhando, vasculhando alguns dos dados financeiros do que… Porque SolarWinds é uma organização de capital aberto, e o Washington Post relatou que a firma de investimentos Silver Lake e a Thoma Bravo, uma firma de private equity, haviam vendido ações em 7 de dezembro antes tudo isso. Agora, algo também interessante que descobri além de bisbilhotar, no dia 12 de dezembro o CEO deles não estava mais empregado, Kevin Thompson. E ele tinha estoque vendido em meados de novembro, assim como vários outros executivos de alto nível da SolarWind.
Carneiro:
Isso parece assustadoramente semelhante à sequência de eventos na violação da Equifax. Tenho certeza de que tudo vai sair.
Kathy:
Sim. Então, o que está acontecendo com a Microsoft, porque a Microsoft foi afetada por isso também?
Carneiro:
Parece que a Microsoft conseguiu assumir o controle de seu domínio C2, ou pelo menos um de seus domínios C2. Não temos certeza de quantos domínios C2 eles tinham, mas isso significa que a Microsoft, teoricamente, seria capaz de desligá-lo até certo ponto, ou pelo menos impedir que fosse mais explorado. E isso pressupõe duas coisas. Isso pressupõe que o malware não tenha nenhum domínio C2 alternativo que a Microsoft não controle e que os invasores não tenham conseguido enviar um sinal para o malware atualizar para um domínio C2 diferente nesse ínterim. O que, quero dizer, isso pode não ser tanta possibilidade. Na verdade, eu não examinei o malware, mas estamos cientes do malware controlado por C2 que possui aqueles recursos em que terá uma lista de domínios C2, ele atualizará essa lista com base na entrada que obtém dos servidores C2 e de caminhos de login alternativos também, caso eles percam o controle deles.
Kathy:
E então parece que a Microsoft publicou um aviso para seus clientes falando sobre esse DLL malicioso que estava chamando a infraestrutura de rede remota usando AVSVMcloud.com como este domínio do qual o DLL poderia obter payloads de segundo estágio e comprometer ou exfiltrar dados. Portanto, a Microsoft agora tem o controle desse domínio específico. Portanto, se ainda houver servidores comprometidos que possam estar ligando para casa, eles poderão detectar isso e determinar o que estava acontecendo com esse malware.
Carneiro:
Parece que provavelmente será o caso. Na melhor das hipóteses, eles podem ajudar a notificar quais empresas foram realmente expostas.
Kathy:
A SolarWinds tinha em seu site uma lista de algumas das empresas que estavam usando seus produtos como ferramenta de marketing, mas foi retirada. Obviamente, temos algumas capturas de tela disso em alguns arquivos, mas que tipos de empresas estavam usando o SolarWinds?
Carneiro:
Provedores financeiros, provedores de serviços de backbone de Internet, grandes organizações, as cinco principais firmas de contabilidade. Agora, esses são apenas clientes da SolarWinds. Esses não são necessariamente clientes que usaram o Orion. Mas é um pouco estranho que eles retiraram a lista de clientes.
Kathy:
É estranho. Não sei se eles estão tentando fazer isso para proteger esses clientes, mas uma vez que está na internet, está na internet. Alguém o encontrará e alguém descobrirá exatamente quem são os clientes.
Carneiro:
A menos que você queira preservá-lo, nesse caso você nunca poderá encontrá-lo novamente. Como GeoCities. Quer dizer, alguém está preservando alguns dos sites GeoCities, mas não conseguiu todos eles.
Kathy:
Aqueles foram os bons velhos tempos. Portanto, vamos ficar de olho no SolarWinds. E como isso, obviamente, ainda é uma história em desenvolvimento, ainda tentando descobrir o que está acontecendo, quem é afetado, como eles são afetados. E há rumores de que este é um ataque sancionado pelo estado. Eles estão apontando o dedo para os russos, mas os russos negam que sejam eles. Portanto, ainda está no ar exatamente o que está acontecendo. Obviamente, iremos mantê-lo informado e informá-lo sobre o que está acontecendo.
Kathy:
Portanto, agora temos outra história sobre Jabber. O que exatamente é Jabber?
Carneiro:
Portanto, o Jabber é um cliente de comunicação. Não sei se você usou o Link ou Microsoft Office Communicator, ou mais recentemente algo como Teams ou Slack, mas é basicamente um cliente de mensagens. E é um cliente de mensagens instantâneas frequentemente usado pela comunicação interna do escritório, esse tipo de coisa. Ou usado para comunicação interna do escritório, semelhante ao Slack. Já existe há muito mais tempo. Ele usa o protocolo XMPP.
Carneiro:
No entanto, ele tem algo em comum com o Slack e o Teams. Discutimos isso em nosso último episódio. Agora não é construído como o Electron, mas usa um navegador Chromium integrado. Esta vulnerabilidade usa o atributo onanimationstart baseado em script de site cruzado para ignorar seus filtros XSS. E, a propósito, o firewall embutido no Wordfence e a proteção de script cross-site embutida bloqueiam isso. Então, apenas no caso de você estar se perguntando. Não que isso tenha ajudado neste caso, porque você não pode instalar o Wordfence no cliente Jabber.
Carneiro:
Mas isso era bastante semelhante ao Teams and the Slack vulnerabilidade que mencionamos nos episódios anteriores, uma vez que você tem cross site scripting no que é basicamente um aplicativo da web portátil, se for um aplicativo de mensagens, você efetivamente tem um zero-click wormable vulnerabilidade. Porque você pode enviar uma mensagem para alguém com um JavaScript malicioso, e esse JavaScript malicioso assumirá o controle do navegador que é o cliente de mensagens pode dizer: “Ei, vou encontrar todas as outras pessoas na lista de contatos desta pessoa e envie a eles uma cópia do script. ”
Kathy:
Portanto, ele poderia simplesmente se replicar por conta própria e assumir o controle de todos que usarem o Jabber eventualmente, se não fosse interrompido e corrigido.
Carneiro:
Sim. Quero dizer, ele só poderia assumir o controle do cliente Jabber e coisas que foram compartilhadas por meio do cliente Jabber. Mas, assim como acontece com as equipes, as pessoas compartilham informações confidenciais por meio de serviços de mensagens internas o tempo todo. Portanto, se seu cliente de mensagens for um aplicativo da web que usa um navegador interno, uma vulnerabilidade de script entre sites torna-se imediatamente muito grave.
Kathy:
OK. Mas isso está corrigido. Eles tinham um patch inicial lançado em setembro, e então eles apenas o corrigiram novamente. Isso é verdade?
Carneiro:
Sim, eles tiveram que refazê-lo.
Kathy:
OK. Peguei vocês. Tudo certo. Então, se você estiver usando o Jabber, certifique-se de atualizar, atualizar sempre.
Carneiro:
Eles não são automáticos para o Jabber, ao contrário das equipes. Pelo menos não foram a última vez que usei. Isso pode ter mudado desde então, já que se passaram alguns anos.
Kathy:
Bem, vamos mantê-lo informado e todas as notícias de segurança. Temos outra surpresa chegando na próxima semana. Temos episódio o quê, 100?
Carneiro:
Episódio 100, e será um episódio muito interessante, e estou ansioso por isso.
Kathy:
Sim. Temos algo planejado, então certifique-se de nos seguir no Twitter para uma atualização quando isso for lançado. Certifique-se de ter-nos em seu aplicativo de podcasting favorito em seu dispositivo e assine-nos. Você pode até assinar um boletim informativo específico apenas para este podcast. Vá para a página wordfence.com/podcast , e há um formulário lá onde você pode se inscrever se quiser apenas um e-mail muito curto quando um novo episódio estiver disponível. Até então, obrigado por ouvir Think Like a Hacker. E se você quiser encontrar Ram, você está onde, @RamuelGall ?
Carneiro:
Sim. Ramuel Gall no Twitter. Não tenho mais um Facebook.
Kathy:
Eu não te culpo. Não consigo fazer nada se o Facebook estiver por perto. Meu nome é @KathyZant no Twitter. Portanto, siga-nos para obter as últimas notícias em segurança, WordPress e inovação. Falaremos com você na próxima semana.
Carneiro:
Tchau.
Kathy:
Tchau.
Você pode encontrar o Wordfence no Twitter , Facebook , Instagram . Você também pode nos encontrar no YouTube , onde nós tenha nosso Wordfence Live semanal às terças-feiras ao meio-dia, horário do leste, 9h00 do Pacífico.
A postagem Episódio 99: SolarWinds Supply Chain Attack afeta governo e empresas Fortune 500 apareceu primeiro em Wordfence .
