A ZoneAlarm, empresa de software de segurança na Internet de propriedade da empresa israelense de segurança cibernética Check Point Technologies, foi invadido, expondo dados de seus usuários do site do fórum de discussão.
Com quase 100 milhões de downloads, o ZoneAlarm oferece software antivírus, firewall e soluções adicionais de proteção contra vírus para usuários domésticos de PC, pequenas empresas e telefones móveis em todo o mundo.
Embora nem o ZoneAlarm nem sua empresa controladora, Check Point, tenham divulgado publicamente o incidente de segurança, a empresa silenciosamente enviou um alerta por e-mail a todos os usuários afetados neste fim de semana.
A notificação de violação baseada em e-mail aconselhou os usuários do fórum do ZoneAlarm a alterar imediatamente suas senhas da conta do fórum, informando que os hackers obtiveram acesso não autorizado a seus nomes, endereços de e-mail, senhas com hash e data de nascimento.
Além disso, a empresa também esclareceu que o incidente de segurança afeta apenas os usuários registrados no domínio “forums.zonealarm.com“, que possui um pequeno número de assinantes, cerca de 4.500.
Este [fórum] é um site separado de qualquer outro site que tenhamos e usado apenas por um pequeno número de assinantes que se registraram nesse fórum específico, diz a notificação por e-mail.
O site ficou inativo para corrigir o problema e será retomado assim que for corrigido. Você será solicitado a redefinir sua senha assim que entrar no fórum.
O site do fórum da ZoneAlarm foi invadido por hackers que exploraram a falha recente Zero-day do vBulletin
Então, os atacantes exploravam uma vulnerabilidade crítica conhecida do RCE (CVE-2019-16759) no software do fórum vBulletin para comprometer o site do ZoneAlarm e obter acesso não autorizado.
Para quem não sabe, essa falha afetou o vBulletin versões 5.0.0 até a versão 5.5.4 mais recente, para a qual os mantenedores do projeto lançaram atualizações de patches posteriormente, mas apenas para as versões recentes 5.5.2, 5.5.3 e 5.5.4.
Surpreendentemente, a própria empresa de segurança estava executando uma versão 5.4.4 desatualizada do software vBulletin até a semana passada, permitindo que os invasores comprometessem o site facilmente.
É a mesma exploração de vBulletin de zero-day que um hacker anônimo divulgou publicamente no final de setembro deste ano, que, se explorado, pode permitir que atacantes remotos assumam o controle total sobre instalações sem patch do vBulletin.
Além disso, uma semana depois disso, a mesma falha também foi explorada por invasores desconhecidos para invadir o site do fórum Comodo, que expunha informações de contas de login de mais de 245.000 usuários do Fórum Comodo.
Embora a equipe do ZoneAlarm tenha aprendido sobre a violação no final da semana passada e tenha informado imediatamente os usuários afetados, não está claro exatamente quando os invasores violaram o site.
O ZoneAlarm está conduzindo uma investigação sobre o assunto. Orgulhamo-nos de ter adotado uma abordagem proativa quando esse incidente foi detectado e em 24 horas e alertamos os membros do fórum, disse o porta-voz da empresa.
Portanto, se você é um dos usuários afetados, também é recomendável alterar suas senhas para qualquer outra conta online em que você use as mesmas credenciais e faça o mesmo no site do ZoneForum assim que o site for publicado novamente.
Fonte: The Hacker News