A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta grave envolvendo a exploração ativa de vulnerabilidades em produtos da Zyxel, North Grid Proself, ProjectSend e CyberPanel. Essas falhas foram adicionadas ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), evidenciando o risco crescente de ataques cibernéticos que utilizam essas brechas.
CISA alerta para falhas críticas no Zyxel, ProjectSend e CyberPanel
Confira as principais falhas destacadas pela CISA e suas potenciais implicações:
- CVE-2024-51378 (pontuação CVSS: 10,0): Permite execução de comandos arbitrários e desvio de autenticação por meio de metacaracteres de shell na propriedade statusfile.
- CVE-2023-45727 (pontuação CVSS: 7,5): Exploração de Entidades Externas XML (XXE) possibilita ataques remotos e não autenticados.
- CVE-2024-11680 (pontuação CVSS: 9,8): Facilita a criação de contas maliciosas, carregamento de scripts maliciosos e execução de JavaScript incorporado.
- CVE-2024-11667 (pontuação CVSS: 7,5): Permite acesso indevido via travessia de caminho, possibilitando download ou upload de arquivos manipulados.
Ataques associados às falhas
Estudos indicam que o CVE-2023-45727 está relacionado ao grupo de espionagem cibernética Earth Kasha, vinculado à China. Já o CVE-2024-11680 foi utilizado em setembro de 2024 em ataques direcionados para cargas pós-exploração, conforme revelou a VulnCheck. As vulnerabilidades CVE-2024-51378 e CVE-2024-11667, por sua vez, foram associadas a campanhas de ransomware como PSAUX e Helldown, segundo a Sekoia e Censys.
Medidas recomendadas
As agências federais dos EUA receberam prazo até 25 de dezembro de 2024 para mitigar essas falhas, protegendo suas redes de ataques ativos.
Roteadores IO DATA sob ataque
Paralelamente, o JPCERT/CC emitiu um alerta sobre falhas em roteadores IO DATA UD-LT1 e UD-LT1/EX, já exploradas por atacantes. As vulnerabilidades incluem:
- CVE-2024-45841 (CVSS: 6,5): Exposição de arquivos confidenciais por permissões inadequadas.
- CVE-2024-47133 (CVSS: 7,2): Permite execução de comandos arbitrários por usuários administrativos.
- CVE-2024-52564 (CVSS: 7,5): Facilita desativação do firewall e alteração das configurações do roteador.
Embora um patch para a CVE-2024-52564 tenha sido liberado no firmware Ver2.1.9, as correções para as outras falhas são esperadas somente em 18 de dezembro de 2024 (Ver2.2.0). Enquanto isso, a fabricante recomenda medidas imediatas, como desabilitar o gerenciamento remoto, alterar senhas padrão e reforçar as credenciais administrativas.
Conclusão
As falhas mencionadas reforçam a necessidade de vigilância constante em segurança cibernética. Agir proativamente, aplicando patches e ajustando configurações de segurança, é essencial para mitigar riscos de ataques cada vez mais sofisticados.