OSINT Academy

As 12 vulnerabilidades mais frequentemente exploradas em 2022 (3)

Related: As 12 vulnerabilidades mais frequentemente exploradas em 2022 (2)

vulnerabilities

As 12 vulnerabilidades mais frequentemente exploradas em 2022 (3) - Sistema de inteligência de código aberto da Knowlesys

OSINT Academy

As 12 vulnerabilidades mais frequentemente exploradas em 2022 (3)

Relacionado:

As 12 vulnerabilidades mais frequentemente exploradas em 2022 (2)

7–8.Atlassian Confluence Server & Data Center (CVE-2021-26084, CVE-2022-26134)

A Atlassian Confluence, uma plataforma de colaboração e documentação usada por muitas organizações governamentais e do setor privado, também é altamente favorecido por atores de ameaças.As duas vulnerabilidades selecionadas, CVE-2021-26084 e CVE-2022-26134, estão relacionadas à injeção de linguagem de navegação por gráficos de objetos (OGNL).

A primeira exploração em larga escala do CVE-2021-26084 ocorreu em setembro de 2021 e direcionou o popular serviço de documentos baseado na Web.A plataforma Confluence foi projetada para permitir que várias equipes colaborem em projetos compartilhados.Um ator malicioso pode usar a vulnerabilidade de injeção de comando CVE-2021-26084 para executar o código arbitrário em um servidor de confluência ou instância do data center.Os invasores têm essencialmente os mesmos privilégios que o usuário que executam o serviço e, portanto, podem executar qualquer comando, obter privilégios administrativos elevados e estabelecer uma posição no ambiente.A CISA emitiu um aviso direcionando usuários e administradores a verificar se há atualizações para o Atlassian para evitar compromissos.

Apenas nove meses depois, a Atlassian divulgou outra vulnerabilidade de injeção da OGNL contra servidores e data centers da Confluence.Rastreado como CVE-2021-26134, a vulnerabilidade permite que um invasor não autenticado execute o código arbitrário em todas as versões de data center e servidor do Confluence suportadas.Depois que uma prova de conceito (POC) foi lançada dentro de uma semana após a divulgação inicial, essa vulnerabilidade de nível crítico rapidamente se tornou uma das mais exploradas.Nesse caso, o CVE-2021-26134 foi usado para implementar um RCE não autenticado em um servidor e, em seguida, lançar um shell da web por trás.O shell da Web bastidores capacita atores maliciosos com recursos muito poderosos, como interação com o Meterpreter e o cobalto e um shell da Web somente de memória.

De acordo com o site da Atlassian, a empresa suporta 83 % das empresas da Fortune 500, possui 10 milhões de usuários ativos por mês e possui mais de 235.000 usuários em mais de 190 países.Esses dois CVEs baseados em Atlassian demonstram como os atores de ameaças motivados financeiramente continuam a explorar vulnerabilidades para atacar muitos alvos atraentes simultaneamente.



9. LOG4SHELL (CVE-2021-44228)

Log4shell, rastreado como CVE-2021-44228 e também conhecido como "Vulnerabilidade Log4J", é a vulnerabilidade RCE mais séria encontrada no Apache Log4J, uma popular biblioteca de log baseada em Java amplamente usada em várias aplicações.A vulnerabilidade permite que um invasor remoto execute o código arbitrário em um sistema afetado, o que pode levar a acesso não autorizado, divulgação de dados ou até mesmo comprometer todo o sistema.
A vulnerabilidade, divulgada publicamente pela primeira vez em dezembro de 2021, se deve ao uso de dados não confiáveis no mecanismo de pesquisa do componente "log4j2", que permite que um invasor injete código malicioso por meio de mensagens de log criadas.Essa falha expôs uma ampla variedade de aplicativos, incluindo servidores da Web, software corporativo e serviços baseados em nuvem que dependem do Log4J para o log.
Embora o Apache tenha divulgado rapidamente um patch para a vulnerabilidade de RCE de nível 10.0, os especialistas em segurança confirmaram que, dado seu uso generalizado entre os principais fornecedores, a exploração continuaria e poderia levar à implantação generalizada de malware.Desde então, a CISA emitiu uma diretiva operacional vinculativa (BOD), ordenando as agências federais do Filial Executivo Civil (FCEB) para corrigir seus sistemas para abordar essa vulnerabilidade crítica.
A rápida exploração do log4shell é atribuída à sua implantação generalizada em diferentes setores e plataformas.Além disso, corrigir a vulnerabilidade provou ser extremamente desafiador, pois muitas organizações lutam para identificar e atualizar todas as instâncias de log4j em sua infraestrutura em tempo hábil.
Artigos relacionados:
Como usar a inteligência de código aberto para análise de superfície de ataque?