Vulnerabilidades críticas que você precisa localizar e corrigir para proteger a força de trabalho remota
por Equipe de resposta de segurança da Tenable
Página inicial do blog / Alertas de exposição cibernética
Como tempos incertos levam a uma mudança na forma como trabalhamos, é fundamental identificar, priorizar e abordar falhas críticas que foram exploradas no mundo real.
Recentemente, compartilhamos algumas perspectivas sobre como a resposta mundial à COVID-19 aumentou a superfície de ataque das empresas. Essas perspectivas, moldadas pela nossa própria pesquisa e inteligência de código aberto, oferecem um vislumbre de algumas das principais áreas que as organizações precisam abordar por conta da dinâmica de uma força de trabalho em transformação.
Com dezenas de milhares de vulnerabilidades sendo descobertas todos os anos, é essencial localizar os problemas de maior risco.
O estado do CVSS
O Sistema de Pontuação de Vulnerabilidades Comuns (CVSS) é um sistema padrão do setor usado para fornecer informações valiosas sobre o escopo e a gravidade das vulnerabilidades. As pontuações do CVSS costumam ser definidas no momento em que são geradas para uma CVE. No entanto, elas nem sempre indicam o impacto de uma vulnerabilidade até muito tempo depois.
Por exemplo, uma vulnerabilidade na rede virtual privada (VPN) SSL da Pulse Connect Secure, identificada como CVE-2019-11510, recebeu originalmente a pontuação de 8,8 no CVSS em 9 de maio de 2019, fazendo com que a falha fosse categorizada como uma vulnerabilidade de alta gravidade. No entanto, apesar da disponibilidade de uma prova de conceito para a vulnerabilidade em 21 de agosto de 2019, a pontuação do CVSS só foi atualizada para refletir a natureza crítica da falha um mês depois, em 20 de setembro de 2019.
Da mesma forma, uma vulnerabilidade na VPN SSL da FortiGuard, identificada como CVE-2018-13379, recebeu inicialmente a pontuação do CVSS de 7,5 em 5 de junho de 2019. No entanto, a pontuação do CVSS foi atualizada apenas em 19 de setembro de 2019, um mês após a pesquisa sobre a falha ser disponibilizada ao público em 9 de agosto, além das tentativas externas para identificar a vulnerabilidade no mundo real com a CVE-2019-11510, em 22 de agosto.
As pontuações do CVSS são um indicador útil da gravidade de uma vulnerabilidade e não devem ser desconsideradas, mas contar apenas com elas para priorizar as vulnerabilidades a serem corrigidas pode, às vezes, ser problemático.
Priorização da aplicação de patches nas vulnerabilidades
Com a Priorização Preditiva da Tenable, as vulnerabilidades recebem um Vulnerability Priority Rating (VPR) que não inclui apenas o CVSS, mas também utiliza um algoritmo de machine learning associado ao threat intel para priorizar as vulnerabilidades. Para ajudar a proteger a crescente superfície de ataque, disponibilizamos a seguinte lista de vulnerabilidades e seus respectivos VPRs que a nossa equipe e a equipe de ciência de dados identificaram como as mais críticas, para que as organizações apliquem patches.
Como facilitar o trabalho remoto
As organizações utilizam um software de VPN SSL, como Pulse Connect Secure, FortiGate, GlobalProtect e Citrix Application Delivery Controller and Gateway, para fornecer acesso seguro à rede de uma empresa. Foram descobertas diversas vulnerabilidades nessas aplicações, que foram exploradas no mundo real por atores de ameaças. Portanto, é cada vez mais importante que as organizações que usam qualquer uma dessas VPNs SSL garantam que os patches sejam devidamente aplicados.
Além disso, os serviços de área de trabalho remota permitem que as pessoas se conectem virtualmente às máquinas do ambiente da empresa, como se estivessem fisicamente presentes na frente do sistema. Apelidada de "BlueKeep", a CVE-2019-0708, uma vulnerabilidade de execução de código remoto nos serviços de área de trabalho remota, é outra falha que recebeu atenção considerável devido ao seu potencial de facilitar os próximos ataques de "WannaCry". Embora esses ataques nunca tenham se concretizado, surgiram relatos de que foram explorados no mundo real vários meses depois. No entanto, a área de trabalho remota, por si só, é uma área em que as organizações devem monitorar rotineiramente as tentativas de exploração e identificar os alvos de RDP expostos.
| CVE | Produtos | CVSS v3.x | VPR* | Intensidade da ameaça |
|---|---|---|---|---|
| CVE-2019-11510 | Pulse Connect Secure | 10 | 10 | Muito alta |
| CVE-2018-13379 | VPN SSL da FortiGate | 9.8 | 9.6 | Muito alta |
| CVE-2019-1579 | Palo Alto Networks GlobalProtect | 8.1 | 9.4 | Alta |
| CVE-2019-19781 | Citrix Application Delivery Controller and Gateway | 9.8 | 9.9 | Muito alta |
| CVE-2019-0708 | Serviços de área de trabalho remota | 9.8 | 9.9 | Muito alta |
*Observe que as pontuações do VPR da Tenable são calculadas à noite. Este post do blog foi publicado em 13 de abril e reflete o VPR dessa data.
Vulnerabilidades usadas em emails maliciosos e kits de exploração
Como os criminosos cibernéticos compreenderam os medos decorrentes da COVID-19, uma das vulnerabilidades mais comuns utilizadas em documentos maliciosos é a CVE-2017-11882, uma vulnerabilidade de excedente de pilha no componente Editor de Equações do Microsoft Office. Há anos, ela é um acessório das campanhas de emails maliciosos e continuará sendo uma ferramenta comum na caixa de ferramentas dos atores de ameaças.
Outra ferramenta presente no arsenal dos atores de ameaças é o uso de kits de exploração, um software projetado por criminosos cibernéticos para identificar a presença de aplicações de software populares na máquina da vítima e selecionar a vulnerabilidade mais apropriada a ser explorada. Embora vulnerabilidades do Adobe Flash Player, como a CVE-2018-15982 e a CVE-2018-4878, tenham sido marcantes em diversos kits de exploração, o fim da vida útil pendente do Adobe Flash Player, juntamente com a mudança para o HTML5, fez com que alguns kits de exploração abandonassem completamente as vulnerabilidades do Flash Player e usassem outras vulnerabilidades em seu lugar. A CVE-2018-8174, uma vulnerabilidade "use-after-free" do mecanismo VBScript e apelidada de "Double Kill” pelos pesquisadores por corromper dois objetos de memória, é uma vulnerabilidade que se tornou a preferida em kits de exploração.
| CVE | Produtos | CVSS v3.x | VPR* | Intensidade da ameaça |
|---|---|---|---|---|
| CVE-2017-11882 | Microsoft Office | 7.8 | 9.9 | Muito alta |
| CVE-2018-15982 | Adobe Flash Player | 9.8 | 9.9 | Muito alta |
| CVE-2018-8174 | Internet Explorer (mecanismo VBScript) | 7.5 | 9.9 | Muito alta |
| CVE-2018-4878 | Adobe Flash Player | 7.5 | 9.8 | Muito alta |
| CVE-2017-0199 | Microsoft Office | 7.8 | 9.9 | Muito alta |
*Observe que as pontuações do VPR da Tenable são calculadas à noite. Este post do blog foi publicado em 13 de abril e reflete as pontuações do VPR dessa data.
Outras vulnerabilidades exploradas no mundo real
Para organizações que usam determinadas versões do software Cisco Adaptive Security Appliance (ASA) e Firepower Threat Defense (FTD), é importante aplicar patches na CVE-2018-0296, uma falha de negação de serviço na interface da Web desses dispositivos, que provoca recargas inesperadas. A Cisco adverte que algumas versões vulneráveis do ASA não serão recarregadas, mas um invasor não autenticado poderia visualizar informações confidenciais do sistema no dispositivo. No final de 2019, surgiram relatos de que as tentativas de exploração dessa vulnerabilidade haviam disparado.
Além disso, a CVE-2019-0604, uma vulnerabilidade de validação de entrada inadequada no Microsoft SharePoint, a popular plataforma de colaboração usada para armazenamento e gerenciamento de documentos, está sendo explorada no mundo real desde maio de 2019. Inicialmente, essa falha recebeu uma pontuação CVSSv3 de 7,8. Ela foi revisada em junho de 2019, passando para 8,8, e atualizada novamente para 9,8 em dezembro de 2019. Se a sua organização usa o Microsoft SharePoint, é fundamental aplicar patches nessa falha.
| CVE | Produtos | CVSSv3.x | VPR* | Intensidade da ameaça |
|---|---|---|---|---|
| CVE-2018-0296 | Cisco ASA e Firepower | 7.5 | 8.8 | Muito baixa |
| CVE-2019-0604 | Microsoft SharePoint | 9.8 | 9.4 | Baixa |
*Observe que as pontuações do VPR da Tenable são calculadas à noite. Este post do blog foi publicado em 13 de abril e reflete as pontuações do VPR dessa data.
Navegação em um mar de incertezas
Com todas as mudanças na forma como trabalhamos nesses tempos de incerteza, as organizações precisam entender como a superfície de ataque muda e qual é a melhor forma de reagir. Conhecimento é poder, tanto na compreensão do seu risco, conhecendo quais os ativos existentes no seu ambiente, como nas perspectivas para tomar decisões baseadas nos riscos. Implementar um programa de gerenciamento de vulnerabilidades baseado em riscos na sua organização pode ajudar a enfrentar essa situação.
Identificação de sistemas afetados
Uma lista de plug-ins da Tenable para identificar essas vulnerabilidades pode ser encontrada aqui.
Obtenha mais informações
Junte-se à equipe de resposta de segurança da Tenable na Tenable.
Saiba mais sobre a Tenable, a primeira plataforma de Cyber Exposure para o gerenciamento holístico da sua superfície de ataque moderna.
Obtenha uma avaliação gratuita por 30 dias do Vulnerability Management da Tenable.io.
Artigos relacionados
Cybersecurity Snapshot: How To Boost Customers' Trust in Your Digital Services
May 12, 2023Check out how beefing up digital trust in your technology yields key business benefits. Plus, a sophisticated cyber espionage operation has been defused. Also, why cyberattack victims should speak up. In addition, don’t miss our poll on mobile device security. And much more!
Cybersecurity Snapshot: 6 Things That Matter Right Now
June 17, 2022Key vulnerabilities you can’t ignore. Best practices to improve operational technology (OT) cybersecurity. A reality check on shift left, DevSecOps and cloud security. Tackling the security skills gap. Healthcare data breaches. And much more!
You’ve Migrated Business-Critical Functions to the Cloud…Now What?
April 20, 2022An expanding attack surface demands a robust cybersecurity strategy. Here’s what you need to know.
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Remote Workforce
- Vulnerability Management