No resumo desta semana, iremos discutir:
- Vulnerabilidade de dia zero no plugin WordPress do WPGateway
- Elevação do código Visual Studio de vulnerabilidade de privilégios
- Destaques do State of Cloud Security Report 2022 por Snyk
Zero-Dia no Plugin WPGateway
CVE-2022-3180 é uma falha de zero dias na última versão de um plugin WordPress premium conhecido como WPGateway está a ser activamente explorado na natureza, permitindo potencialmente que actores maliciosos assumam completamente os sítios afectados. Com a pontuação CVSS de 9,8, esta vulnerabilidade está a ser armada para adicionar utilizadores administrativos maliciosos a sites que executam o plugin WPGateway, como notado pelo WordPress security Company Wordfence.
Como verificar se um website foi comprometido:
- O indicador mais comum é a presença de um administrador com o nome de utilizador "rangex".
- Outra forma de detectar se um website está comprometido é procurar o aparecimento de pedidos para "//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1" nos registos de acesso, embora isso não implique necessariamente uma violação bem sucedida.
O Wordfence retém mais detalhes sobre a vulnerabilidade, devido à exploração e para evitar que os actores maliciosos tirem proveito. Recomenda também aos utilizadores que removam o plugin do seu WordPress até que um patch esteja disponível para o mesmo.
Código do Estúdio Visual Elevação do Privilégio
CVE-2022-38020 é uma elevação da vulnerabilidade de privilégios que existe no Código VS v1.71.0 e versões anteriores onde, numa máquina Windows partilhada, um atacante pouco privilegiado pode criar um ficheiro bash.exe executável num local onde são detectados perfis de terminal. Este perfil detectado é então exposto na lista de perfis do terminal e pode ser executado facilmente pelo utilizador vulnerável. Os caminhos em questão foram:
- C:\Cygwin64bin\bash.exe
- C:Cygwinbinbash.exe
- bash
A correcção está disponível a partir do Código VS 1.71.1. A correcção(0b356bf) atenua este ataque, removendo completamente esses caminhos da função de detecção do perfil terminal. Outras soluções podem também ser aplicadas, que incluem evitar a execução de perfis terminais que não se espera que sejam instalados na máquina. Um administrador poderá ser capaz de bloquear as pastas em questão.
Destaques do State of Cloud Security Report 2022 por Snyk
- 80% das organizações sofreram um grave incidente de segurança nas nuvens durante o ano passado.
- As empresas em fase de arranque de crescimento rápido sofreram o pior impacto, com 89% de impacto. As entidades do sector público (governamentais e sem fins lucrativos) experimentaram quase o mesmo.
- Em incidentes baseados em casos de utilização: empresas que utilizam a nuvem principalmente como plataforma para alojar aplicações que foram migradas de um centro de dados reportaram graves incidentes de segurança na nuvem no ano passado (89%), enquanto que empresas que utilizam a nuvem para alojar aplicações de terceiros reportaram incidentes na nuvem a 78%, e equipas que utilizam a nuvem como plataforma para executar e construir aplicações internas reportaram incidentes a 73%, o que poderia ser explicado por ter mais visibilidade e controlo sobre o ambiente.
- Infra-estrutura como Código (IaC) de segurança apresenta às equipas a oportunidade de verificar a segurança da infra-estrutura de nuvem mais cedo no SDLC - pré-desdobramento - o que pode poupar tempo e reduzir a frequência das questões de má configuração do tempo de execução.
- A segurança IaC reduz as configurações erradas em 70%, e o ROI para a segurança IaC em termos de aumento da produtividade e velocidade de implantação é de 70% para ambos.
- Cinco recomendações para melhorar a segurança nas nuvens:
- Conheça o seu ambiente: Mantenha o conhecimento de cada recurso em funcionamento no seu ambiente de nuvem, como cada recurso é configurado, e como se relacionam uns com os outros.
- Foco na prevenção e desenho seguro: A forma de evitar as rupturas de nuvens é evitar as condições que as tornam possíveis, incluindo as configurações erradas dos recursos e as falhas de concepção arquitectónica.
- Capacitar os criadores de nuvens para construir e operar em segurança: À medida que a infra-estrutura como a adopção de código se generaliza, os engenheiros de nuvens precisam de ferramentas para obter segurança nas fases de concepção e desenvolvimento do SDLC.
- Alinhar e automatizar com a Política como Código (PAC): Quando as políticas de segurança são expressas unicamente em linguagem humana e existem em documentos PDF, podem muito bem não existir de todo.
- Medir o que importa e operacionalizar a Segurança nas Nuvens: A segurança na nuvem tem a ver com disciplina operacional e com a implementação dos processos certos.
O relatório completo da SNYK: State of Cloud Security 2022 pode ser encontrado aqui.
Comentários