Prezados,
A XLOGIC informa que um recente ataque massivo de ransomware, que afetou sistemas VMWARE e WINDOWS, cifrando arquivos de discos rígidos, dispositivos móveis e unidades de rede de computadores e servidores de várias organizações públicas, com a possibilidade da ameaça se estender às organizações de ensino superior no Brasil.
Se a sua empresa hospeda o serviço na WEB, solicitamos que verifique as atualizações necessárias para prevenção ataque estejam realizadas.
Descrição das vulnerabilidades:
Execução remota de código (CVE-2019-5544) https://www.vmware.com/security/advisories/VMSA-2019-0022.html
Uma falha no gerenciamento da pilha da memória do serviço Common Information Model (CIM) do VMWare pode permitir a sobrescrita de dados incorretamente no espaço alocado. A exploração dessa vulnerabilidade pode permitir que um usuário malicioso que tenha acesso à rede de gerenciamento e ao protocolo OpenSLP, porta TCP/427, realize a execução de códigos com privilégios administrativos em um host ESXi e hosts virtuais hospedados, podendo, inclusive, causar infecção massiva por ransomware.
SISTEMAS IMPACTADOS
– Sistemas Operacionais Microsoft Windows
– Plataforma de virtualização VMWare
VERSÕES AFETADAS
Windows Server 2008 R2 (todas as versões)
Windows Server 2008 R2 Service Pack 1 (todas as versões)
Windows Server 2012 (todas as versões)
Windows Server 2012 R2 (todas as versões)
Windows Server 2016 (todas as versões)
Windows Server 2019 (todas as versões)
Windows Server versão 1809 Standard
Windows Server versão 1809 Datacenter
Windows Server versão 1903
Windows Server versão 1909
Windows Server versão 2004
VMWare ESXi 6.0
VMWare ESXi 6.5
VMWare ESXi 6.7
VMWare ESXi 7.0
VMware Cloud Foundation ESXi 3.X
VMware Cloud Foundation ESXi 4.X
CORREÇÕES DISPONÍVEIS
CVE-2020-1472
Aplicar a atualização KB4571702 de 11 de agosto de 2020.
CVE-2019-5544
Executar os patches de correção disponibilizados pela VMWare:
CVE-2020-3992
Executar os patches de correção disponibilizados pela VMWare:
Para versões VMware Cloud Foundation ESXi 3.X e 4.X, não há patches de correção até o momento da publicação deste alerta.
Como solução de contorno, é necessário desabilitar o serviço OpenSLP através da interface de comando [13https://nvd.nist.gov/vuln/detail/CVE-2020-3992].
IDENTIFICADORES CVE (http://cve.mitre.org)
CVE-2020-1472
CVE-2020-3992
CVE-2019-5544
MAIS INFORMAÇÕES
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1472
[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-1472
[3] https://support.microsoft.com/pt-br/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
[4] https://www.kb.cert.org/vuls/id/490028
[5] https://www.secura.com/pathtoimg.php?id=2055
[6] https://medium.com/cycraft/the-exploit-window-is-open-253770261710
[7] https://danieldonda.com/2020/09/30/explorando-o-zerologon-cve-2020-1472/
[8] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5519
[9] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3992
[10] https://www.vmware.com/security/advisories/VMSA-2019-0022.html
[11] https://nvd.nist.gov/vuln/detail/CVE-2020-3992
[12] https://www.vmware.com/security/advisories/VMSA-2020-0023.html
[13] https://kb.vmware.com/s/article/76372
Recomendamos que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.
Atenciosamente,
Time de Segurança XLOGIC
Deixe uma resposta