A Agência de Segurança Cibernética e de Infraestrutura (CISA) lançou emitiu um aviso sobre a exploração ativa de duas vulnerabilidades significativas nos servidores Microsoft SharePoint. A primeira vulnerabilidade, identificada como CVE-2023-24955, permite que invasores tenham acesso autenticado e proprietário do site privilégios para executar código remotamente em servidores afetados. O segundo, CVE-2023-29357, permite que invasores remotos obtenham privilégios administrativos contornando mecanismos de autenticação usando tokens de autenticação JWT falsificados. Essas vulnerabilidades podem ser combinadas para permitir que invasores não autenticados executem código remotamente em servidores SharePoint não corrigidos.
Exploração demonstrada e prova de conceito lançada
As vulnerabilidades’O potencial de dano foi demonstrado pelo pesquisador do STAR Labs Nguyễn Tiến Giang (Janggggg) durante o concurso Pwn2Own em Vancouver em março de 2023. Após esta demonstração, uma exploração de prova de conceito (PoC) para CVE-2023-29357 foi disponibilizada publicamente no GitHub em 25 de setembro, um dia após a publicação de uma análise técnica detalhada do processo de exploração pelo pesquisador. Embora a exploração PoC inicial não tenha facilitado a execução remota de código, foi sugerido que os agentes da ameaça poderiam modificar esta exploração para aproveitar o CVE-2023-24955 para ataques de execução remota de código. Desde então, vários exploits PoC direcionados a essa cadeia de exploits apareceram on-line, aumentando a facilidade com que os invasores poderiam explorar essas vulnerabilidades.
[conteúdo incorporado]
Resposta e recomendações da CISA
Em resposta a estas ameaças, a CISA tomou medidas significativas para mitigar os riscos representados por estas vulnerabilidades. A agência adicionou CVE-2023-29357 ao seu Catálogo de vulnerabilidades exploradas conhecidas em outubro, obrigando as agências federais dos EUA a corrigir a vulnerabilidade até 31 de janeiro. Mais recentemente, CVE-2023-24955 também foi adicionado ao catálogo, com prazo de conformidade definido para 16 de abril. Essas diretivas, parte da diretiva operacional vinculativa BOD 22-01, ressaltam a urgência de abordar essas falhas de segurança para proteger empresas federais de possíveis ataques cibernéticos.
Embora a CISA não tenha fornecido detalhes específicos sobre ataques que exploram essas vulnerabilidades do SharePoint, a agência enfatizou a ausência de evidências que os liguem a ataques de ransomware. No entanto, a CISA destacou o risco significativo que estas vulnerabilidades representam para as empresas federais, instando não apenas as agências federais, mas também as organizações privadas a priorizarem a correção destas vulnerabilidades para evitar potenciais ataques. A exploração dessas vulnerabilidades ressalta as ameaças contínuas enfrentadas pelas organizações e a importância de manter práticas robustas de segurança cibernética para proteger informações e infraestrutura confidenciais.
