Desde Heartbleed a Apache Struts e a SolarWinds, estes são os 10 incidentes de segurança que definem os últimos 10 anos.
Por Michael Hill
A última década testemunhou uma série de momentos marcantes que tiveram um grande impacto no panorama da segurança cibernética. Vulnerabilidades graves, explorações maciças e ciberataques generalizados remodelaram muitos aspetos da segurança moderna. Para fazer o balanço dos últimos 10 anos, o fornecedor de cibersegurança, Trustwave, publicou uma Década em Revista: O Estado das Vulnerabilidades, que inclui uma lista do que considera serem as 10 questões de segurança de rede mais proeminentes e notáveis dos últimos 10 anos.
“É difícil contar a história completa sobre o panorama da segurança de redes da última década porque as ferramentas de segurança e os registadores de eventos evoluíram tanto recentemente que muitas das métricas que hoje tomamos como garantidas simplesmente não existiam há 10 anos”, lê-se no blogue. “Contudo, os dados disponíveis fornecem informação suficiente para detetar algumas tendências significativas. A tendência mais óbvia, baseada em fontes como a National Vulnerability Database (NVD), Exploit-DB, VulnIQ e os próprios dados de segurança da Trustwave, é que os incidentes de segurança e as vulnerabilidades individuais aumentaram em número e tornaram-se mais sofisticados”, acrescentou.
Aqui estão os 10 incidentes de segurança que definiram a última década, sem qualquer ordem em particular.
1. O hack SolarWinds e a quebra do FireEye
No que a Trustwave chamou de “a mais terrível e devastadora quebra da década”, um ataque cibernético à cadeia de abastecimento na ferramenta de monitorização da rede SolarWinds Orion, em dezembro de 2020, enviou ondas de choque a todo o mundo. Várias empresas e agências governamentais dos EUA foram vítimas desta campanha, na qual os cibercriminosos aproveitaram as ferramentas de equipa da rede FireEye e os dados de inteligência interna de ameaças para plantar uma atualização maliciosa de backdoor (apelidada de SUNBURST) que afetou cerca de 18.000 clientes e deu aos atacantes a capacidade de modificar, roubar e destruir dados nas redes. A SolarWinds declarou subsequentemente que, embora milhares de organizações tenham descarregado o malware, o número real de clientes pirateados através do SUNBURST era inferior a 100.
Apesar da emissão de um patch, em 13 de dezembro de 2020, existem hoje servidores infetados e continuam a ocorrer ataques porque as empresas desconhecem os vetores latentes estabelecidos antes do patch, disse a Trustwave.
Falando com o CSO em dezembro do ano passado, David Kennedy, antigo hacker da NSA e fundador da empresa de consultoria de segurança TrustedSec, disse: “Quando se olha para o que aconteceu com a SolarWinds, é um excelente exemplo de como um atacante poderia selecionar literalmente qualquer alvo que tivesse o seu produto implantado, que é um grande número de empresas em todo o mundo, e a maioria das organizações não teria a capacidade de incorporar isso na forma como reagiria a partir de uma perspetiva de deteção e prevenção”.
Em junho de 2021, o professor de gestão da Universidade de Richmond e especialista em gestão de riscos e engenharia industrial e de operações, Shital Thekdi, disse que o ataque SolarWinds não tinha precedentes devido à “sua capacidade de causar consequências físicas significativas”, afetando “fornecedores de infraestruturas críticas, com potencial impacto sobre a potência e a capacidade de fabrico” e criando uma intrusão contínua, que “deve ser tratada como um evento sério com potencial para causar grandes danos”.
2. Exploração EternalBlue e ataques de WannaCry/NotPetya ransomware
A seguir na lista da Trustwave está a exploração de EternalBlue e subsequentes incidentes de resgates de 2017. O grupo de hacking Shadow Brokers divulgou grandes explorações roubadas da Agência Nacional de Segurança dos EUA (NSA) que foram utilizadas para levar a cabo os altamente prejudiciais surtos de WannaCry e NotPetya ransomware, que afetaram muitos milhares de sistemas em todo o mundo, causando danos particulares aos serviços de saúde no Reino Unido e na Ucrânia. A exploração mais significativa, apelidada de EternalBlue, visava a vulnerabilidade CVE-2017-0144, que a Microsoft tinha remendado um mês antes da fuga dos Shadow Brokers. Segundo a Trustwave, a exploração EternalBlue ainda hoje está ativa no Shodan, o popular motor de busca de dispositivos ligados à Internet, que atualmente lista mais de 7.500 sistemas vulneráveis.
Em 2017, os investigadores da RiskSense declararam que “a exploração de EternalBlue é altamente perigosa, pois pode fornecer acesso instantâneo, remoto e não autenticado a quase todos os sistemas Windows da Microsoft não corrigidos, que é um dos sistemas operativos mais amplamente utilizados, tanto em casa como nas empresas”.
3. Falha de coração em OpenSSL
A vulnerabilidade Heartbleed 2014 continua a persistir, estimando-se que ameace mais de 200.000 sistemas vulneráveis, de acordo com o blogue da Trustwave. Os investigadores de segurança descobriram a grave falha (CVE-2014-0160) no OpenSSL, a tecnologia de encriptação que protege a web. Foi nomeado Heartbleed porque a falha existia na implementação da OpenSSL do protocolo de segurança TLS/DTLS (transport layer security protocols) do Heartbeat Extension (RFC6520) e permitia a qualquer pessoa na Internet ler a memória dos sistemas.
O ‘coração destroçado’ causou pânico em massa e foi rapidamente rotulado como uma das piores falhas de segurança na história da Internet, com o pioneiro da segurança informática, Bruce Schneier, a afirmar no seu blogue: “Catastrófico é a palavra certa. Numa escala de 1 a 10, este é um 11”.
Num artigo escrito para a CSO em 2014, o consultor de segurança Roger Grimes apresentou um plano em três passos para ajudar as organizações a obter o controlo dos seus ambientes OpenSSL e mitigar o bug do Heartbleed, acrescentando que o “OpenSSL provavelmente corre em 60% ou mais dos websites que oferecem ligações HTTPS e é utilizado para muitos outros serviços populares que utilizam protocolos baseados em SSL-/TLS, tais como POP/S, IMAP/S e VPNs. As hipóteses são que se conseguir ligar-se a um serviço baseado em SSL-/TLS e não estiver a correr Microsoft Windows ou Apple OS X, é vulnerável.
4. Execução de código remoto Shellshock em Bash
O Shellshock (CVE-2014-7169) é um bug na interface de linha de comando “Bourne Again Shell” (Bash) e existiu durante 30 anos antes da sua descoberta em 2014, escreveu a Trustwave: “A vulnerabilidade era considerada ainda mais grave do que a Heartbleed, pois permitia a um atacante assumir o controlo completo de um sistema sem ter um nome de utilizador e uma palavra-passe”, acrescentou a firma. Uma correção foi emitida em setembro de 2014 e a Shellshock é atualmente considerada inativa, a última cena na campanha de 2019 Sea Turtle, na qual os hackers utilizaram o sequestro de DNS para obter acesso a sistemas sensíveis.
Comentando em 2014, Daniel Ingevaldson, CTO da Easy Solutions, disse: “A exploração desta vulnerabilidade depende da funcionalidade bash ser de alguma forma acessível a partir da Internet. O problema com a bash é que ela é utilizada para tudo. Num sistema baseado em Linux, bash é a shell predefinida, e cada vez que um processo baseado na web precisa de chamar uma shell para processar a entrada, executando um comando (tal como ping, ou sed, ou grep, etc.) irá chamar bash”.
5. Apache Struts Remote Command Injection e Equifax Violation
Esta vulnerabilidade crítica de dia zero afeta o parser de Jacarta Multipart no quadro de desenvolvimento de aplicações web Apache Struts 2, descoberto em 2017. “Esta vulnerabilidade permitiu ataques de injeção de comandos remotos ao analisar incorretamente o cabeçalho do Content-Type HTTP inválido de um atacante”, disse. Meses mais tarde, o gigante de informação de crédito Equifax anunciou que os hackers tinham acedido aos dados da empresa potencialmente comprometendo informações sensíveis pertencentes a 143 milhões de pessoas nos EUA, Reino Unido e Canadá. Outras análises identificaram que os atacantes utilizaram a vulnerabilidade (CVE-2017-5638) como um vetor de ataque inicial.
Em setembro de 2017, Adam Meyer, estratega chefe de segurança da empresa de inteligência de ameaças SurfWatch Labs, afirmou: “Esta violação de dados em particular afetará uma pilha de autenticação amplamente utilizada por muitas organizações e agências federais para combater as suas próprias formas de fraude”. A Trustwave considerou esta vulnerabilidade como estando atualmente adormecida.
6. Vulnerabilidades de execução especulativa Meltdown e Spectre
A Trustwave citou as principais vulnerabilidades de CPU conhecidas como Meltdown e Spectre de 2018 na sua listagem abaixo. Estes pertencem a uma classe de falhas chamadas vulnerabilidades de execução especulativa que podem ser alvo por atacantes para explorar CPUs a executar computadores para obter acesso a dados armazenados na memória de outros programas em execução. A “Meltdown” (CVE-2017-5754) quebra o mecanismo que impede as aplicações de aceder à memória arbitrária do sistema. A Spectre (CVE-2017-5753 e CVE-2017-5715) engana outras aplicações para aceder a locais arbitrários dentro da sua memória. Ambos os ataques utilizam canais laterais para obter a informação de localização da memória alvo”, lê-se no blogue.
Ambas as vulnerabilidades são significativas porque abrem possibilidades de ataque perigosas. Por exemplo, o código JavaScript num website poderia usar o Spectre para enganar um navegador da web para revelar informações de utilizador e palavra-passe. Os atacantes poderiam explorar o Meltdown para ver dados pertencentes a outros utilizadores e mesmo outros servidores virtuais alojados no mesmo hardware, o que é potencialmente desastroso para os anfitriões de cloud computing. Felizmente, a Trustwave declarou que a Meltdown e aSpectre parecem estar atualmente adormecidas, sem explorações encontradas na natureza.
7. BlueKeep e computadores de secretária remotos como vetor de acesso
Anos antes da mudança para o trabalho remoto em massa e dos riscos de segurança desencadeados pela pandemia COVID-19, em março de 2020, sabia-se que os cibercriminosos tinham como alvo os computadores remotos, explorando as vulnerabilidades do RDP para roubar dados pessoais, credenciais de início de sessão e instalar o serviço de resgate. No entanto, em 2019, a ameaça dos computadores de secretária remotos como um vetor de ataque veio realmente à ribalta com a descoberta do BlueKeep, uma vulnerabilidade de execução de código remoto nos serviços de computadores de secretária remotos da Microsoft. “Os investigadores de segurança consideraram a BlueKeep particularmente séria porque era wormable, o que significa que os atacantes podiam usá-la para espalhar malware de computador para computador sem intervenção humana”, explicou a Trustwave.
De facto, tal foi a gravidade do problema que a Agência Nacional de Segurança dos EUA (NSA) emitiu o seu próprio aviso a este respeito. “Este é o tipo de vulnerabilidade que os atores cibernéticos maliciosos normalmente exploram através da utilização de código de software que visa especificamente a vulnerabilidade. Por exemplo, a vulnerabilidade poderia ser explorada para realizar ataques de negação de serviço. É provável que seja apenas uma questão de tempo até que os instrumentos de exploração remota se tornem amplamente disponíveis para esta vulnerabilidade. A ANS está preocupada que os atores cibernéticos maliciosos utilizem a vulnerabilidade em resgates e kits de exploração que contenham outras explorações conhecidas, aumentando as capacidades contra outros sistemas não corrigidos”.
A Trustwave afirma que a BlueKeep ainda está ativa e encontrou mais de 30.000 casos vulneráveis no Shodan.
8. A série Drupalgeddon e as vulnerabilidades do CMS
A série Drupalgeddon consiste em duas vulnerabilidades críticas que ainda hoje são consideradas ativas pelo FBI, de acordo com a Trustwave. O primeiro, CVE-2014-3704, foi descoberto em 2014 e assume a forma de uma vulnerabilidade de injeção SQL no sistema de gestão de conteúdos de código aberto Drupal Core, que ameaça os atores explorados para hackear um número massivo de sítios web. Quatro anos mais tarde, a equipa de segurança do Drupal revelou outra vulnerabilidade extremamente crítica designada Drupalgeddon2 (CVE-2018-7600) que resultou de uma validação de entrada insuficiente no API do Drupal 7 Forms, e permitiu a um atacante não autenticado executar código remoto em instalações Drupal padrão ou comuns. “Os atacantes usaram a vulnerabilidade Drupalgeddon2 para extrair a moeda criptográfica Monero em servidores com instalações Drupal comprometidas”, escreveu a Trustwave.
Em finais de 2014, o Departamento de Educação de Indiana culpou a primeira vulnerabilidade Drupal por um ataque no seu website que a obrigou a derrubá-la temporariamente enquanto o problema estava a ser resolvido.
9. A vulnerabilidade do Microsoft Windows Sandworm OLE
A penúltima vulnerabilidade na lista da Trustwave é a vulnerabilidade do Microsoft Windows Object Linking and Embedding (OLE) CVE-2014-4114, detetada em 2014. “A falha foi utilizada em campanhas de ciberespionagem russas que visavam organizações e empresas da NATO, do governo ucraniano e ocidental no sector energético”, lê-se no blogue. A vulnerabilidade ganhou o apelido de Sandworm devido ao grupo de atacantes que lançou a campanha: a “Equipa Sandworm”. A Trustwave considera-o atualmente adormecido.
10. Vulnerabilidades Ripple20 e a crescente paisagem da IdC
Por último na lista da Trustwave estão as vulnerabilidades do Ripple20, que realçam os riscos que rodeiam a crescente paisagem da IdC. Em junho de 2020, a empresa israelita de segurança IoT JSOF publicou 19 vulnerabilidades coletivamente chamadas Ripple20 para ilustrar o “efeito de ondulação” que elas terão nos dispositivos ligados nos próximos anos. “As vulnerabilidades estavam presentes na pilha da rede Treck, utilizada por mais de 50 vendedores e milhões de dispositivos, incluindo dispositivos de missão crítica nos cuidados de saúde, centros de dados, redes elétricas e infraestruturas críticas”, disse a Trustwave numa declaração.
Como o CSO 2020 observou, algumas das falhas poderiam permitir a execução de código remoto em toda a rede e levar a um compromisso total dos dispositivos afetados. As vulnerabilidades do Ripple20 ainda hoje estão ativas, segundo a Trustwave.
As vulnerabilidades representam riscos muito tempo após a sua deteção, se as organizações não aplicarem correções. A Trustwave citou o facto de várias das vulnerabilidades da sua lista terem sido detetadas há quase uma década, mas muitas delas continuaram a representar riscos ao longo do tempo, mesmo depois de terem sido disponibilizados remendos e correções. Isto sugere:
- Falta capacidade de rastrear e registar múltiplos serviços em funcionamento numa rede.
- Lutar para proteger e remendar bens sem perturbar o fluxo de trabalho.
- Reagir lentamente a zero dias.
Isto é suscetível de se tornar mais importante dado o forte aumento das vulnerabilidades de segurança de dia zero detetado em 2021, acrescenta a Trustwave.
Alex Rothacker, diretor de investigação de segurança da Trustwave Spiderlabs, explicou ao CSO que as organizações estão constantemente a apanhar as últimas vulnerabilidades. “Isto é extremamente desafiante, especialmente para organizações mais pequenas com pessoal limitado ou não especializado. Mesmo para organizações maiores, nem sempre há um remendo disponível. Tomemos o Log4j como exemplo. A maioria das versões vulneráveis do Log4j fazem parte de pacotes de software de terceiros de maior dimensão, e muitos destes fornecedores de terceiros ainda lutam para atualizar totalmente as suas aplicações complexas.
Além disso, à medida que o tempo passa, o foco muda para a vulnerabilidade seguinte, levando a que os remendos mais antigos por vezes sejam ignorados, acrescenta Rothacker. “Quanto mais antiga for uma vulnerabilidade, mais informação está disponível sobre a forma de a explorar. Basicamente, isto faz com que a vulnerabilidade se torne num fruto de baixo peso, exigindo menos habilidade por parte do atacante para explorar a vulnerabilidade conhecida. Para os atacantes sofisticados, é um alvo fácil”.