Relatório de Assinaturas
de Ameaças

Aqui você encontra informações sobre as últimas
assinaturas de ameaças geradas por nossos especialistas.

Junho/22

Exploit dotCMS

Quando arquivos são carregados no dotCMS por meio de um API de conteúdo, o dotCMS grava o arquivo em um diretório temporário.  No caso desta vulnerabilidade, o dotCMS não limpa o nome do arquivo passado por meio do cabeçalho de solicitação de várias partes e, portanto, não limpa o nome do arquivo temporário.

 

Assinaturas geradas pela Blockbit

sid:2036457

dotCMS Arbitrary File Upload Attempt M1

 
sid:2036458
dotCMS Arbitrary File Upload Attempt M2
Exploit Zyxel Firewalls

Essa vulnerabilidade afeta firewalls Zyxel que suportam Zero Touch Provisioning (ZTP), que inclui as séries ATP, VPN e USG FLEX (incluindo USG20-VPN e USG20W-VPN). A vulnerabilidade, identificada como CVE-2022-30525, permite que um invasor remoto e não autenticado consiga a execução de código arbitrário como o usuário no dispositivo afetado.

 

Assinatura gerada pela Blockbit

sid:2036596
[Rapid7] Zyxel ZTP setWanPortSt mtu Parameter Exploit Attempt (CVE 2022-30525)

Exploit Apache CouchDB

Recentemente, o Apache emitiu um aviso de risco para a vulnerabilidade de execução remota de código do Apache CouchDB, o número da vulnerabilidade é CVE-2022-24706 e a gravidade é crítica.

 

No Apache CouchDB anterior à versão 3.2.2, um invasor pode acessar uma instalação padrão inadequadamente protegida sem autenticação e obter privilégios de administrador.

 

Assinatura gerada pela Blockbit

sid:2036650
Default Apache CouchDB Erlang Cookie Observed (CVE-2022-24706)
Exploit Telesquare SDT-CW3B1 1.1.0

O Telesquare SDT-CW3B1 1.1.0 é afetado por uma vulnerabilidade de injeção de comando do sistema operacional que permite que um invasor remoto execute comandos do sistema operacional sem qualquer autenticação.

 

Assinatura gerada pela Blockbit

sid:2036663
Telesquare SDT-CW3B1 1.1.0 – OS Command Injection (CVE-2021-46422)
Exploit SolarView Compact
Foi descoberto que o SolarView Compact ver.6.00 contém uma vulnerabilidade de injeção de comando via conf_mail.php.
 
Assinatura gerada pela Blockbit:
sid:2036649
SolarView Compact Command Injection Inbound (CVE-2022-29303)
Exploit ThinkPHP

Considerando o impacto potencialmente extenso dessa vulnerabilidade, os usuários são aconselhados a ficar atentos e tomar as medidas necessárias para se proteger.

 

Assinaturas geradas pela Blockbit

sid:2036598
Attempted ThinkPHP < 5.2.x RCEInbound (CVE-2018-20062)
 
sid:2036599
Attempted ThinkPHP < 5.2.x RCE Outbound (CVE-2018-20062)
Exploit Sophos Firewall

Uma vulnerabilidade de desvio de autenticação no Portal do Usuário e no Webadmin permite que um invasor remoto execute código no Sophos Firewall na versão v18.5 MR3 e em versões anteriores.

 

Assinaturas geradas pela Blockbit

sid:2036548
Sophos Firewall Authentication Bypass (CVE-2022-1040)
 
sid:2036549
Sophos Firewall Authentication Bypass (CVE-2022-1040) Server Response M1
 
sid:2036550
Sophos Firewall Authentication Bypass (CVE-2022-1040) Server Response M2

Maio/22

Exploit VMware

A vulnerabilidade é uma execução remota de código (RCE) crítica (CVSS: 9.8), que afeta o VMware Workspace ONE Access e o VMware Identity Manager, dois produtos de software amplamente utilizados.

 

Assinaturas geradas pela Blockbit

Sid:2035876
VMWare Server-side Template Injection RCE (CVE-2022-22954)
 
Sid:2035874
VMWare Server-side Template Injection RCE (CVE-2022-22954)

Sid:2035875
VMWare Server-side Template Injection RCE (CVE-2022-22954)
Exploit F5 BIG-IP

Uma vulnerabilidade F5 BIG-IP recentemente divulgada foi usada em ataques destrutivos, tentando apagar o sistema de arquivos de um dispositivo e tornar o servidor inutilizável.

 

Assinaturas geradas pela Blockbit

sid:2036546
F5 BIG-IP iControl REST Authentication Bypass (CVE 2022-1388) M1
 
sid:2036547
F5 BIG-IP iControl REST Authentication Bypass Server Response (CVE 2022-1388)
Nginx Zero-Day

Um problema nginx Zero-Day RCE foi identificado na implementação do nginx LDAP-auth daemon, que vazou brevemente.

 

Assinatura gerada pela Blockbit

sid:2035897
Possible NGINX Reference LDAP Query Injection Attack
Exploit Redis RCE Attempt

Foi descoberto que o Redis, um banco de dados de chave-valor persistente, devido a um problema de empacotamento, é propenso a escapar do sandbox lua (específico do Debian), o que poderia resultar na execução remota de código.

 

Assinaturas geradas pela Blockbit

sid:2035718
Redis RCE Attempt (CVE-2022-0543) M1
 
sid:2035719
Redis RCE Attempt (CVE-2022-0543) M2
 
sid:20357120
Possible Redis RCE Attempt – Dynamic Importing of liblua
Exploit Gitlab: Tentativa de login com senha hardcoded
Uma senha hardcoded foi definida para contas utilizando um provedor OmniAuth (e.g. OAuth, LDAP, SAML) nas versões GitLab CE/EE 14.7 até 14.7.7, 14.8 até 14.8.5 e 14.9 até 14.9.2, permitindo que atacantes tomassem tais contas.
 
Assinaturas geradas pela Blockbit:
 
sid: 2035751
Gitlab Login Attempt with hard-coded password (CVE-2022-1162)
 
sid: 2035750
Gitlab Login Attempt with hard-coded password (CVE-2022-1162)
Exploit Psychic Signatures em Java

Trata-se de uma vulnerabilidade de desvio de assinatura digital em Java que se deve à má implementação do Algoritmo de Assinatura Digital de Curva Elíptica em Java. Essa vulnerabilidade de desvio de assinatura faz com que o Java aceite uma assinatura em branco como uma assinatura válida.

 

Assinaturas geradas pela Blockbit

sid:2036377
[ConnectWise CRU] Java ECDSA (Psychic) TLS Signature (CVE-2022-21449)
 
sid:2036392
[ConnectWise CRU] Java ECDSA (Psychic) Signed JWT Bypass (CVE-2022-21449)

Abril/22

KwampirsRAT

O Kwampirs é um trojan de acesso remoto capaz de obter acesso a máquinas e redes.

Assinatura gerada pela Blockbit

Sid 2023595 TROJAN Trojan.Kwampirs Outbound GET request

TrickBot

O Trickbot surgiu como um trojan bancário e se tornou um malware poderoso com capacidade para roubar dados, lançar ataques de ransomware e destruir arquivos.

Assinaturas geradas pela Blockbit

Sid 2023727 TROJAN ABUSE.CH SSL Blacklist Malicious SSL certificate detected (TrickBot CnC)

Sid 2033659 TROJAN Win32/TrickBot CnC Initial Checkin M2

Loki Locker

O Loki Locker se trata de uma ameaça capaz de infectar sistemas, criptografar arquivos armazenados e extorquir dinheiro de suas vítimas.

Assinatura gerada pela Blockbit

Sid 2035510 MALWARE Loki Locker Ransomware User-Agent

DarkHotel

O DarkHotel é uma campanha de espionagem que utiliza certificados falsos na rede Wi-Fi para ludibriar executivos hospedados em hotéis de luxo.

Assinatura gerada pela Blockbit

Sid 2021609 TROJAN Possible DarkHotel Landing M1

CaddyWiper

O CaddyWiper é um software malicioso projetado para limpar os dados armazenados em dispositivos infectados. Embora também seja do tipo wiper, o CaddyWiper não possui semelhanças significativas com o HermeticWiper ou o IsaacWiper.

Assinatura gerada pela Blockbit

Sid 59268 MALWARE-OTHER Win.Trojan.CaddyWiper download attempt Rule

Mustang Panda

Grupo de cibercriminosos responsáveis por ataques APT (Advanced Persistent Threat).

Assinaturas geradas pela Blockbit

Sid 2035551 TROJAN Suspected Mustang Panda APT Related Activity (GET)

Sid 2035552 TROJAN Suspected Mustang Panda APT Related Activity (GET)

Scarab

O Scarab se trata de um tipo de ransomware que se infiltra no sistema e para roubar vários dados.

Assinatura gerada pela Blockbit

Sid 2035557 TROJAN Scarab APT Related Domain in DNS Lookup

Verblecon

Verblecon é uma ameaça que funciona como um carregador, lançando outros conteúdos maliciosos nos dispositivos infectados por ele.

Assinaturas geradas pela Blockbit

Sid 2035659 TROJAN Trojan.Verblecon User Agent Observed

Sid 2035660 TROJAN Trojan.Verblecon Related Domain in DNS Lookup (gaymers .ax)

Sid 2035661 TROJAN Observed Trojan.Verblecon Related Domain (gaymers .ax in TLS SNI)

Sid 2035662 TROJAN Trojan.Verblecon Related Domain in DNS Lookup (jonathanhardwick .me)

Sid 2035663 TROJAN Observed Trojan.Verblecon Related Domain (jonathanhardwick .me in TLS SNI)

Sid 2035664 TROJAN Trojan.Verblecon Related Domain in DNS Lookup (.verble .rocks)

Sid 2035665 TROJAN Observed Trojan.Verblecon Related Domain (.verble .rocks in TLS SNI)

Sid 2035666 TROJAN Trojan.Verblecon Related Domain in DNS Lookup (verble .software)

Sid 2035667 TROJAN Observed Trojan.Verblecon Related Domain (verble .software in TLS SNI)

CrimsonRAT

O CrimsonRAT é um trojan de acesso remoto, que foi encontrado em e-mails de spearphishing com documentos mal-intencionados do Microsoft Office.

Assinaturas geradas pela Blockbit

Sid 2035598 TROJAN Win32/CrimsonRAT Variant Sending Command (inbound)

Sid 2035599 TROJAN Win32/CrimsonRAT Variant Sending Command M2 (inbound)

Sid 2035600 TROJAN Win32/CrimsonRAT Variant Sending System Information (outbound)

Log4Shell

Considerado o maior zero day da última década, o Log4Shell é uma vulnerabilidade detectada na biblioteca de código aberto Apache Log4j.

Assinaturas geradas pela Blockbit

DNS Query for Observed CVE-2021-44228 Security Scanner Domain (log4shell .huntress .com)

VMWare vSphere log4shell exploit attempt

Sid 2034820

Sid 58811

Sid 58812

Sid 58813

CVE-2021-44228

CVE-2021-44832

CVE-2021-45046

CVE-2021-45105

SpringCore

Considerado como o novo Log4j, o Spring4Shell é uma vulnerabilidade que afeta o SpringCore, uma estrutura amplamente usada em aplicativos Java.

Assinaturas geradas pela Blockbit

Sid 2035670 Possible Spring Cloud Connector RCE Inbound (CVE-2022-22963)

Sid 2035674 Possible SpringCore RCE/Spring4Shell Stage 1 Pattern Set Inbound (Unassigned)

Sid 2035675 Possible SpringCore RCE/Spring4Shell Stage 2 Suffix Set Inbound (Unassigned)

Sid 2035676 Possible SpringCore RCE/Spring4Shell Stage 3 Directory Set Inbound (Unassigned)

Sid 2035677 Possible SpringCore RCE/Spring4Shell Stage 4 Prefix Set Inbound (Unassigned)

Sid 2035678 Possible SpringCore RCE/Spring4Shell Inbound (Unassigned)

Março/22

HermeticWiper

Este tipo de malware foi detectado em órgãos governamentais e estruturas empresariais na Ucrânia no final de fevereiro. O HermeticWiper corrompe os dados de um sistema e impede que as máquinas respondam ou funcionem completamente.

Assinatura de código gerada pela Blockbit:

Sid 59099 malware-other – MALWARE-OTHER Win.Malware.HermeticWiper binary download attempt

Sid 59100 malware-other – MALWARE-OTHER Win.Malware.HermeticWiper binary download attempt

Acredita-se que o Cyclops Blink seja uma variação do malware VPNFilter, exposto em 2018, que infectou roteadores com o objetivo de manipular sites visitados por usuários na mesma rede Wi-Fi.


Assinatura de código gerada pela Blockbit:


Sid 59095-59098 malware-other – MALWARE-OTHER

Unix.Trojan.CyclopsBlink download attempt

IsaacWiper

Semelhante ao HermeticWiper, também é um malware destruidor de dados que tem afetado organizações ucranianas. É o mais recente entre os malwares citados neste artigo.

Assinatura de código gerada pela Blockbit:

Sid 59163 – MALWARE-TOOLS Win.Malware.IsaacWiper variant download attempt Rule

Sid 59164 – MALWARE-TOOLS Win.Malware.IsaacWiper variant download attempt Rule

Dirty Pipe

O Dirty Pipe permite que um atacante substitua dados em arquivos somente de leitura. A ameaça também possibilita a alteração de privilégios por meio de códigos adicionados nos processos raiz.

Assinaturas geradas pela Blockbit

Sid 59256 OS-LINUX Linux Kernel Dirty Pipe privilege escalation attempt

Sid 59257 OS-LINUX Linux Kernel Dirty Pipe privilege escalation attempt

B1txor20

Esse tipo de malware infecta os computadores utilizando um método conhecido como “DNS Tunneling”, explorando a vulnerabilidade do Log4j.

Assinatura gerada pela Blockbit

Sid 2035458 TROJAN Linux/B1txor20 Backdoor Related Domain in DNS Lookup

Assinaturas geradas pela Blockbit

Sid 2023727 TROJAN ABUSE.CH SSL Blacklist Malicious SSL certificate detected (TrickBot CnC)

Sid 2033659 TROJAN Win32/TrickBot CnC Initial Checkin M2