Departamento de Defesa dos EUA divulga bugs críticos e de alta gravidade
O Departamento de Defesa dos EUA divulgou hoje detalhes sobre quatro vulnerabilidades de segurança em sua infraestrutura. Dois deles têm uma classificação de severidade alta, enquanto os outros dois receberam uma pontuação crítica.
As falhas foram relatadas em agosto e julho. Eles podem permitir que invasores sequestrem um subdomínio, executem código arbitrário remotamente ou visualizem arquivos na máquina afetada.
Todos os problemas foram relatados por meio da divulgação de vulnerabilidade do Departamento na plataforma de recompensa de bug HackerOne por diferentes hackers éticos.
Uma das vulnerabilidades críticas é um controle de subdomínio devido a um bucket do Amazon S3 não reclamado. O hacker ético chron0x, que encontrou o problema, afirma que ele pode ser explorado para hospedar conteúdo malicioso em um domínio legítimo.
Os visitantes do site podem ser alvos de ataques de phishing e script entre sites. A falha também permitiria que um invasor contornasse a segurança do domínio e roubasse dados confidenciais do usuário.
A segunda falha com uma classificação de gravidade crítica foi relatada por Hzllaga em 19 de agosto. É uma execução remota de código em um servidor DoD executando Apache Solr que não foi corrigido desde agosto de 2019.
O servidor era vulnerável a CVE-2019-0192 e CVE-2019-0193, mas apenas o último foi o suficiente para o hacker obter um shell no servidor. O código de exploração para ambos está disponível.
Bugs de alta gravidade
Outra falha decorrente de software sem patch, descoberta pelo analista de segurança de TI Dan (veterano da Marinha e da Guarda Costeira dos EUA), é uma passagem de caminho somente leitura que poderia ter dado a um invasor acesso a arquivos confidenciais arbitrários no sistema; está em um produto Cisco, descrito em detalhes aqui .
O segundo bug menos grave, mas um risco óbvio, no entanto, é uma injeção de código em um host DoD que pode levar à execução arbitrária de código, de acordo com o relatório da e3xpl0it , um testador de penetração na empresa de segurança cibernética Positive Technologies.
Embora a natureza dos bugs não seja segredo para o DoD, algumas informações foram suprimidas nos relatórios de bug.
Em todos os casos, o DoD foi rápido em validar e corrigir os problemas relatados. Segundo estatísticas da plataforma HackerOne, o Departamento leva em média oito horas para fazer a triagem dos bugs e tratar de todos eles.
Desde que o DoD iniciou o programa de divulgação de vulnerabilidade no HackerOne em novembro de 2016, ele abordou 9555 problemas de segurança. Um detalhe interessante é que o Departamento atendeu mais de um terço deles nos últimos três meses.