A agência de segurança cibernética do governo dos EUA, CISA, alertou na quinta-feira que hackers ligados à operação de malware Truebot estão explorando uma vulnerabilidade conhecida no aplicativo Netwrix Auditor para invadir organizações nos EUA e no Canadá.
Em um comunicado conjunto emitido junto com o FBI e parceiros de compartilhamento de informações no Canadá, a CISA instou os administradores de rede a aplicar imediatamente patches para falhas de execução remota de código no software de auditoria de TI vendido pela Netwrix.
A questão, marcada como CVE-2022-31199foi descoberto por pesquisadores da Bishop Fox exatamente um ano atrás com avisos de que os invasores podem usar esse problema para obter a execução arbitrária de código em servidores executando o Netwrix Auditor.
“Como esse serviço é normalmente executado com amplos privilégios em um ambiente do Active Directory, o invasor provavelmente seria capaz de comprometer o domínio do Active Directory”, disse. Bispo Fox explicou no momento.
A Netwrix, que afirma ter mais de 11.500 clientes em todo o mundo, lançou a versão 10.5 do Netwrix Auditor com correções para as vulnerabilidades.
Um ano depois, a CISA e parceiros de aplicação da lei dizem que hackers mal-intencionados estão explorando esta falha do Netwrix Auditor para fornecer novas variantes de malware Truebot e coletar e exfiltrar informações contra organizações nos EUA e no Canadá.
“Com base na confirmação de relatórios de código aberto e descobertas analíticas das variantes do Truebot, os agentes de ameaças aproveitaram o malware por meio de campanhas de phishing contendo hiperlinks de redirecionamento malicioso”, de acordo com o comunicado conjunto.
As agências publicaram um documento técnico detalhado com IOCs (indicadores de comprometimento) e outros dados para ajudar os defensores a procurar sinais de comprometimento e incitar os administradores de sistema a manter uma boa higiene de segurança.
Além de aplicar todos os patches disponíveis, a CISA também recomenda que a organização reduza a ameaça de atores mal-intencionados usando ferramentas de acesso remoto implementando controles de aplicativos para gerenciar e controlar a execução do software, incluindo programas de acesso remoto com lista de permissões.
Ele também pediu às empresas visadas que limitem estritamente o uso de RDP e outros serviços de desktop remoto e apliquem práticas recomendadas rigorosas para auditar a rede em busca de sistemas que usam RDP; e aplicar a tecnologia de autenticação multifator (MFA) resistente a phishing.
