A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta sobre hackers que estão explorando cookies persistentes não criptografados gerenciados pelo módulo F5 BIG-IP Local Traffic Manager (LTM) para realizar reconhecimento em redes-alvo. Esses hackers estão utilizando o módulo para identificar outros dispositivos internos da rede que não estão expostos à internet. No entanto, a CISA não revelou a identidade dos responsáveis ou os objetivos exatos da campanha.
“Ao explorar informações obtidas de cookies persistentes não criptografados, hackers podem identificar recursos adicionais da rede e potencialmente explorar vulnerabilidades em outros dispositivos conectados,” disse a CISA em comunicado.
A agência recomendou que as organizações criptografem os cookies persistentes usados nos dispositivos F5 BIG-IP, configurando essa proteção no perfil HTTP. Além disso, sugere que os administradores utilizem o utilitário de diagnóstico BIG-IP iHealth, da F5, para verificar possíveis falhas de segurança.
O iHealth Diagnostics avalia registros, comandos e a configuração do BIG-IP com base em um banco de dados de problemas conhecidos, erros comuns e melhores práticas publicadas pela F5, oferecendo feedback personalizado sobre problemas e orientações para correções.
Esse alerta da CISA coincide com um boletim conjunto emitido por agências de segurança cibernética dos EUA e do Reino Unido, que detalha atividades de hackers russos. Esses agentes, conhecidos como APT29 (também chamado de BlueBravo, Cloaked Ursa, Cozy Bear e Midnight Blizzard), têm como alvo setores diplomáticos, de defesa, tecnologia e finanças, com o objetivo de coletar inteligência e facilitar futuras operações cibernéticas.
APT29, afiliado ao Serviço de Inteligência Estrangeira da Rússia (SVR), é conhecido por operar de forma sigilosa, utilizando extensivamente a rede TOR e alocando infraestrutura operacional por meio de identidades falsas e contas de e-mail. As intrusões são projetadas tanto para coleta de inteligência quanto para estabelecer acesso persistente, comprometendo cadeias de suprimentos e utilizando vulnerabilidades conhecidas, credenciais fracas ou configurações incorretas.
Entre as falhas de segurança exploradas pelos hackers estão a CVE-2022-27924, uma falha de injeção de comando no Zimbra Collaboration, e a CVE-2023-42793, uma vulnerabilidade crítica no TeamCity Server que permite a execução remota de código.
APT29 exemplifica a inovação contínua nas táticas de hackers, que frequentemente destroem sua infraestrutura e eliminam evidências quando percebem que suas atividades foram detectadas. Eles também utilizam extensivamente redes de proxy, incluindo serviços de internet residencial e de telefonia móvel, para mascarar suas operações em meio ao tráfego legítimo, especialmente em interações com vítimas na América do Norte.
Para mitigar essas ameaças, as agências recomendam que as organizações estabeleçam uma linha de base para dispositivos autorizados e apliquem monitoramento rigoroso a sistemas que não aderem a essa norma.
Via - THN
Comentários