A autoridade de segurança de TI dos EUA, CISA, observou ataques ao SimpleHelp, Samsung MagicINFO e D-Link DIR-823X. Algumas das falhas de segurança atacadas são mais antigas.
Leia mais depois do anúncio
No alerta da CISA, a agência anota a entrada da vulnerabilidade. Os ataques que estão atualmente em andamento visando vulnerabilidades na ferramenta de manutenção remota do SimpleHelp RMM parecem ser os mais graves. Um deles permite que um invasor privilegiado crie uma chave de API de alto privilégio e, assim, obtenha a função de administrador do servidor (CVE-2024-57726, CVSS 9,9risco”crítico“). O outro permite o upload de arquivos ZIP manipulados, que envia o arquivo para um local no sistema de arquivos e assim permite a execução de seu próprio código com direitos do servidor SimpleHelp (CVE-2024-57728, CVSS). 7.2risco”esse“). A versão 5.5.8 ou posterior corrige o problema. No entanto, a vulnerabilidade já foi explorada em janeiro de 2025. Aparentemente, alguns administradores ainda não aplicaram as atualizações disponíveis.
Samsung MagicINFO 9 Server é uma plataforma de sinalização digital para controle de displays em empresas e instituições públicas. Devido à vulnerabilidade, um invasor pode gravar arquivos arbitrários no sistema com privilégios de sistema. Aparentemente, isso permite que o código injetado seja executado. Vulnerabilidade CVE-2024-7399 (CVSS 9,8risco”crítico“) é um pouco antigo, a Samsung deu uma atualização em agosto de 2024. Habilitar atualizações automáticas via “Menu” – “Suporte” – “Atualização de software” deve encontrar atualizações e enviá-las para o dispositivo.
Botnets em roteadores EOL
Atores maliciosos também têm como alvo o roteador D-Link DIR-823X. Isso permite que um invasor da rede execute comandos arbitrários após fazer login (CVE-2025-29635, CVSS 7.2risco”esse“). No entanto, o suporte para este roteador expirou em 15 de novembro de 2024. Qualquer pessoa que ainda tenha um dispositivo desatualizado no ambiente de TI deve substituí-lo rapidamente por uma atualização de segurança do fabricante. O provedor de nuvem e segurança Akamai relatou na semana passada sobre um ataque a roteadores D-Link pela botnet Mirai, que se espalha por dispositivos Snort conhecidos, e a empresa fornece ataques Snort. e malware.
Não há mais informações sobre outros ataques atuais, como tipo, escopo ou indicadores de ataques bem-sucedidos (Indicadores de Compromisso, IOC). No entanto, os gestores de TI devem implementar as atualizações disponíveis o mais rápido possível.
(dmk)
