Thomás Capiotti – CIO XLABS ON SECURITY

https://www.xlabs.com.br/

Fundador de empresa de tecnologia, Maurício Corrêa, reportou falha de segurança que pode desestabilizar links de internet no mundo inteiro; a descoberta entrou em catálogo global de vulnerabilidades

 

A Oracle publicou recentemente uma atualização de segurança para evitar que 2,3 milhões de servidores rodando o serviço RPCBIND sejam utilizados em ataques de DDoS amplificado. O ataque DDoS manifesta-se de várias formas, nomeadamente: por uma sobrecarga da largura de banda ou pelo esgotamento dos recursos do sistema.

Na prática, a rede fica sobrecarregada e o servidor deixa de conseguir tratar os pacotes legítimos entre a série de informações. A falha que permite essa exploração foi descoberta pelo pesquisador brasileiro Maurício Corrêa, fundador da empresa segurança XLabs ON Security, de São Leopoldo (RS) . Uma exploração dessa falha tem o potencial de causar grandes problemas na Internet. A XLabs ON Security é resultado da fusão das empresas XLabs Security e ON Security, que ocorreu em 2016.

No dia dessa descoberta, o buscador Shodan, um mecanismo que permite ao usuário encontrar tipos específicos de computadores conectados à Internet, indicava a existência de quase 2,6 milhões de servidores rodando o RPCBIND na Internet (veja imagem abaixo). A multiplicação desses programas maliciosos num parque de 2,6 milhões de servidores leva a uma conclusão assustadora.

O RPCBIND é o software que fornece aos programas-clientes a informação de que eles precisam sobre os programas servidores disponíveis numa rede. Ele roda na porta 111 e responde com endereços universais dos programas servidores, para que os programas clientes possam requisitar dados por meio de chamadas de procedimento remotas (RPCs). Esses endereços são formados pelo conjunto IP do servidor mais porta. Desde seu lançamento, o RPCBIND recebe atualizações que cobrem várias falhas, entre elas as de segurança. Esta, no entanto, é a mais grave descoberta até agora.

A descoberta da falha começou no dia 11 de junho deste ano. Naquele dia, um dos sistemas de proteção – WAFs (web application firewalls), instalado no centro de operações de segurança da XLabs ON Security detectou um padrão anormal de tráfego na rede que chamou a atenção de Maurício. Os dados mostravam que havia um ataque DDoS em andamento, vindo da porta 111 de vários servidores, todos de outros países.

“Decidimos então abrir um servidor com a porta 111 exposta na Internet, com as mesmas características daqueles que estavam nos atacando e ficamos monitorando esse servidor durante semanas. Acabamos descobrindo que ele estava recebendo requisições para gerar ataques”, explicou. Após análise mais profunda do assunto, foi possível reproduzir o ataque em laboratório. “Ao analisar no Shodan os servidores expostos, confirmou-se a extensão do problema”, acrescenta Maurício.

O problema descoberto por Maurício é pior do que o Memcrashed, detectado em fevereiro deste ano. Nesse tipo de ataque distribuído de negação de serviço (DDoS), existe uma amplificação do tráfego com o uso do memcached, um serviço que não exige autenticação, mas que andou muito exposto na internet por administradores de sistema inexperientes.

Depois de elaborar a POC (prova de conceito), Maurício informou o problema a área de segurança da Oracle, já que o RPCBIND é uma solução originária da Sun, que foi adquirida pela empresa em 2010. Ele enviou as informações para que os especialistas da empresa pudessem confirmar e avaliar o problema. A confirmação chegou por email (veja imagem abaixo), com o anúncio da data de publicação do patch que ocorreu semana passada.

A vulnerabilidade entrou no catálogo geral e ganhou o código CVE-2018-3172. CVE é uma lista global de falhas de segurança catalogadas.

https://startse.com/noticia/pesquisador-brasileiro-descobre-falha-de-seguranca-global-na-oracle

O Papo de SysAdmin agradece  ao Board da XLabs ON Security por compartilhar conosco esta  excepcional descoberta de vulnerabilidade  para o Universo da Tecnologia. Sentimo-nos honrados e agradecidos em publicar esta  conquista, motivo de orgulho e incentivo para o Brasil.

APRENDA. COMPARTILHE. EVOLUA.