Este ataque explora uma falha relacionada ao protocolo SSL 3.0 e a cifras fracas. A vulnerabilidade permite que um usuário malicioso consiga interceptar conexões seguras entre clientes e servidores e forçá-los a utilizar SSL 3.0.

Como identifico que estou vulnerável?

1 - Teste usando o Nmap
nmap -sV --version-light --script ssl-poodle -p 443 "IP"

2 - Teste usando cURL
$curl -v3 -X HEAD https://"IP" ou "dominio"

3 - Teste usando a página da Qualys
https://www.ssllabs.com/ssltest/index.html

4 - Executar a ferramenta Vtest do CAIS
https://vtest.cais.rnp.br/cgi-bin/check_vul.pl


Como corrigir a vulnerabilidade?

1 - http://disablessl3.com/(Linux)
2 - https://www.linode.com/docs/security/security-patches/disabling-sslv3-for-poodle(Linux)
3 - https://access.redhat.com/solutions/1232413(Linux)
4 - https://www.nartac.com/Products/IISCrypto(IIS - Windows)

Como recomendação sugerimos desativar o protocolo SSL 3.0 e utilizar cifras mais seguras. Para gerar um arquivo de configuração mais seguro para o Apache, recomendamos o acesso a página abaixo:
https://mozilla.github.io/server-side-tls/ssl-config-generator/


Maiores informações sobre a vulnerabilidade

https://www.us-cert.gov/ncas/alerts/TA14-290A https://www.openssl.org/~bodo/ssl-poodle.pdf

Servidores NTP vulneráveis podem ser usados em ataques de negação de serviço (DDos). Servidores que respondem consultas NTP Mode 6 para READVAR, podem retornar dados como: versão do NTP, versão do sistema operacional, entre outros.

Como se proteger?

Seguir as recomendações de Hardening do Team-Cymru para evitar consultas públicas do tipo READVAR
https://www.team-cymru.com/secure-ntp-template.html


Como verificar se estou vulnerável?

1 - Instalar o NTPQ em uma máquina fora da sua rede e executar a consulta READVAR:
# ntpq -c rv "IP"

2 - Utilizando o Nmap
sudo nmap -6 -sU -p 123 --script ntp-info "[Endereço IPv6]"

3 - Executar a ferramenta Vtest do CAIS

https://vtest.cais.rnp.br/cgi-bin/check_vul.pl

Se a consulta retornar algo diferente de "timeout" o seu servidor está vulnerável, dessa forma, é necessário seguir as recomendações acima para configurar seu servidor de forma segura.


Mais Informações
https://ntpscan.shadowserver.org/

Documentação para configuração segura de servidores NTP pelo CAIS
https://sgis.rnp.br/wiki/06hardening/Ntp/

O que é o PortMapper ?

O serviço portmap é um daemon de porta dinâmica para serviços RPC, como o NIS e o NFS. Tem mecanismos de autenticação fracos e tem habilidade para delegar uma enorme gama de portas para os serviços que controla. Por estas razões, é difcícil de proteger.

Como se proteger?

1 - Não deixar esse serviço público para toda a internet
2 - Utilizar TCP Wrappers
3 - Utilizar IPTables para bloquer o acesso a esses hosts

Como identificar a vulnerabilidade?

1 - tcpdump -i eth0 -n -Ss 0 -Xx host "IP informado abaixo"
2 - rpcinfo -T udp -p "IP"
3 - nmap -sU -sT -pU:111,T:111 --script=rpcinfo "IP"

O teste deve ser realizado de um IP fora da sua rede, caso o resultado exiba informações sobre o host você está vulnerável.

Mais Informações

http://www.cyberciti.biz/faq/linux-secure-portmap-with-iptables-tcp-wrappers/ https://www.cyberciti.biz/faq/debian-ubuntu-linux-disable-remove-nfs-services-daemons/

Os hosts com essa vulnerabilidade podem ser utilizados em ataques distribuídos de reflexão de negação de serviço (DRDoS) e permitir consultas públicas de gerenciamento de rede envolvendo o protocolo SNMP. Consultas desse tipo podem retornar dados como:

- Versão do sistema operacional
- Informações sobre hardware, nome do host entre outros

Como se proteger?

• Desativar SNMP v1 e v2c e utilizar SNMP v3
• Restringir o acesso SNMP para hosts específicos através de listas de controle de acesso (ACLs).
• Restringir todas as saídas SNMP através da utilização de views.
• Desativar o protocolo SNMP nos dispositivos que não precisarem de gerenciamento.

Como verificar se o host está vulnerável?

1 - Instalar o SNMP em uma máquina fora da sua rede
2 - Executar os comandos abaixo
snmpget -c public -v 2c 1.3.6.1.2.1.1.1.0
snmpget -c public -v 2c 1.3.6.1.2.1.1.5.0
snmpwalk -v2c -c public

Se a consulta retornar algo diferente de "timeout" o seu host esta vulnerável, dessa forma, é necessário seguir as recomendações acima para configurar o mesmo de forma segura.

Mais Informações

https://snmpscan.shadowserver.org/ http://www.prolexic.com/kcresources/prolexic-threat-advisories/prolexic-ddos-threat-advisory-snmp-reflector/TA-SNMP-Reflection-US-052014.pdf

Hosts configurados de forma a permitir consultas públicas sobre servidores MySQL, podem retornar dados como:

- Versão do sistema operacional
- Informações sobre hardware, nome do host entre outros

Como se proteger?

Restringir o acesso ao MySQL Server para hosts específicos através de listas de controle de acesso (ACLs).

Como verificar se estou vulnerável?

Para verificar se o seu host está vulnerável, execute as rotinas abaixo:
1 - Executar o Nmap
nmap -sV -sC "IP Vulnerável"

ou

2 - Instalar o telnet
3 - Executar o comando no terminal do Linux ou Windows
telnet "IP" 3306

Servidores vulneráveis utilizando sistema memcached podem disponibilizar informações sigilosas na internet.
O CAIS foi notificado sobre o uso de sistemas memcached disponíveis na internet, o memcached é um sistema de cache em memória distribuído de propósitos gerais. É frequentemente usado para acelerar sites dinâmicos database-driven cacheando dados e objetos na memória RAM para reduzir o número de vezes que uma fonte de dados externa (como um banco de dados ou uma API) deva ser acessada.

Como se proteger?

O CAIS recomenda que ao menos uma das soluções abaixo sejam executadas para proteger seu servidor de banco de dados contra ataques desse tipo.

• Se o seu servidor Memcached precisa estar acessível remotamente na Internet, as portas TCP usado pelo sistema precisam ser tratadas no firewall ou filtradas.
• Por padrão Memcached escuta em toda a interface disponível, deve-se alterar para limitar a uma interface específica como ' 127.0.0.1 '.
• Caso o seu servidor Memcached suporte autenticação de controle de acesso ou recursos de criptografia , recomenda-se a utilização deles para melhorar a segurança do sistema.
• É recomendado logar os acessos solicitados, incluindo falhas de autenticação ou autorizações.

Como verificar se o servidor está vulnerável?

Para verificar se o seu servidor está vulnerável, execute as rotinas abaixo:
1 - Usando o Nmap
nmap -p 11211 "IP" --script memcached-info

2 - Executar Telnet de algum computador fora da sua rede
telnet "IP" 11211

3 - Executar algum dos comandos abaixo para verificar se o servidor está respondendo consultas externas
stats
ou
stats items

Se a consulta retornar algo diferente de "timeout" o seu servidor está vulnerável, dessa forma, é necessário seguir as recomendações acima para configurar seu servidor de forma segura.

Mais Informações

http://memcached.org/ https://kb.iweb.com/hc/en-us/articles/230268328-Securing-your-Memcached-Server https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack

O que é o o protocolo SMB ?

É um protocolo de compartilhamento de arquivos em rede que permite que os aplicativos de um computador leiam e gravem em arquivos e solicitem serviços dos programas do servidor em uma rede de computadores

Geralmente os hosts vulneráveis estão com a porta 445 aberta para a internet, isso pode permitir que usuários maliciosos explorem essa porta para atividades maliciosas, o caso mais recente de exploração dessa porta está relacionado com o ransomware WannaCry.

Como se proteger?

1 - Não deixar esse serviço público para toda a internet ( limitar via firewall o acesso externo para a porta 445/TCP )

Como verificar a vulnerabilidade?

1 - nmap -p445 --script smb-vuln-ms17-010 "seu IP/rede"

O teste deve ser realizado de um IP fora da sua rede, caso o resultado exiba informações mostrando que o host está com a porta aberta, isto indica que você está vulnerável.

Este tipo de vulnerabilidade pode ser explorada para a realização de ataques de negação de serviço distribuídos (DDoS). Os hosts também podem ser dispositivos como sistemas de câmeras CFTV.

Como se proteger?

As configurações do host devem ser revistas, de forma a permitir somente consultas internas. Caso este serviço não seja utilizado, recomendamos a desativação do mesmo.

Para testar se este serviço está ativo no host, é possível executar o comando abaixo:
printf '<\252>\n' | nc -u <ENDERECO_IP> 3702

OBS: O campo [ENDERECO_IP] deverá ser substituído pelo IP que deseja testar.

As vunerabilidades descritas pelos CVEs listados abaixo afetam as versões 8.8.15 e 9.0 do Zimbra Collaboration Suite:

CVE-2022-24682
CVE-2022-27924
CVE-2022-27925 combinado com o CVE-2022-37042
CVE-2022-30333

Dentre outros problemas, essas vunerabilidades combinadas permitem que um atacante execute código arbitrário sem autenticação e/ou obtenha acesso não autorizado a contas de usuários do sistema, possibilitando o abuso dessas contas para phishing e furto de informações sensíveis, bem como o upload de arquivos não autorizados para o servidor da vítima.

Recomendamos que siga as instruções de atualização publicadas pelo desenvolvedor nos URLs abaixo:

https://wiki.zimbra.com/wiki/Security_Center
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

Como faço para determinar se meu servidor foi comprometido?

Recomendamos que verifique o sistema e seus logs em busca de processos desconnhecidos, autenticações e tráfego de rede incomuns.

Alguns IoCs (Indicators of Compromise) tem sido publicados sobre esse problema. Os IoCs podem ser encontrados no documento abaixo:

https://www.cisa.gov/uscert/ncas/alerts/aa22-228a

Esse documento poderá ser atualizado para incluir novos IoCs que possivelmente surjam futuramente.

Caso o seu sistema tenha sido comprometido, será necessário, além das atualizações, a remoção dos arquivos relacionados aos IoCs ou reinstalação completa do sistema.

Onde posso obter mais informações sobre o problema?

Você pode obter mais informações sobre o problema nos URLs abaixo:

- CISA Alert (AA22-228A) - Threat Actors Exploiting Multiple CVEs Against Zimbra Collaboration Suite (inclui referências para outras fontes)
https://www.cisa.gov/uscert/ncas/alerts/aa22-228a

- Mass Exploitation of (Un)authenticated Zimbra RCE: CVE-2022-27925
https://www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/

- Zimbra Security - News & Alerts
https://wiki.zimbra.com/wiki/Security_Center

Servidores podem estar com Netbios aberto configurado de forma a permitir consultas com origem externa de forma indiscriminada. Este tipo de servidor pode ser utilizado como fonte de ataques de negação de serviço distribuídos (DrDoS). Recomenda-se que as configurações do servidor sejam revistas, de forma a permitir somente consultas internas e caso este serviço não seja utilizado, a desativação do mesmo.

Para testar se este serviço está ativo no servidor, é possível executar os comandos abaixo:

Windows
netstat -an | findstr [PORTA]

Linux
netstat -an | grep [PORTA]

OBS: O campo [PORTA] deverá ser substituído pela porta notificada(Ver detalhes do incidente no final da mensagem).

Como desativar o Netbios em servidores Windows:
http://technet.microsoft.com/en-us/library/cc940063.aspx

Como testar se ainda estou vulnerável
http://pentestlab.wordpress.com/2012/08/19/scanning-netbios/