Table of Contents
Atualização do Open Policy Agent e a Vulnerabilidade CVE-2024-8260
Organizações que utilizam o Open Policy Agent (OPA) para Windows devem considerar a atualização para a versão v0.68.0 ou posterior para se proteger contra uma vulnerabilidade de vazamento de hash de autenticação identificada em todas as versões anteriores do motor de aplicação de políticas de código aberto.
A vulnerabilidade designada pelo identificador CVE-2024-8260 decorre de validação inadequada de entradas e permite que atacantes enganem o OPA para acessar um compartilhamento de Server Message Block (SMB) malicioso. Isso pode resultar em vazamento de credenciais e potencial exposição de informações sensíveis do sistema.
Habilitando Vazamentos de Credenciais
De acordo com os pesquisadores da Tenable, que descobriram o bug, “a exploração bem-sucedida pode levar ao acesso não autorizado vazando o hash Net-NTLMv2 — ou, em termos simples, as credenciais — do usuário que está atualmente logado no dispositivo Windows executando a aplicação OPA.” Após a exploração, o atacante poderia relatar a autenticação para outros sistemas que suportam NTLMv2 ou realizar cracking offline para extrair a senha.
Muitas organizações usam OPA para Windows para implementar e aplicar políticas de autorização e acesso a recursos em toda a sua pilha de software, incluindo aplicações nativas da nuvem, microsserviços e APIs. A tecnologia oferece às organizações uma maneira de garantir automação consistente de políticas e conformidade em ambientes mistos de Linux e Windows.
A vulnerabilidade descoberta pela Tenable permite que atacantes forcem um sistema vulnerável a se autenticar em um servidor do atacante e, assim, compartilhem credenciais de usuário no processo. O problema estava relacionado ao fato de que versões mais antigas do OPA para Windows não verificavam adequadamente o tipo de arquivos que recebiam. Normalmente, o OPA deve usar apenas o que são conhecidos como arquivos Rego para regras e políticas em torno da tomada de decisões. O que a Tenable descobriu foi que, devido à validação inadequada, um atacante poderia passar um compartilhamento SMB arbitrário em vez de um arquivo Rego para a interface de linha de comando do OPA ou uma de suas funções da biblioteca Go. Um atacante poderia injetar um caminho para seu próprio servidor no compartilhamento SMB e forçar o sistema que executa a instância vulnerável do OPA a se autenticar nele.
“Isso pode resultar em vazamentos de credenciais ou na execução de lógica maliciosa, representando sérios riscos para a integridade e segurança do sistema,” explicou a Tenable. Um adversário que obtiver um hash NTLM explorando a CVE-2024-8260 poderia usar o hash de várias maneiras, incluindo autenticação em outros sistemas e serviços, movimentação lateral, conexão a compartilhamentos de arquivos e tentativa de extrair a senha.
O NTLM (New Technology LAN Manager) é uma suíte de protocolos de autenticação da Microsoft que muitas organizações usam para habilitar o acesso único a aplicações e serviços empresariais. Atacantes frequentemente exploram o NTLM em ataques pass-the-hash e ataques de retransmissão NTLM, onde reutilizam um hash capturado para se autenticar em diferentes aplicações e serviços sem realmente conhecer a senha.
Lembrete sobre os Riscos do Código Aberto
A Tenable descreveu a vulnerabilidade que descobriu como um destaque para os riscos que as organizações assumem ao consumir software e código de código aberto. Em uma pesquisa que a Black Duck descreveu em seu “Relatório de Análise de Segurança e Risco do Código Aberto 2024”, o fornecedor encontrou que cerca de 96% das bases de código que analisou continham componentes de código aberto. Em média, 77% de todo o código nessas bases de código se originou do código aberto. Aproximadamente 84% das bases de código que passaram por uma avaliação de risco continham uma ou mais vulnerabilidades de segurança, e 74% tinham vulnerabilidades de alto risco, como Log4Shell e XZ Utils. Um surpreendente 14% das bases de código que a Black Duck avaliou apresentavam vulnerabilidades de código aberto não corrigidas que tinham mais de 10 anos.
“À medida que projetos de código aberto se tornam integrados em soluções amplas, é crucial garantir que sejam seguros e não exponham fornecedores e seus clientes a uma superfície de ataque aumentada,” disse Ari Eitan, diretor de Pesquisa em Segurança na Nuvem da Tenable, em uma declaração. “A descoberta dessa vulnerabilidade sublinha a necessidade de colaboração entre equipes de segurança e engenharia para mitigar tais riscos.”
#CVE20248260 #OpenPolicyAgent #Segurança #Vulnerabilidades #CódigoAberto #TI #Cibersegurança