Vazamento de Dados – Vários Alvos – Knush Yukasan

Nosso sistema de Monitoramento Avançado Persistente identificou, em 19/09, sequência de publicações nos sites de compartilhamento de texto Ghostbin e Pastebin contendo três vazamento de dados: município de Votuporanga/SP, município de  São João/SP e do Instituto de Zootecnia do Estado de São Paulo.

A notável sequência de ações foi realizada pelo hacker brasileiro Knush Yukasan.

Os três vazamentos incluem nomes de tabelas da base de dados e o conteúdo da tabela admin com credenciais de acesso.

Vulnerabilidades

Em uma quarta publicação do

Continuar Lendo

Life Hacking: uma forma inusitada de SQL Injection e XSS

O profissionais da área de segurança já estão acostumados às diferentes formas de injeção arbitrária de código em aplicações, especialmente SQL Injection e XSS (Cross-site scripting).

Hoje vamos falar de uma forma um pouco mais excêntrica e insólita de se perpetrar esses ataques: por meio de caneta e papel (!?).

Pois é! Diferente mesmo! 

Na eleição de 2010 na Suécia, alguns eleitores criativos e astutos parecem ter tentado hackear o banco de dados de votação apenas com caneta e papel.

Continuar Lendo

Vulnerabilidades – Vários Alvos (3) – Abkhazyan

Nosso sistema de Monitoramento Avançado Persistente detectou, em 13/09, nova publicação do grupo Abkhazyan de lista de 9 páginas suscetíveis a injeção de SQL (SQLi).

Duas delas já foram mencionadas aqui no Lab em outras publicações do mesmo grupo (educacao.itapeva.sp.gov.br – Link e saude.am.gov.br – Link), sendo que as demais incluem páginas de governo do Brasil, México e Paquistão.

  • http://www.aquidauana.ms.gov.br/
  • http://www.educacao.itapeva.sp.gov.br/
  • http://www.saude.am.gov.br/
  • http://www.multan.gov.pk/
  • http://www.miguelhidalgo.gob.mx/
  • http://www.eco3d.co.uk/
  • http://www.dockguard.co.uk/
  • http://www.minddesign.co.uk/
  • http://www.thecatching.com/

A publicação ocorreu no site de compartilhamento de código

Continuar Lendo

Vulnerabilidades – Vários Alvos (2) – Abkhazyan

Nosso sistema de Monitoramento Avançado Persistente detectou, em 11/09, nova publicação do grupo Abkhazyan de lista de 7 páginas suscetíveis a exploração de vulnerabilidade Struts2 (CVE-2017-5638).

  • https://processos.recife.pe.gov.br/
  • http://sistemasweb.agricultura.gov.br/
  • https://max.gov/maxportal/
  • https://www.servidor.rj.gov.br/
  • https://myeddebt.ed.gov/
  • http://app.tntbrasil.com.br/
  • https://scapub.sbe.sptrans.com.br/

A publicação ocorreu no site de compartilhamento de código Ghostbin e apresenta 5 páginas vinculadas a entidades públicas brasileiras vulneráveis: Município do Recife/PE, Ministério da Agricultura, Pesca e Abastecimento, Município do Rio de Janeiro e a empresa de transporte público de São Paulo. Além disso, página

Continuar Lendo

Desfiguração em Massa – Vários Alvos – Pr0w4r

Nosso sistema de Monitoramento Avançado Persistente (11/09) identificou 09 desfigurações de página diferentes domínios do governo brasileiro.

O hacker Pr0w4r, integrante da FactorCrew, assumiu a autoria dos ataques, sem que nenhuma mensagem política ou ideológica foi veiculada nas desfigurações.

Os domínios afetados são (ainda ativos no momento da publicação):

Vale destacar que os ataques parecem ter explorado alguma vulnerabilidade existente na aplicação “Mapa Cultural”,

Continuar Lendo

Invasão – Vários Alvos – Abkhazyan

Nosso sistema de Monitoramento Avançado Persistente detectou, em 08/09, publicação pelo grupo Abkhazyan de lista de 10 páginas suscetíveis a exploração de vulnerabilidade de desserialização Java.

A publicação ocorreu no site de compartilhamento de código Ghostbin e apresenta 5 páginas vinculadas a entidades públicas brasileiras vulneráveis: Caixa Econômica (2), Ministério do Planejamento, Secretaria da Fazenda do Rio de Janeiro, Secretaria de Segurança Pública do Estado do Tocantins. Além disso, página da Unimed está entre as indicadas como vulneráveis.

Detalhe curioso, uma do

Continuar Lendo

XSS e SQLi – Avira – Fact0r Cr3w

Nosso sistema de Monitoramento Avançado Persistente identificou divulgação de vulnerabilidades na página da empresa de antivírus Avira no serviço de compartilhamento de código Pastebin. Uma delas é um XSS e as outras são injeções de SQL publicadas pelo grupo hacker brasileiro Fact0r Cr3w.

A vulnerabilidade XSS permanece ativa: 

http://www.avira.in.th/br-ownz/<script>alert("pwnz")</script>

Uma das injeções de SQL retorna o seguinte erro:

http://www.avira.in.th/partner-login | user:' pass:'

Continuar Lendo

XSS – Vários Alvos – Superman e V4p0r

Nosso sistema de Monitoramento Avançado Persistente identificou divulgação de páginas brasileiras suscetíveis a uma vulnerabilidade no SharePoint, da Microsoft. A vulnerabilidade em si é relativamente antiga (CVE-2017-8514), já possui mais de um ano, mas dois hackers brasileiros identificaram páginas relevantes suscetíveis a ela.

Continuar Lendo

Phishing – Sorocaba e Jaguariaiva

Já relatamos aqui no Lab casos de phishings em diferentes entidades públicas, algumas com registros reiterados (Sorria, tem pescaria na Bahia, a saga continuafisherei, phishing 2.0, phishing BNDESphishing BNDES2, Espírito Santo e Vitória do Xingu).

Nosso Sistema de Monitoramento Avançado Persistente detectou dois novos casos de phishing contra os município de Sorocaba/SP e Jaguariaíva/PR, hospedados nas URL:

  • http://www.funservsorocaba.sp.gov.br/common/oauth2/authorize/error.php?P=_93894574342hdfjsixaoweue5_j1489738549283781331983743fncn_Product-UserID&userid
  • http://www.jaguariaiva.pr.gov.br/cache/com_plugins/ING/ING_vbv/de/index3.php

No caso da Fundação de Servidores Públicos de Sorocaba hospeda página do Office365, presumidamente com

Continuar Lendo

Transição para o HTTPS, um desastre verde e amarelo anunciado

Conforme já falamos aqui no Lab, o Google Chrome marcará todos os sites HTTP como “não seguros” a partir de julho de 2018. O objetivo dessa transição é tornar a web mais segura. Isso porque sem a camada de criptografia HTTPS, alguém com acesso ao seu roteador ou qualquer agente entre você e o site que você está acessando pode interceptar as informações trocadas (inclusive credenciais de acesso) ou injetar códigos malicioso em ataques conhecidos como

Continuar Lendo