BolhaSec News #26 - 24/11/2024 a 30/11/2024

XSS é apontada como a vulnerabilidade de software mais perigosa de 2024 na nova CWE list da MITRE: A nova lista da MITRE, elaborada em parceria com a CISA (Cybersecurity and Infrastructure Agency), destacou o Cross-Site Scripting, ou XSS, como a vulnerabilidade de software mais perigosa de 2024. A lista rankeia 25 tipos de falhas de segurança e inclui vulnerabilidades como out-of-bounds write, SQL injection, CSRF e path traversal. O foco desse ano foi a combinação entre a severidade e a frequência das vulnerabilidades. Um aspecto diferenciado da lista é a participação da comunidade de autoridades de numeração CVE, que ajudou a desenvolver a lista com dados de 148 CNAs (CVE Numbering Authorities) em 40 países. +Info

Homem em Kansas City é indiciado por hacking para promover seus serviços de cibersegurança: Um homem de Kansas City de 31 anos foi indiciado por invadir redes de computadores e usar o acesso para promover serviços de cibersegurança. Segundo o Departamento de Justiça dos EUA, ele hackeou duas organizações, incluindo uma academia e uma ONG, em diversas oportunidades. No primeiro incidente, em 26 de abril de 2024, ele invadiu uma academia e enviou um e-mail ao proprietário, alegando ter acessado os sistemas e oferecendo seus serviços de segurança. Durante essa invasão, reduziu sua taxa de associação a um dólar, removeu sua foto do banco de dados e controlou as gravações das câmeras de segurança. Em outro ataque, em 20 de maio, ele invadiu uma organização sem fins lucrativos, instalou uma VPN e causou danos estimados em cinco mil dólares. Se considerado culpado, pode enfrentar até 15 anos de prisão, além de multas e restituição pelos danos causados. Ele foi acusado de acesso não autorizado e danos imprudentes, enquanto o FBI investiga outros incidentes relacionados. +Info

Vulnerabilidade alta no GitLab Community e Enterprise: GitLab lançou atualizações de segurança para as edições Community (CE) e Enterprise (EE), abordando diversas vulnerabilidades, incluindo a de escalonamento de privilégios CVE-2024-8114 (CVSS 8.2 alta). A vulnerabilidade permite que um atacante que possua o Personal Access Token (PAT) de uma vítima eleve seus privilégios. As versões afetadas vão da 8.12 até antes de 17.4.5, 17.5.3 e 17.6.1. Com a atualização, foram resolvidas várias outras vulnerabilidades, como de Denial of Service (DoS), acesso não intencional a dados sensíveis e exaustão de recursos foram solucionadas. As vulnerabilidades foram descobertas via programa de bug bounty no HackerOne. +Info +Twitter

OWASP lança AI Security Guidance: A Open Web Application Security Project (OWASP) lançou novos materiais de orientação sobre segurança voltados para a adoção e gestão de large language models (LLMs) e aplicações de inteligência artificial generativa (GenAI). A iniciativa, parte do OWASP Top 10 de Aplicações LLM, ajuda organizações a identificar e gerenciar riscos associados a IA. O guia inclui documentos como o "Guide for Preparing and Responding to Deepfake Events", o "Center of Excellence Guide" e o "AI Security Solution Landscape Guide", que categoriza produtos de segurança existentes. O projeto reúne mais de 500 especialistas de cibersegurança e IA, ampliando seu foco em 2024 para incluir posições estratégicas como CISOs e responsáveis pela conformidade. Os novos recursos estão disponíveis a partir da versão 1.0 do material fornecido pela OWASP. +Info