BolhaSec News #35 - 09/02/2025 a 15/02/2025

O que tem nessa edição?

Além do tradicional formato com ~4 resumos das notícias de segurança mais interessantes da semana, adicionei a seção Dump com menções a notícias que achei interessantezinha, mas não o suficiente para terem seus resumos na seção principal.

Falha humana derrubou múltiplos serviços da Cloudflare: O Cloudflare R2, uma plataforma de object storage similar ao Amazon S3, enfrentou uma interrupção significativa devido a um erro ao tentar bloquearem uma URL de phishing. Tudo começou quando um funcionário, ao responder a um relatório de abuso, desativou acidentalmente todo o serviço R2 Gateway, em vez de apenas bloquear o endpoint específico. A falha durou quase uma hora, afetando gravemente serviços como o Stream e o Images, que registraram 100% de falhas em uploads e entregas de vídeo e imagens. A Cloudflare reconheceu que a ausência de controles no sistema e falhas de treinamento levaram ao incidente. Imagina a bronca que o pobre do funcionário deve ter levado. +Info +Info2 +Info3

Novo zero-day no PostgreSQL está ligado ao ataque contra o Tesouro dos EUA: Algumas semanas atrás, comentamos sobre um caso onde hackers chineses acessaram remotamente estações de trabalho do Departamento do Tesouro dos EUA. Agora, a famosíssima Rapid7 anunciou a descoberta de um novo zero-day no PostgreSQL, CVE-2025-1094 (CVSS 8.1, alta), que foi utilizado no ataque para comprometer as máquinas do Departamento do Tesouro dos EUA. O bug está na maneira como o psql manipula sequências de bytes inválidas de caracteres UTF-8 malformados. Em testes, pesquisadores do Rapid7 descobriram que sequências inválidas criadas podem encerrar prematuramente um comando SQL, permitindo que invasores injetem instruções adicionais e até mesmo executem comandos. A equipe do PostgreSQL lançou um patch urgente pra resolver a vulnerabilidade +Info +Info2

Ataques whoAMI permitem execução de código em instâncias do Amazon EC2: Pesquisadores da DataDog descobriram um ataque de confusão de nomes (apelidado de whoAMI) que permite o acesso a uma conta da AWS a qualquer pessoa que publique uma Amazon Machine Image (AMI) com um nome específico. O ataque é possível devido a más configurações na seleção de AMIs, incluindo 1) seleção de AMIs usando a API ec2:DescribeImages sem especificar um proprietário; 2) uso de wildcards em vez de IDs de AMI específicos; 3) IaC usando "most_recent=true", escolhendo automaticamente a AMI mais recente correspondente ao filtro. Essas condições permitem que invasores insiram AMIs maliciosas no processo de seleção nomeando o recurso de forma semelhante a um confiável. Sem especificar um proprietário, a AWS retorna todas as AMIs correspondentes, incluindo a maliciosa. Originalmente, a vulnerabilidade foi descoberta em Agosto de 2024 e a Amazon lançou um fix em setembro, mas o problema persiste onde as organizações não atualizaram seus códigos. +Info

Recon v2: Um curto update sobre como estou mudando meu processo de recon: Essa semana, escrevi um curto blog sobre como atualizei meu processo de recon, incentivado pelo caso da DeepSeek. TL;DR: sai de subfinder + httpx + nuclei para puredns + subfinder + naabu httpx + nuclei. Após isso, alguns colegas trouxeram sugestões de versões ainda mais avançadas de recon que deixo aqui de sugestão também. +Info +Info2 +Info3

Dump

• Leaking the email of any YouTube user for $10,000

• Secure by Design: Google's Blueprint for a High-Assurance Web Framework

• Chinese hackers breach more US telecoms via unpatched Cisco routers

• CVE-2025-1240: WinZip Vulnerability Opens Door to Remote Code Execution

Para acompanhar as notícias em tempo real, temos grupo no Telegram e conta no BlueSky e no Threads, onde as nóticias são postadas todos os dias, assim que são lançadas. Links ⬇️

• Telegram #bolhasec news

• Bolhasec no Bluesky

• Bolhasec no Threads