Manchetes

Índice de conectividade da Anatel aponta melhora em 2025; veja ranking

Jornada 6×1, facções e atendimento na pauta do Congresso

Unifique aprova R$ 40,4 milhões para orçamento de capital em 2026

Telebras aprova contas de 2025 e elege novos conselheiros

DF, SC e SP lideram índice de conectividade da Anatel

Viasat prepara lançamento de satélite para fechar constelação ViaSat-3

DeepSeek lança V4; Huawei afirma suporte a modelo em chips Ascend

Búzios, no Rio, lidera ranking de conectividade da Anatel

Gastos mundiais com TI podem chegar a US$ 6,31 trilhões. Demanda pelos gigantes da nuvem chega perto de US$ 1 trilhão

AGU apoia teles em processo contra licenciamento ambiental no Piauí
Icon-facebook Twitter Instagram Youtube
Tenable Research alerta para vulnerabilidade em software de código aberto popular

Tenable Research alerta para vulnerabilidade em software de código aberto popular

A Tenable revelou que sua equipe Tenable Cloud Security Research descobriu uma vulnerabilidade no OPA (Open Policy Agent), um dos mecanismos mais utilizados de estrutura e linguagem unificada para declarar, impor e controlar políticas baseado em software de código aberto.

“À medida que os projetos de código aberto são integrados em soluções generalizadas, é crucial garantir que sejam seguros e não exponham os fornecedores nem seus clientes a uma maior superfície de ataque”, disse Ari Eitan, diretor da Tenable Cloud Security Research. “Essa descoberta de vulnerabilidade destaca a necessidade de colaboração entre as equipes de segurança e de engenharia para mitigar esses riscos.”

Sobre a vulnerabilidade

A vulnerabilidade, registrada como CVE-2024-8260, é uma vulnerabilidade de autenticação forçada SMB (Server Message Block) de gravidade média que afeta todas as versões do Open Policy Agent (OPA) para Windows anteriores à v0.68.0. A falha ocorre devido a uma validação incorreta da entrada, permitindo que usuários passem um recurso SMB arbitrário em vez de um arquivo tipo “Rego” como argumento para o OPA CLI ou uma das funções da biblioteca OPA Go.

A exploração bem-sucedida dessa vulnerabilidade pode resultar em acesso não autorizado ao vazar o hash Net-NTLMv2, ou seja, as credenciais do usuário que está atualmente conectado ao dispositivo Windows executando a aplicação OPA. Após a exploração, o atacante poderia retransmitir a autenticação para outros sistemas que suportam NTLMv2 ou realizar um ataque offline para decifrar a senha.

Por que é importante

O software de código aberto oferece às organizações de todos os tamanhos a capacidade de acelerar a inovação e o desenvolvimento de software com baixo ou nenhum custo. No entanto, confiar em software de código aberto para construir aplicações em escala empresarial envolve riscos. Dois exemplos claros desse problema são a vulnerabilidade Log4Shell, divulgada em dezembro de 2021, e o backdoor no XZ Utils revelado no início deste ano.

Recomendações 

Com um inventário de software instalado e um processo sólido de gestão de patches, as organizações podem garantir que o software vulnerável em sistemas críticos seja atualizado assim que um patch estiver disponível. Gerenciar proativamente a exposição por meio de um inventário unificado de ativos permite que as equipes tenham uma visão holística de seu ambiente e riscos, facilitando a priorização eficaz dos esforços de remediação. Além disso, as organizações devem minimizar a exposição pública de serviços, a menos que seja absolutamente necessário, para proteger seus sistemas.

A Styra corrigiu o problema na versão mais recente do OPA (v0.68.0). Todas as versões anteriores do OPA v0.68.0 executadas no Windows são vulneráveis e devem ser atualizadas para evitar a exploração. As organizações que utilizam o OPA CLI ou o pacote OPA Go no Windows devem atualizar para a versão mais recente.

Tags

Compartilhe

Picture of News Maker

News Maker

Índice de conectividade da Anatel aponta melhora em 2025; veja ranking
Índice de conectividade da Anatel aponta melhora em 2025; veja ranking
Jornada 6×1, facções e atendimento na pauta do Congresso
Jornada 6×1, facções e atendimento na pauta do Congresso
Unifique aprova R$ 40,4 milhões para orçamento de capital em 2026
Unifique aprova R$ 40,4 milhões para orçamento de capital em 2026
Telebras aprova contas de 2025 e elege novos conselheiros
Telebras aprova contas de 2025 e elege novos conselheiros
DF, SC e SP lideram índice de conectividade da Anatel
DF, SC e SP lideram índice de conectividade da Anatel
Viasat prepara lançamento de satélite para fechar constelação ViaSat-3
Viasat prepara lançamento de satélite para fechar constelação ViaSat-3
DeepSeek lança V4; Huawei afirma suporte a modelo em chips Ascend
DeepSeek lança V4; Huawei afirma suporte a modelo em chips Ascend
Búzios, no Rio, lidera ranking de conectividade da Anatel
Gastos mundiais com TI podem chegar a US$ 6,31 trilhões. Demanda pelos gigantes da nuvem chega perto de US$ 1 trilhão
AGU apoia teles em processo contra licenciamento ambiental no Piauí
AGU apoia teles em processo contra licenciamento ambiental no Piauí
Related Posts