ALERTA 10/2023

[TLP:CLEAR]

1. No processo de monitoramento contínuo realizado pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) foi identificado aumento significativo nos casos de abusos de sítio caracterizado por "Open Redirect", que são ataques cibernéticos em que os usuários, ao buscar por sites, particularmente ambientes de governo, são redirecionados para páginas incompatíveis, incluindo sites de apostas, de cassinos e de propagação de malware. Essa atividade maliciosa resulta na deterioração da reputação da organização afetada, no uso inadequado de recursos da infraestrutura de dados e, obviamente, no comprometimento da segurança.

2. Esses ataques ocorrem pela exploração de vulnerabilidades em plugins, temas e componentes do site hospedado, além de falhas no Sistema Operacional do servidor e falta de validação adequada de redirecionamentos.

3. A utilização de tags de rastreamento para coleta de dados dos usuários também apresenta riscos de ataques desta natureza. Vulnerabilidades em plataformas de gerenciamento de tags podem permitir que usuários maliciosos redirecionem o tráfego do site para páginas ilegítimas, inserindo códigos maliciosos ou modificando variáveis personalizadas nas tags.

4. As principais causas que permitem o atacante explorar esta vulnerabilidade são:

• Servidores comprometidos: Atacantes podem abusar de servidores com vulnerabilidades conhecidas no Sistema Operacional e obter acesso indevido para inserir scripts maliciosos que redirecionam os usuários a sites ilegítimos;
• Ausência de validação de redirecionamentos: Esta falha permite que atacantes manipulem sistemas para redirecionar usuários a sites não confiáveis e possibilita a execução de técnicas maliciosas de otimização de mecanismos de pesquisa (SEO) que enganam os mecanismos de busca, inserindo palavras-chave relacionadas a sites ilegítimos em páginas legítimas, resultando na exibição desses sites nos resultados de busca.

5. O Gabinete de Segurança Institucional, por intermédio do CTIR Gov, solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições pública e privadas que adotem as seguintes medidas:

• Restringir o acesso ao sistema de controle de tags de rastreamento e suas configurações apenas para usuários confiáveis e autenticados, utilizando autenticação multifator (MFA).
• Realizar verificações regulares das configurações e tags para identificar quaisquer modificações não autorizadas, validando a origem de todos os dados e parâmetros usados nas tags para evitar a injeção de código malicioso.
• Implementar nas páginas, headers de segurança como o Content-Security-Policy (CSP) e o X- Frame-Options, para restringir a execução de scripts ou o carregamento de páginas em iframes não autorizados;
• Implementar filtros de conteúdo para identificar palavras-chave relacionadas a sites suspeitos, evitando que esses termos sejam indexados pelos mecanismos de busca;
• Aplicar patches de correção recomendados pelos fabricantes e manter plugins, temas e outros componentes utilizados no site sempre atualizados; e
• Realizar auditorias periódicas de segurança para identificar e corrigir prontamente possíveis vulnerabilidades no sistema operacional e nas aplicações.

6. Detalhes técnicos e mais informações a respeito das vulnerabilidades exploradas podem ser consultados em:

• https://cwe.mitre.org/data/definitions/601.html
• https://cheatsheetseries.owasp.org/cheatsheets/Clickjacking_Defense_Cheat_Sheet.html
• https://developers.google.com/tag-platform/tag-manager/web/restrict
• https://developers.google.com/tag-platform/tag-manager/templates/policies
• https://learn.microsoft.com/pt-br/azure/security/develop/threat-modeling-tool-configuration-management

7. O CTIR Gov adere ao padrão Traffic Light Protocol (TLP), conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para mais informações, acesse:

• https://www.gov.br/ctir/pt-br/assuntos/tlp