Esta semana, a Mitsubishi Electric tornou pública uma falha de segurança que pode ter exposto informação pessoal da empresa.

A falha foi detetada há cerca de oito meses, em junho do ano passado, e que demorou por causa da complexidade da investigação e também pelo facto de os atacantes terem apagado os logs de atividade.

De acordo com a empresa, pelo menos umas dezenas de milhares de computadores e servidores no Japão foram comprovados como tendo sido comprometidos. Há 200MB de informação ou acesso não autorizado; os atacantes conseguiram aceder à rede de 14 departamentos da empresa, incluindo de vendas e o departamento administrativo.

A falha consistiu essencialmente num "path traversal" e upload arbitrário de ficheiros, dado pelo CVE-2019-18187.

A Trend Micro já lançou uma correção para a falha, mas nada impede os atacantes de voltarem a tentar explorar possíveis fraquezas no sistema.

De acordo com a descrição ou advisory da falha, é possível a explorar a falha de path traversal para extrair ficheiros de qualquer zip para uma pasta específica no servidor do Office, levando potencialmente a uma execução de código remota; esta execução de código, no entanto, está limitada a uma conta de serviço web, dependendo da plataforma web que esteja a ser usada. Desta forma, um atacante precisa de estar autenticado para conduzir o ataque de forma bem-sucedida.

Versões afetadas:

- XG SP1, XG (Non-SP GM build), 11.0 SP1 for Windows.

Mais informações: https://www.zdnet.com/article/trend-micro-antivirus-zero-day-used-in-mitsubishi-electric-hack/