SAMLStorm: Vulnerabilidades críticas de desvio de autenticação
Em 17 de março de 2025, a Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da BigID foi alertada sobre duas (2) vulnerabilidades críticas conhecidas como SAMLStorm. Essas vulnerabilidades afetam a biblioteca xml-crypto Node.js (v6.0.0 e anteriores, CVE-2025-29775 e CVE-2025-29774). Se exploradas, essas vulnerabilidades podem resultar em invasões totais de contas, inclusive contas de administrador, nos aplicativos afetados sem interação do usuário. O BigID utiliza essas bibliotecas para realizar validações de resposta SAML. A exploração dessas vulnerabilidades depende da configuração do IdP para cada locatário da BigID. Os clientes que estão utilizando o BigID Cloud já implementaram uma correção. Para os clientes que estão no local, a BigID recomenda enfaticamente que você atualize para as versões 22.18, 218.76, 211.74, 205.116 e 198.93. Embora não haja uma prova pública de conceito disponível, as equipes de Produto e Segurança na Nuvem da BigID continuam a monitorar e resolver o problema e fornecerão as atualizações apropriadas.
Identificação de vulnerabilidades críticas - Orch2
Em 21 de novembro de 2024, a Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da BigID foi alertada sobre o registro inadvertido de segredos de aplicativos de cofre nos registros de serviço do orquestrador por um funcionário da BigID. O problema é isolado para os clientes que usam os cofres do AWS Secrets Manager, HashiCorp e BeyondTrust. A BigID já envolveu os clientes afetados com base nos atributos exclusivos de sua implantação e forneceu orientação e mitigações. Além disso, os patches já foram implantados para os clientes na nuvem e publicados para download pelos clientes no local. Os logs de serviço do Orchestrator estão disponíveis na seção Advanced Tools da plataforma ou em outros sistemas de armazenamento de logs para os quais os clientes podem encaminhar os logs. Os clientes que não usam o AWS Secrets Manager, o HashiCorp ou os cofres da BeyondTrust não são afetados.
Ataque a sistemas UNIX via CUPS
Em 26 de setembro, um caminho de ataque que afetava os pacotes CUPS foi divulgado publicamente e ganhou algum interesse na comunidade de segurança.
Após uma investigação minuciosa da descrição da vulnerabilidade, ficou claro que o produto BigID e a nuvem não foram afetados.
Detalhes da investigação
A BigID concluiu que as bibliotecas cups estão instaladas na seguinte lista de serviços:
- bigid-metadata-search
- bigid-corr-new
- bigid-catalog-processor
- linhagem bígama
- relatórios bigid
- bigid-config-service
- bigid-snippet-persister
Dos 4 CVEs registrados, o CVE-2024-47175 será sinalizado nos serviços mencionados acima.
No entanto, de acordo com a Red Hat, o provedor de imagens básicas desses serviços:
"O RHCOS e o RHEL incluem libs-cups como uma dependência de tempo de construção. No entanto, a vulnerabilidade não pode ser explorada apenas com as bibliotecas de clientes, a menos que um servidor de impressão baseado no OpenPrinting esteja sendo executado ativamente. O RHEL e o RHCOS não têm o cups-browsed ativado por padrão, portanto o impacto para eles está definido como 'Baixo'"
Como a BigID não faz uso de nenhuma funcionalidade relacionada à impressora e não altera a configuração padrão, não há impacto desse CVE no produto BigID. Além disso, o BigID Cloud não expõe a porta UDP afetada, mitigando completamente o vetor de ataque WAN descrito no artigo.
Interrupções da Microsoft e da Crowdstrike
Detalhes da vulnerabilidade
Na sexta-feira, 19 de julho de 2024, foram registradas duas interrupções não relacionadas, ambas afetando os serviços da Microsoft. A BigID sofreu um impacto mínimo em nossos serviços e operações comerciais.
A primeira interrupção, que afetou o Azure, foi decorrente de uma alteração de configuração em uma parte das cargas de trabalho de back-end do Azure. Isso causou uma interrupção entre os recursos de armazenamento e computação, resultando em falhas de conectividade que afetaram os serviços downstream do Microsoft 365. Os serviços estão sendo restaurados lentamente e as atualizações podem ser encontradas em https://status.cloud.microsoft/. Como resultado da interrupção, houve alguma interrupção da disponibilidade do https://docs.bigid.com/, mas ele está novamente on-line e operando conforme o esperado. Os serviços BigID restantes, os dispositivos finais e a dependência de parceiros não foram afetados.
A segunda interrupção está relacionada ao fato de a Crowdstrike exibir a Tela Azul da Morte (BSOD) após instalar a atualização mais recente do Sensor Falcon. O problema foi identificado, isolado e uma correção foi implementada na base de clientes da Crowdstrike. A BigID não usa produtos da Crowdstrike em suas operações comerciais e, portanto, não foi afetada.
Floco de neve
Detalhes da vulnerabilidade
Na sexta-feira, 31 de maio de 2024, pesquisadores da Hudson Rock relataram que um hacker alegou ter violado a Snowflake, afetando várias organizações. A Snowflake investigou prontamente esses relatórios e não encontrou nenhuma evidência de comprometimento em seu ambiente. Eles notificaram todos os clientes potencialmente afetados. A BigID seguiu as ações recomendadas pela Snowflake e investigou os indicadores de comprometimento (IoCs) fornecidos. Nossas medidas e controles de segurança proativos em torno da nossa conta na Snowflake garantiram que não fôssemos afetados por esse incidente.
Aviso de segurança do XZ Utils
Detalhes da vulnerabilidade
Na sexta-feira, 29 de março de 2024, pesquisadores de segurança descobriram um backdoor malicioso incorporado ao utilitário de compactação XZ. Esse utilitário é amplamente usado em distribuições Linux, incluindo as da Red Hat e do Debian, e está sendo rastreado como vulnerabilidade CVE-2024-3094. O código malicioso conhecido foi encontrado nas versões 5.6.0 e 5.6.1, e os consumidores foram notificados para fazer o downgrade para a versão 5.4.6 imediatamente. A BigID concluiu nosso processo de investigação de segurança e pode confirmar que não fomos afetados pela CVE-2024-3094.
Aviso de segurança do MongoDB
Detalhes da vulnerabilidade
Em 16 de dezembro, a MongoDB anunciou publicamente que sofreu um incidente de segurança em seus sistemas corporativos, que foi descoberto em 13 de dezembro de 2023. Essa ainda é uma história em desenvolvimento do MongoDB, pois eles contrataram empresas forenses e policiais para continuar a investigação. Em nosso compromisso com a transparência e a segurança, queremos compartilhar que nós, BigID, aproveitamos o MongoDB Atlas para nossos clientes baseados em nuvem. É importante observar que o acesso ao MongoDB Atlas é autenticado por meio de um sistema separado dos sistemas corporativos do MongoDB, e eles não encontraram nenhuma evidência de que o sistema de autenticação do cluster do Atlas tenha sido comprometido. Com base nas informações disponíveis no momento, o MongoDB Atlas não foi afetado, pois eles não identificaram nenhuma vulnerabilidade de segurança em nenhum produto MongoDB como resultado desse incidente. No entanto, estamos sendo proativos, mantendo-nos atualizados com sua página de alertas e atualizando este boletim de acordo com quaisquer outras atualizações fornecidas pelo MongoDB.
Atualização: Aviso de segurança do MongoDB
Em 18 de dezembro, a Mongo atualizou o status de seu incidente de segurança para ser classificado como um ataque de phishing com um alto grau de confiança. Eles continuam a não encontrar evidências de acesso não autorizado aos clusters do MongoDB Atlas ou ao sistema de autenticação do cluster Atlas. Sua investigação e trabalho com as autoridades relevantes estão em andamento. O MongoDB atualizará sua página de alerta com informações pertinentes à medida que investigarmos o assunto. O MongoDB forneceu uma lista de Indicadores de Comprometimento (IOCs) com IPs relevantes do serviço Mullvad VPN. A BigID conduziu uma investigação retrospectiva e não viu nenhum desses IPs se comunicando com o serviço BigID Cloud.
Vulnerabilidade de dia zero do HTTP/2
Detalhes da vulnerabilidade
Em 12 de outubro de 2023, a Cloudflare, juntamente com o Google e a Amazon AWS, divulgou a existência de uma nova vulnerabilidade de dia zero chamada de ataque "HTTP/2 Rapid Reset". Esse ataque explora um ponto fraco no protocolo HTTP/2 para gerar ataques de negação de serviço distribuído (DDoS) enormes e hipervolumétricos. A BigID examinou nosso ambiente e, embora utilizemos esse protocolo, aproveitamos a proteção contra ataques DDoS HTTP da Cloudflare e, portanto, não há impacto para a BigID.
Violação do sistema de gerenciamento de suporte ao cliente da Okta
Detalhes da vulnerabilidade
Em outubro de 2023, a Okta relatou uma violação de segurança de seu sistema de gerenciamento de suporte ao cliente, em que uma pequena parte das informações de seus clientes foi baixada por um hacker. No final de novembro, a Okta confirmou que as informações de contato de todos os seus clientes foram comprometidas. Embora a BigID use a Okta para serviços de identidade, também utilizamos a autenticação multifator em nossos sistemas críticos. Como resultado, nenhum ambiente ou dado de cliente foi afetado por essa violação.
Vulnerabilidade de dia zero do Confluence CVE-2023-22515
Detalhes da vulnerabilidade
Em 4 de outubro de 2023, a Atlassian anunciou uma vulnerabilidade de segurança em seu software Confluence Data Center e Server. A BigID usa o Confluence internamente para colaboração e gerenciamento de conhecimento; no entanto, usamos o Confluence Cloud hospedado pela Atlassian, que não é afetado por essa vulnerabilidade.
Vulnerabilidade de importação no meio (Import-in-the-Middle) do Datadog
Detalhes da vulnerabilidade
Em 6 de agosto de 2023, fomos informados sobre uma vulnerabilidade recente descoberta no DataDog, um serviço que muitas empresas, inclusive a nossa, usam para monitoramento. Levamos esses anúncios muito a sério, pois eles têm o potencial de afetar nosso serviço, bem como sua segurança e privacidade de dados.
Em resposta a isso, nossa equipe de segurança tem trabalhado diligentemente para avaliar nossos sistemas. Temos o prazer de informar que uma análise exaustiva de toda a nossa base de código não revelou nenhuma indicação dos sinalizadores que tornariam nosso código suscetível a essas vulnerabilidades. Portanto, estamos confiantes de que nosso uso da DataDog não representa uma ameaça à segurança de nosso serviço ou de seus dados. No entanto, em nosso compromisso com a transparência e a segurança, queremos compartilhar que estamos executando versões do dd-trace que contêm as vulnerabilidades. Essas versões, em circunstâncias normais, podem representar riscos, mas não encontramos nenhum uso inseguro em nossos repositórios.
Como medida adicional, estamos encaminhando essas informações a todas as nossas equipes de desenvolvimento para garantir que elas estejam totalmente cientes da situação e executem as ações necessárias para atualizar para versões que não contenham as vulnerabilidades mencionadas acima. Continuaremos a monitorar de perto a situação e tomaremos todas as medidas necessárias para manter o mais alto nível de segurança de dados.
Vulnerabilidade crítica de transferência do MOVEit CVE-2023-34362
Detalhes da vulnerabilidade
Em 1º de junho, a Progress Software anunciou uma vulnerabilidade de segurança em seu software MOVEit Transfer, que é usado para mover arquivos com segurança. Esse problema permite que pessoas não autorizadas entrem no banco de dados do software e modifiquem as informações armazenadas nele. Felizmente, a BigID não usa o software MOVEit, portanto não fomos afetados diretamente. No entanto, estamos sendo proativos ao entrar em contato com nossos fornecedores para verificar se eles usam o software e se isso pode nos afetar indiretamente. Até o momento, nenhum de nossos fornecedores críticos relatou qualquer problema que pudesse afetar a BigID ou nossos clientes.
Liderança no setor
