SAML Storm: Vulnerabilidades críticas de bypass de autenticação
Em 17 de março de 2025, a Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da BigID foi alertada sobre duas (2) vulnerabilidades críticas conhecidas como SAMLStorm. Essas vulnerabilidades afetam a biblioteca xml-crypto do Node.js (v6.0.0 e anteriores, CVE-2025-29775 e CVE-2025-29774). Se exploradas, essas vulnerabilidades podem resultar na tomada de controle total de contas, incluindo contas de administrador, em aplicativos afetados, sem qualquer interação do usuário. A BigID utiliza essas bibliotecas para realizar validações de respostas SAML. A exploração dessas vulnerabilidades depende da configuração do IdP para cada cliente da BigID. Os clientes que utilizam o BigID Cloud já implementaram uma correção. Para clientes com infraestrutura local, a BigID recomenda fortemente a atualização para as versões 222.18, 218.76, 211.74, 205.116 e 198.93. Embora ainda não haja uma prova de conceito pública disponível, as equipes de Produto e Segurança em Nuvem da BigID continuam monitorando e solucionando o problema e fornecerão atualizações conforme necessário.
Identificação de Vulnerabilidades Críticas – Orch2
Em 21 de novembro de 2024, a Equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da BigID foi alertada sobre o registro inadvertido de segredos de aplicativos do cofre nos logs do serviço Orchestrator por um funcionário da BigID. O problema está restrito a clientes que utilizam os cofres AWS Secrets Manager, HashiCorp e BeyondTrust. A BigID já entrou em contato com os clientes afetados, considerando as características específicas de suas implementações, e forneceu orientações e medidas de mitigação. Além disso, patches já foram implementados para clientes na nuvem e disponibilizados para download para clientes com infraestrutura local. Os logs do serviço Orchestrator estão disponíveis na seção Ferramentas Avançadas da plataforma ou em outros sistemas de armazenamento de logs para os quais os clientes podem encaminhar os logs. Clientes que não utilizam os cofres AWS Secrets Manager, HashiCorp ou BeyondTrust não foram afetados.
Atacando sistemas UNIX via CUPS
Em 26 de setembro, uma via de ataque que afetava os pacotes CUPS foi divulgada publicamente e despertou algum interesse na comunidade de segurança.
Após uma análise minuciosa da vulnerabilidade descrita, ficou claro que o produto BigID e a nuvem não foram afetados.
Detalhes da investigação
A BigID concluiu que as bibliotecas CUPS estão instaladas na seguinte lista de serviços:
- pesquisa de metadados bigid
- bigid-corr-novo
- processador-de-catálogo-bigid
- linhagem bigid
- bigid-relatórios
- serviço de configuração bigid
- bigid-snippet-persistente
Dos 4 CVEs registrados, o CVE-2024-47175 será sinalizado nos serviços mencionados acima.
No entanto, de acordo com a Red Hat, o fornecedor da imagem base desses serviços:
“O RHCOS e o RHEL incluem o libs-cups como uma dependência de tempo de compilação. No entanto, a vulnerabilidade não é explorável apenas com as bibliotecas do cliente, a menos que um servidor de impressão baseado em OpenPrinting esteja em execução. O RHEL e o RHCOS não têm o cups-browsed habilitado por padrão, portanto, o impacto para esses sistemas é definido como 'Baixo'.”
Como o BigID não utiliza nenhuma funcionalidade relacionada à impressora e não altera a configuração padrão, essa vulnerabilidade CVE não tem impacto no produto BigID. Além disso, o BigID Cloud não expõe a porta UDP afetada, mitigando completamente o vetor de ataque WAN descrito neste documento.
Interrupções no serviço da Microsoft e da Crowdstrike
Detalhes da vulnerabilidade
Na sexta-feira, 19 de julho de 2024, foram relatadas duas interrupções não relacionadas, ambas afetando os serviços da Microsoft. A BigID sofreu um impacto mínimo em seus serviços e operações comerciais.
A primeira interrupção, que afetou o Azure, foi causada por uma alteração de configuração em uma parte das cargas de trabalho de back-end do Azure. Isso provocou uma interrupção na comunicação entre os recursos de armazenamento e computação, resultando em falhas de conectividade que afetaram os serviços do Microsoft 365. Os serviços estão sendo restaurados gradualmente e as atualizações podem ser encontradas em https://status.cloud.microsoft/. Como resultado da interrupção, houve alguma indisponibilidade do site https://docs.bigid.com/, mas ele já está online novamente e funcionando normalmente. Os demais serviços da BigID, dispositivos finais e a dependência de parceiros não foram afetados.
A segunda interrupção está relacionada à exibição da Tela Azul da Morte (BSOD) pela Crowdstrike após a instalação da atualização mais recente do seu sensor Falcon. O problema foi identificado, isolado e uma correção foi implementada para a base de clientes da Crowdstrike. A BigID não utiliza produtos da Crowdstrike em suas operações comerciais e, portanto, não foi afetada.
Floco de neve
Detalhes da vulnerabilidade
Na sexta-feira, 31 de maio de 2024, pesquisadores da Hudson Rock relataram uma suposta invasão ao Snowflake, afetando diversas organizações. O Snowflake investigou prontamente esses relatos e não encontrou evidências de qualquer comprometimento em seu ambiente. A empresa notificou todos os clientes potencialmente afetados. A BigID seguiu as ações recomendadas pelo Snowflake e investigou os indicadores de comprometimento (IoCs) fornecidos. Nossas medidas e controles de segurança proativos em torno de nossa conta do Snowflake garantiram que não fôssemos afetados por esse incidente.
Aviso de segurança do XZ Utilities
Detalhes da vulnerabilidade
Na sexta-feira, 29 de março de 2024, pesquisadores de segurança descobriram uma porta dos fundos maliciosa embutida no utilitário de compressão XZ. Este utilitário é amplamente utilizado em distribuições Linux, incluindo as da Red Hat e Debian, e está sendo rastreado como vulnerabilidade CVE-2024-3094. O código malicioso conhecido foi encontrado nas versões 5.6.0 e 5.6.1, e os usuários foram notificados para fazer o downgrade para a versão 5.4.6 imediatamente. A BigID concluiu seu processo de investigação de segurança e pode confirmar que não foi afetada pela CVE-2024-3094.
Aviso de segurança do MongoDB
Detalhes da vulnerabilidade
Em 16 de dezembro, a MongoDB anunciou publicamente que sofreu um incidente de segurança em seus sistemas corporativos, descoberto em 13 de dezembro de 2023. A situação ainda está em desenvolvimento, pois a MongoDB contratou empresas forenses e autoridades policiais para dar continuidade à investigação. Em nosso compromisso com a transparência e a segurança, queremos informar que nós, da BigID, utilizamos o MongoDB Atlas para nossos clientes de nuvem. É importante ressaltar que o acesso ao MongoDB Atlas é autenticado por um sistema separado dos sistemas corporativos da MongoDB, e a empresa não encontrou evidências de que o sistema de autenticação do cluster Atlas tenha sido comprometido. Com base nas informações disponíveis até o momento, o MongoDB Atlas não foi afetado, pois a MongoDB não identificou nenhuma vulnerabilidade de segurança em nenhum produto da MongoDB como resultado deste incidente. No entanto, estamos sendo proativos, acompanhando de perto a página de alertas da empresa e atualizando este boletim conforme necessário, de acordo com quaisquer novas informações fornecidas pela MongoDB.
Atualização: Aviso de segurança do MongoDB
Em 18 de dezembro, a MongoDB atualizou o status do incidente de segurança para ser classificado como um ataque de phishing com alto grau de confiança. A empresa continua sem encontrar evidências de acesso não autorizado aos clusters do MongoDB Atlas ou ao sistema de autenticação do cluster Atlas. A investigação e o trabalho com as autoridades competentes estão em andamento. A MongoDB atualizará sua página de alertas com informações relevantes à medida que a investigação prosseguir. A MongoDB forneceu uma lista de Indicadores de Comprometimento (IOCs) com os IPs relevantes do serviço VPN Mullvad. A BigID realizou uma investigação retrospectiva e não encontrou nenhum desses IPs se comunicando com o serviço BigID Cloud.
Vulnerabilidade Zero-Day do HTTP/2
Detalhes da vulnerabilidade
Em 12 de outubro de 2023, a Cloudflare, juntamente com o Google e a Amazon AWS, divulgou a existência de uma nova vulnerabilidade zero-day denominada ataque "HTTP/2 Rapid Reset". Este ataque explora uma fragilidade no protocolo HTTP/2 para gerar ataques de negação de serviço distribuídos (DDoS) de grande escala e com alto volume de dados. A BigID realizou uma varredura em seu ambiente e, embora utilizemos esse protocolo, contamos com a proteção contra ataques DDoS HTTP da Cloudflare, portanto, não houve impacto para a BigID.
Violação do sistema de gerenciamento de suporte ao cliente da Okta
Detalhes da vulnerabilidade
Em outubro de 2023, a Okta relatou uma violação de segurança em seu sistema de gerenciamento de suporte ao cliente, na qual uma pequena parte das informações de seus clientes foi baixada por um hacker. No final de novembro, a Okta confirmou que as informações de contato de todos os seus clientes foram comprometidas. Embora a BigID utilize a Okta para serviços de identidade, também empregamos autenticação multifator em nossos sistemas críticos. Consequentemente, nenhum ambiente ou dado de cliente foi afetado por essa violação.
Vulnerabilidade Zero-Day do Confluence CVE-2023-22515
Detalhes da vulnerabilidade
Em 4 de outubro de 2023, a Atlassian anunciou uma vulnerabilidade de segurança em seu software Confluence Data Center e Server. A BigID utiliza o Confluence internamente para colaboração e gestão do conhecimento; no entanto, utilizamos o Confluence Cloud hospedado pela Atlassian, que não é afetado por essa vulnerabilidade.
Vulnerabilidade de importação intermediária do Datadog
Detalhes da vulnerabilidade
Em 6 de agosto de 2023, fomos informados sobre uma vulnerabilidade recente descoberta no DataDog, um serviço que muitas empresas, incluindo a nossa, utilizam para monitoramento. Levamos esses comunicados muito a sério, pois eles têm o potencial de impactar nosso serviço, bem como a segurança e a privacidade dos seus dados.
Em resposta a isso, nossa equipe de segurança tem trabalhado diligentemente para avaliar nossos sistemas. Temos o prazer de informar que uma revisão exaustiva de todo o nosso código-fonte não revelou indícios de flags que tornariam nosso código suscetível a essas vulnerabilidades. Portanto, estamos confiantes de que nosso uso do DataDog não representa uma ameaça à segurança do nosso serviço ou aos seus dados. No entanto, em nosso compromisso com a transparência e a segurança, queremos compartilhar que estamos executando versões do dd-trace que contêm as vulnerabilidades. Estas, em circunstâncias normais, podem representar riscos, mas não encontramos nenhum uso inseguro em nossos repositórios.
Como medida adicional, estamos encaminhando essas informações a todas as nossas equipes de desenvolvimento para garantir que estejam plenamente cientes da situação e tomem as medidas necessárias para atualizar para versões que não contenham as vulnerabilidades mencionadas. Continuaremos monitorando a situação de perto e tomaremos todas as medidas necessárias para manter o mais alto nível de segurança de dados.
Vulnerabilidade crítica de transferência do MOVEit CVE-2023-34362
Detalhes da vulnerabilidade
Em 1º de junho, a Progress Software anunciou uma vulnerabilidade de segurança em seu software MOVEit Transfer, usado para transferir arquivos com segurança. Esse problema permite que pessoas não autorizadas acessem o banco de dados do software e modifiquem as informações armazenadas nele. Felizmente, a BigID não utiliza o software MOVEit, portanto, não fomos afetados diretamente. No entanto, estamos agindo de forma proativa, entrando em contato com nossos fornecedores para verificar se eles utilizam o software e se isso poderia nos afetar indiretamente. Até o momento, nenhum de nossos fornecedores críticos relatou qualquer problema que possa afetar a BigID ou nossos clientes.
Liderança do setor
