A Tenable, empresa líder em gestão de exposição a riscos, anunciou que sua equipe Tenable Cloud Security Research identificou uma nova vulnerabilidade no Open Policy Agent (OPA), um dos sistemas de código aberto mais adotados para a criação, imposição e controle de políticas de segurança.
“À medida que os projetos de código aberto são integrados em soluções generalizadas, é crucial garantir que sejam seguros e não exponham os fornecedores nem seus clientes a uma maior superfície de ataque”, afirmou Ari Eitan, diretor da Tenable Cloud Security Research. “Essa descoberta de vulnerabilidade destaca a necessidade de colaboração entre as equipes de segurança e de engenharia para mitigar esses riscos.”
Detalhes sobre a vulnerabilidade
Registrada como CVE-2024-8260, a vulnerabilidade é uma falha de autenticação forçada SMB (Server Message Block) de gravidade média, que impacta todas as versões do OPA para Windows anteriores à v0.68.0. A falha ocorre devido a uma validação inadequada da entrada, permitindo que o usuário utilize um recurso SMB arbitrário em vez de um arquivo do tipo “Rego” no OPA CLI ou nas funções da biblioteca OPA Go. A exploração dessa falha pode permitir o vazamento do hash Net-NTLMv2 do usuário conectado, o que pode resultar em acesso não autorizado ao sistema.
Com o hash capturado, um atacante poderia retransmitir a autenticação para outros sistemas que suportam NTLMv2 ou tentar um ataque offline para decifrar a senha, comprometendo assim a segurança do ambiente onde o OPA é utilizado.
Riscos do uso de software de código aberto
Embora o software de código aberto proporcione inovação e redução de custos, ele também pode representar riscos quando integrado a aplicações empresariais em larga escala. Casos recentes, como a vulnerabilidade Log4Shell em 2021 e o backdoor no XZ Utils descoberto neste ano, exemplificam os desafios enfrentados por organizações que dependem dessas tecnologias.
Para mitigar os riscos, a Tenable recomenda que as organizações mantenham um inventário atualizado de software instalado e adotem uma gestão de patches eficaz para reduzir a exposição a vulnerabilidades. Um inventário unificado de ativos permite que as equipes de segurança visualizem melhor o ambiente e priorizem os esforços de remediação.
Além disso, a Tenable orienta que as organizações reduzam a exposição pública de serviços a menos que seja estritamente necessário, uma prática que minimiza as oportunidades para ataques externos.
A vulnerabilidade foi corrigida na versão mais recente do OPA (v0.68.0), lançada pela Styra. As empresas que utilizam o OPA no Windows devem atualizar imediatamente para essa versão para evitar explorações.
