CERT/CC emitem alerta sobre falhas críticas no software de contabilidade municipal dos cavalos de trabalho

O Centro de Coordenação da Equipe de Resposta a Emergências de Emergência (CERT/CC) emitiu um aviso crítico de consultoria de segurança de vulnerabilidades graves no software de contabilidade municipal dos Serviços de Software que poderia permitir Acesso não autorizado a dados financeiros sensíveis do governo e informações pessoalmente identificáveis.

As vulnerabilidades, rastreadas como CVE-2025-9037 e CVE-2025-9040, afetam todas as versões do software de contabilidade municipal do cavalo de trabalho antes da versão 1.9.4.48019.

Essas falhas apresentam riscos significativos aos municípios usando a plataforma, expondo potencialmente números de previdência social, registros financeiros completos e outros dados municipais confidenciais ao acesso não autorizado.

Falhas críticas de design Ativar roubo de dados

As questões de segurança decorrem de dois problemas de design fundamental na arquitetura de software. A primeira vulnerabilidade, CVE-2025-9037, envolve o armazenamento de seqüências de caracteres de conexão do SQL Server em arquivos de configuração de texto simples localizado ao lado do aplicativo executável.

Nas implantações típicas em que esses diretórios residem em pastas de rede compartilhadas hospedadas pelo mesmo servidor executando o banco de dados SQL, qualquer indivíduo com acesso de leitura ao diretório poderá potencialmente recuperar credenciais de banco de dados se a autenticação SQL estiver configurada.

A segunda falha crítica, CVE-2025-9040, permite que usuários não autenticados criem backups completos de banco de dados diretamente da tela de login através do menu “arquivo” do aplicativo.

Essa funcionalidade de backup executa operações de backup expresso MS SQL Server e salva o arquivo de banco de dados resultante em um arquivo zip não criptografado, que pode ser restaurado posteriormente em qualquer instância do SQL Server sem exigir autenticação por senha.

Cve id Tipo de vulnerabilidade Pontuação do CVSS Impacto
CVE-2025-9037 Divulgação de informações Não disponível Exposição de credenciais de banco de dados via armazenamento de texto simples
CVE-2025-9040 Desvio de autenticação Não disponível Criação e exfiltração de backup de banco de dados não autenticados

As implicações dessas vulnerabilidades se estendem muito além da simples exposição de dados. Os invasores que exploram essas falhas podem acessar bancos de dados municipais completos contendo informações pessoalmente identificáveis sensíveis, registros financeiros abrangentes e outros dados confidenciais do governo.

Além das preocupações com roubo de dados, a posse de backups de banco de dados pode permitir que atores maliciosos adulterem os registros financeiros, potencialmente comprometendo trilhas de auditoria e prejudique a integridade das operações financeiras municipais.

Cert/cc Recomenda fortemente a atualização imediata da versão 1.9.4.48019 do software.

As organizações incapazes de implementar patches imediatas devem considerar várias estratégias de mitigação, incluindo restringir o acesso aos diretórios de aplicativos por meio de permissões de NTFS, permitindo a criptografia do SQL Server com Windows Autenticação, desativando a funcionalidade de backup no nível do fornecedor ou configuração e implementando a segmentação de rede com regras de firewall para limitar o acesso ao banco de dados.

As vulnerabilidades foram descobertas durante uma instalação de auditoria de segurança e servidor de James Harrold, da Sparrow IT Solutions.

O Conselho, documentado por Timur Snoke, do CERT/CC, foi publicado em 19 de agosto de 2025, como a vulnerabilidade Nota VU#706118, enfatizando a natureza crítica dessas falhas de segurança que afetam os sistemas municipais do governo em todo o país.

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!