Archivo mensual: Octubre 2018

IBM compra a la open-source Red Hat por USD $34.000.000.000

Este año ha sido bastante positivo para las plataformas de código abierto.
A comienzos de este año Microsoft compró el servicio de repositorios para código GitHub por $7,5 mil millones de dólares, ahora IBM anunció la realización del mayor negocio jamás realizado en relación al negocio del open-source.
El 28 de octubre de 2018 IBM confirmó que adquirirá la empresa de Linux de código abierto Red Hat al valor de USD $190 por acción, lo que totalizaría un total valor de aproximadamente $34 mil millones de dólares.
Red Hat es conocida por su sistema operativo Red Hat Enterprise Linux (RHEL), es una compañía líder que ofrece productos de software de código abierto a la comunidad empresarial. Inclusive Oracle utiliza el código de Red Hat para su producto Oracle Linux.
Las ganancias del año pasado para Red Hat fueron de USD $2.4 mil millones de dólares, y este año la compañía ya ha ganado otros USD $2.9 mm. Como los productos de Red Hat son de código abierto y las actualizaciones gratuitas, uno podría cuestionarse como es que esta compañía gana tal cantidad de dinero.
Red Hat es una de las primeras empresas que crearon un exitoso proyecto para obtener ganancias monetarias basándose en el software gratuito de código abierto. Ofrece servicios de consultoría, incluyendo evaluaciones, implementaciones, migraciones de plataforma, integración de soluciones, y desarrollo de aplicaciones.
IBM adquiere a Red Hat apuntando a los gigantes de la computación en la Nube
Como otras grandes compañías tecnológicas, IBM también ya sido un gran apoyo para Linux y colaborador al desarrollo de su núcleo y otros proyectos de código abierto, sin embargo ha quedado por detrás de Amazon, Alphabet (Google) y Microsoft en lo que respecta a cloud computing.
Esta adquisición ayudará a IBM a expandir sus horizontes como proveedor de computación en la nube a un nivel empresarial.
La Chairman, Presidenta y CEO de IBM, Ginni Rometty, expresó en una declaración: “La adquisición de Red Hat es un cambio en el juego. Cambia todo acerca del mercado del cloud computing”. También añadió que “IBM se convertirá en el proveedor hybrid cloud número 1 del mundo, ofreciendo a las compañías la única solución abierta en cloud que puede desbloquear el valor total de la nube para sus negocios”.
IBM: Red Hat continuará como unidad independiente
Es importante destacar que Red Hat continuará bajo el mando de su actual CEO Jim Whitehurst, en conjunto con su actual equipo de gerentes, como antes. IBM mantendrá las oficinas, plantas, marcas y prácticas de Red Hat.
De acuerdo a IBM, el trato entre ellos y Red Hat ya está aprobado por las juntas directivas de ambas compañías, sólo se espera la aprobación de la junta de accionistas y las aprobaciones regulatorias.
Si todo resulta según lo planificado, se espera que el trato se concrete el segundo semestre de 2019.
Fuente: https://thehackernews.com/2018/10/ibm-redhat-tech-acquisition.html

Datos sin encriptación durante actualización de aplicación Signal

Signal es una aplicación de comunicaciones que hace alarde en su capacidad de mensajería encriptada, el problema es que falla en aprovisionar esa misma protección cuando está realizando una actualización a la versión de escritorio desde su extensión de Chrome, debido a que exporta los mensajes del usuario como archivos de texto no encriptados.
Al actualizar Signal Desktop desde la extensión Signal Chrome, el proceso requiere que el usuario elija una ubicación para guardar los datos de mensajes (texto y adjuntos), con tal de importarlos automáticamente a la nueva versión.
Luego de este paso, el investigador de seguridad y hacker Matt Suiche se dió cuenta que la aplicación volcaba la información en una ubicación que él escogió sin encriptar los archivos antes. Él anunció su descubrimiento mediante Tweeter, además de realizar el reporte de fallos al fabricante. “Es completamente insano”, añadió, agregando una captura de pantalla que muestra los datos en texto plano volcados por Signal durante la actualización.

El directorio principal contiene distintos subdirectorios, uno para cada contacto distinto en Signal. Estos subdirectorios llevan el nombre del contacto y su número de teléfono. Junto con esto, sólo al ingresar a ellos podemos encontrar información sensible. Las conversaciones son almacenadas en el formato JSON (JavaScript Object Notation) sin encriptación ni ofuscamiento, de forma que es posible leer su contenido a simple vista.
Suiche realizó el hallazgo en macOS al recibir una notificación de actualización de la extensión de Signal para Chrome. En tests realizados por BleepingComputer en entorno Linux arrojó el mismo resultado. Tampoco hay advertencias de que el contenido se esta guardando sin encriptar, además de que esta información persiste en el disco duro una vez de que la actualización se completa y la nueva versión de Signal la importa. Los usuarios deben eliminar este subdirectorio manualmente para mitigar el riesgo de filtración de sus conversaciones privadas.
La extensión de Signal para Chrome se encuentra obsoleta. Signal ha estado disponible para teléfonos móviles desde un comienzo, pero debido a la conveniencia se requirió el desarrollo de una versión para computadores de escritorio, la cual apareció como una extensión de Chrome.
Esto significa que la aplicación de escritorio encriptaba sus comunicaciones sólo cuando Google Chrome se encontraba en ejecución. Desde octubre de 2017 existe una nueva variante como aplicación standalone, la cual desecha la interacción con Chrome. Además esto marcó el comienzo del fin para la aplicación de Chrome, la cual expira en menos de un mes.
El problema no es sólo con Signal Desktop. Deprecar una versión en favor de otra, no es motivo suficiente para dejar los datos sin encriptar siendo que el objetivo de este sistema es justamente la transmisión encriptada de conversaciones y archivos. Además se ha descubierto que Signal Desktop no remueve correctamente archivos que han sido adjuntos a mensajes que desaparecen (una funcionalidad que borra los mensajes luego de cierta cantidad de tiempo), ya que estos adjuntos se pueden encontrar en el sistema de archivos de todas formas
Fuente: https://www.bleepingcomputer.com/news/security/signal-upgrade-process-leaves-unencrypted-messages-on-disk/

Otras herramientas de hackeo de NSA están siendo utilizadas en ataques (DarkPulsar y otras)

Industrias de aeroespacio, energía nuclear, I+D y otras, han sido atacadas utilizando poderosas herramientas elaboradas por la Agencia Nacional de Seguridad de Estados Unidos de Norteamérica (NSA).
De acuerdo a investigadores de laboratorios Kaspersky, los atacantes combinan herramientas filtradas desde la NSA como DarkPulsar, DanderSpritz y FuzzBunch para infectar máquinas Windows Server 2003 y 2008, 50 organizaciones de Rusia, Irán y Egipto ya fueron víctimas de este procedimiento.
DanderSpritz consiste meramente en plugins para recopilar inteligencia, utiliza exploits y examina máquinas previamente controladas. Está escrito en Java y provisiona una interfaz gráfica similar a los paneles administrativos de los botnets, y también una consola similar a la de Metasploit. Además incluye sus propios backdoors y plugins para las victimas que no están controladas por FuzzBunch.
FuzzBunch por otra parte ofrece un framework para distintas utilidades que interactúan y trabajan juntas. Contiene varios tipos de plugins que estan diseñados para analizar víctimas, explotar vulnerabilidades, programar tareas, etc.
DarkPulsar es un backdoor que puede ser utilizado por los atacantes en conjunto con FuzzBunch para ganar acceso remoto al servidor objetivo.
Una vez que el backdoor se encuentra operativo, los atacantes pueden utilizar los pluins de DanderSpritz para monitorear y exfiltrar datos desde las máquinas infectadas.
Cada herramienta soporta una cantidad de plugins diseñados para diferentes tareas, los de FuzzBunch sirven para reconocimiento y hackear el sistema objetivo, los de DanderSpritz son usados para la administración de las víctimas ya infectadas.
El hallazgo de esta última ola de ataques es muy importante para demostrar que las amenazas pueden encadenarse desde herramientas de hackeo y exploits desarrolladas por un Estado con el objetivo de crear un poderoso paquete de ataque. También demuestra como los hackers pueden combinar herramientas para realizar operaciones de hackeo con alta sofisticación.
El descubrimiento del backdoor DarkPulsar ayudó a entender su rol como un puente entre estos frameworks previamente filtrados, también como ellos son parte de la misma plataforma de ataque, diseñados para un compromiso de los activos objetivo a largo plazo, basándose en la avanzada facultad de DarkPulsar de persistir y ocultarse.
La implementación de estas capacidades, como por ejemplo, el encapsulamiento del tráfico en protocolos legítimos y el evitar tener que utilizar credenciales de acceso para pasar la autenticación, son altamente profesionales.
Es importante recordar que existen parches de seguridad para estas vulnerabilidades.
Estas herramientas fueron expuestas por el grupo Shadow Brokers en marzo de 2017 y el pack completo se transa en 250 Bitcoins en la dark web.

Para detectar una infección con estas herramientas (si no ha parchado aún, aunque debería) es necesario monitorear el puerto 445, además de un par de sockets que aparecerán en lsass.exe. Cuando DanderSpritz despliega su carga PeddleCheap mediante el plugin PcDllLauncher, la actividad de la red aumenta considerablemente.
Luego cuando una conexión a la máquina infectada se termina y la actividad de la red vuelve a la normalidad, sólo quedan los sockets de lsass.exe
IOCs:
Malware – 96f10cfa6ba24c9ecd08aa6d37993fe4
Ruta – %SystemRoot%System32sipauth32.tsp
Regkey – HKLMSoftwareMicrosoftWindowsCurrentVersionTelephonyProviders
Fuentes: https://securityaffairs.co/wordpress/77278/hacking/darkpulsar-nsa-hacking-tools.html
https://securelist.com/darkpulsar/88199/

Combinar 3 vulnerabilidades críticas podría permitir la toma de control de routers D-Link

Investigadores de Silesian University of Technology, en Polonia, descubrieron diversas fallas que pueden ser explotadas para tomar el control de algunos routers D-Link.
Las vulnerabilidades halladas son: Directory Traversal (CVE-2018-10822), Password almacenada en texto plano (CVE-2018-10824), e Inyección de comandos en Shell (CVE-2018-10823).
Esto es debido a múltiples vulnerabilidades en el servidor httpd de los routers D-Link, las cuales se encuentran presentes en diversos modelos. Al utilizar estas 3 vulnerabilidades combinadas permiten tomar el control total del router, incluyendo ejecución de código.
Algunos de los modelos afectados son: DWR-116, DWR-111, DWR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, y DWR-921.
La vulnerabilidad de Directory Traversal, permite al atacante que la explota, la facultad de leer archivos arbitrariamente utilizando llamadas HTTP. Anteriormente esta vulnerabilidad fue reportada a D-Link con el CVE-2017-6190, pero el fabricante no mitigó correctamente esta falla. Esto permite que el atacante obtenga acceso al archivo que guarda la contraseña del administrador del dispositivo en texto plano.
Guardar contraseñas en texto plano es seguida con el CVE-2018-10824. Para evitar una explotación masiva, los investigadores no revelaron la ruta donde se encuentra el archivo de las contraseñas.
La otra vulnerabilidad permite que un atacante no autorizado ejecute comandos de forma arbitraria y de esta forma tomar el control total del dispositivo.
Esta situación ya fue comunicada oportunamente a D-Link, pero este fabricante aún no ha tomado acción al respecto, es por esto que se estas vulnerabilidades se hicieron públicas.
Mientras se espera una actualización de seguridad para estos routers, se recomienda que no se les permita acceso desde Internet.
Los investigadores publicaron un video para demostrar este ataque

Falla en la librería LibSSH permitiría acceso a servidores sin necesitar credenciales

Una severa falla introducida hace 4 años fue descubierta recientemente en la librería de implementación de Secure Shell (SSH) conocida como LibSSH, ésta podría permitir que cualquier atacante pase por alto la autenticación y gane privilegios administrativos para tomar control un servidor vulnerable, sin necesitar una contraseña.
Esta vulnerabilidad, en seguimiento como CVE-2018-10933, es un problema de bypass de autenticación que fue introducido en LibSSH versión 0.6 a comienzos de 2014, dejando miles de servidores empresariales disponibles para intrusión por parte de hackers en los últimos 4 años.
Las implementaciones de OpenSSH y Github no se encuentran afectas a esta vulnerabilidad.
Esta vulnerabilidad reside en un error de código en LibSSH y es “ridículamente simple” de explotar.
De acuerdo a un aviso de seguridad publicado este martes, todo lo que el atacante necesita hacer es enviar iun mensaje “SSH2_MSG_USERAUTH_SUCCESS” al servidor con una conexión SSH habilitada y cuando este espera un mensaje “SSH2_MSG_USERAUTH_REQUEST”.
Debido a una falla lógica en esta librería, esta falla al validar si el mensaje de “login exitoso” fue enviado por el servidor o el cliente, además de fallar en comprobar si el proceso de autenticación se encuentra completo o no.
Además, si un atacante remoto (cliente) envía el mensaje de respuesta “SSH2_MSG_USERAUTH_SUCCESS” a libssh, ésta considera que el proceso de autenticación fue exitoso y proveerá acceso al servidor para el atacante, sin requerir una contraseña.
Se estima que aproximadamente 6.500 servidores expuestos a internet pueden estar afectados de alguna forma por el uso de versiones vulnerables de libssh. Esto incluye toda variante de UNIX, Linux, AIX, BSD, etc…
El equipo de LibSSH se hizo cargo del problema al liberar versiones actualizadas de sus librerias libssh 0.8.4 y 0.7.6 este martes 16 de octubre de 2018, los detalles de la vulnerabilidad fueron expuestos en la misma instancia.
Fuente: https://thehackernews.com/2018/10/libssh-ssh-protocol-library.html

GhostDNS: El nuevo botnet de DNS que ya ha secuestrado sobre 100 mil Routers

Investigadores de seguridad chinos han descubierto una campaña de malware que se está distribuyendo de amplia manera, y ya ha secuestrado sobre 100.000 routers para modificar sus configuraciones de DNS y así redirigir a los usuarios hacia páginas maliciosas (especialmente si intentan visitar sitios de bancos) y de esta forma así robar sus credenciales de acceso.
Denominado GhostDNS, esta campaña tiene muchas similitudes con el infame malware DNSChanger, el cual funciona modificando la configuración de los servidores DNS de un dispositivo infectado, permitiendo de esta manera que los atacantes ruteen el tráfico de internet de los usuarios hacia servidores maliciosos y así robar datos sensibles.
De acuerdo a un nuevo reporte de la empresa de seguridad Qihoo 360, GhostDNS analiza las IP de los routers que utilizan contraseñas débiles o no utilizan contraseña alguna (DNSChanger funciona de la misma manera), con tal de cambiar las direcciones DNS por defecto por alguna de las controladas por los atacantes.
Sistema GhostDNS: Se compone principalmente de 4 módulos:
1.- El modificador de DNS: Es el módulo principal de GhostDNS, el cual está diseñado para explotar routers definidos basados en la información recopilada.
Éste a la vez contiene 3 sub-módulos:
a) Shell DNS Changer: Escrito en Shell, este sub-módulo combina 25 scripts de Shell que pueden realizar ataques de fuerza bruta sobre las contraseñas en routers o paquetes de firmware de 21 fabricantes distintos.
b) Js DNSChanger: Principalmente escrito en JavaScript, este sub-módulo incluye 10 scripts de ataque diseñados para infectar 6 routers o paquetes de firmware distintos. Su estructura funcional es principalmente dividida en escaners, generadores de carga y programas de ataque. El programa Js DNSChanger usualmente es inyectado en sitios de Phishing, por lo que funciona bien junto con el sistema Phishing Web System.
c) PyPhp DNSChanger: Escrito en Python y PHP, este sub-módulo contiene 69 scripts de ataque distintos para 47 routers y firmware, éste ya ha sido encontrado sobre 100 servidores, muchos de ellos en la nube de Google, además incluye funcionalidades como una API Web, y módulos de escáner y ataque.
Éste sub-módulo es el principal de DNSChanger que permite que los atacantes busquen en internet por routers vulnerables.
2.- Módulo de administración Web: Aunque los investigadores aún no tienen mucha información acerca de este módulo, pareciera ser un panel de administración para los atacantes que contiene una pagina de login segura
3.- Módulo DNS malicioso: Es el responsable de resolver los nombres de dominio desde los servidores web controlados por los atacantes, lo que principalmente involucra a bancos y servicios de hosting en la nube; junto con un dominio que pertenece a la empresa de seguridad Avira.
4.- Módulo Phishing Web: Cuando un dominio apuntado es resuelto con éxito mediante el módulo DNS malicioso, el módulo de Phishing muestra la correcta versión falsa del sitio específico.
Investigadores de NetLab declararon: “No tenemos acceso al servidor DNS malicioso, así que no podemos decir con certeza cuantos nombres de DNS han sido secuestrados, pero al hacer consulta en los dominios de Alexa Top1M y DNSMon’s Top1M contra el servidor DNS malicioso (139.60.162.188), hemos sido capaces de detectar un total de 52 dominios secuestrados”

De acuerdo a los investigadores, entre el 21 y el 27 de septiembre, la campaña GhostDNS afectó a mas de 100.000 routers de los cuales el 87% se encuentran localizados en Brasil, por tanto se induce que ese país es el principal objetivo de los atacantes de GhostDNS.
Como proteger su router doméstico de los Hackers
Para poder protegerse a si mismo de ser una víctima de estos ataques, se recomienda que se asegure de que su router está ejecutando la ultima versión de su firmware, y además de que tiene contraseñas fuertes para el portal web de administración de su router.
También puede considerar el deshabilitar la administración remota, cambiar su dirección IP local por defecto, y configurar fijamente un servidor DNS de confianza (1.1.1.1) en el sistema operativo de su router.
Fuente: https://thehackernews.com/2018/10/ghostdns-botnet-router-hacking.html