Archivo mensual: Junio 2019

Ciberataque llega hasta sala de control de la NASA

El laboratorio de propulsión a reacción (Jet Propulsion Lab, o JBL) de la NASA, es capaz de enviar cohetes con robots autómatas que desempeñen misiones de exploración en el planeta Marte, una misión de alta complejidad. Sin embargo al parecer sus medida de ciberseguridad no son tan sofisticadas.

Una revelación reciente indica que en 2018 un incidente de seguridad afectó a los sistemas de control de misión, evitando múltiples controles de seguridad TI y exponiendo sistemas y datos de la NASA.

En esa oportunidad los atacantes apuntaron a un dispositivo Raspberry Pi que estaba conectado a la red del JPL sin autorización, explotarla, y luego tomar ventaja de la falta de segmentación de la red interna para encontrar otro nodo que les permitiese ingresar a niveles más profundos de la red. Uno de los niveles afectados contiene sistemas que son utilizados en el control de misiones de vuelo espacial tripuladas por humanos.


Como resultado de este ciberataque, oficiales de seguridad TI del centro espacial Johnson, el cual maneja programas como el vehículo multipropósito Orion y la Estación Espacial Internacional, decidieron desconectar este centro de la red corporativa temporalmente.

Uno de los administradores de sistemas declaró que no ingresan regularmente los nuevos activos dentro de la base de datos de seguridad TI, debido a que la función de actualización de la base de datos a menudo no funciona y luego olvidan ingresar los datos del nuevo activo manualmente.

El impacto en la apreciación de seguridad del centro espacial Johnson fue tan significativo, que fueron aproximadamente 6 meses en los que estuvieron desconectados del DNS.

También agregaron que las vulnerabilidades, aún cuando son detectadas, demoran más de 180 días en ser resueltas.

En este incidente quedan expuestas diversas fallas de seguridad que combinadas pueden conllevar a un desastre, inclusive con costo de vidas humanas. Lo que refuerza el concepto de mantener la seguridad TI en un nivel actualizado ya sea técnicamente como en procedimientos y políticas.

Fuentes:

https://hothardware.com/news/raspberry-pi-was-in-cyberattack-nasas-jpl-network

https://www.forbes.com/sites/daveywinder/2019/06/20/confirmed-nasa-has-been-hacked/#7d77764cdc62

https://www.theregister.co.uk/2019/06/19/nasa_jpl_oig_report_cybersecurity/

DHS (EEUU) urge por parchar vulnerabilidad de Windows: BlueKeep

La agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del Departamento de Seguridad de la Patria (DHS) de Estados Unidos ha emitido una alerta pública acerca de una vulnerabilidad crítica. Han comunicado explícitamente “actualizar ahora”, sumándose así a la Agencia Nacional de Seguridad (NSA) y a Microsoft en advertir los peligros de la vulnerabilidad BlueKeep (CVE-2019-0708).

Expertos de seguridad pronostican que es sólo cuestión de tiempo, unas cuantas semanas para ser más explícitos, para que los cibercriminales utilicen esta vulnerabilidad como una arma, lo que clasificaría a BlueKeep como una bomba de tiempo cuyo impacto podrían ser similar al que tuvo en su momento el aún célebre WannaCry.

La alerta del CISA confirma este peligro, indicando además de que han determinado que Windows 2000 también es vulnerable a BlueKeep, lo que aumenta la superficie de ataque potencial de un exploit de esta vulnerabilidad.


Investigaciones revelan que poco menos de un millón de máquinas visibles a internet son vulnerables a BlueKeep en el puerto 3389, sirviendo de punto de entrada a cualquier gusano que pueda infectarlos e iniciar un movimiento lateral dentro de su red interna. 

Cabe mencionar que Microsoft ha publicado parches para BlueKeep inclusive para algunos de sus sistemas operativos fuera de soporte (EOL).

BlueKeep impacta los servicios de escritorio remoto en Windows y puede ser explotado al enviar paquetes específicos al objetivo. Es posible utilizarla en un contexto de malware tipo gusano.

El sitio oficial de Microsoft relacionado con esta vulnerabilidad es https://support.microsoft.com/es-cl/help/4500705/customer-guidance-for-cve-2019-0708

Fuentes:

https://www.forbes.com/sites/daveywinder/2019/06/18/u-s-government-announces-critical-warning-for-microsoft-windows-users/#2dd952652d29

https://www.securityweek.com/dhs-issues-alert-windows-bluekeep-vulnerability

https://www.zdnet.com/article/homeland-security-weve-tested-windows-bluekeep-attack-and-it-works-so-patch-now/

Rootkit infecta a mas de 50.000 servidores MS-SQL y PHPMyAdmin

En una campaña que investigados apodaron como Nansh0u, un grupo de cibercriminales utilizando un estilo de ataque de tipo APT, ha afectado aproximadamente 50.000 servidores, instalando un rootkit bastante sofisticado, el cual en modo kernel evita que este malware sea finalizado.
La campaña, que se remonta al 26 de febrero pero fue detectada por primera vez a principios de abril, se ha encontrado que ofrece 20 versiones diferentes de carga útil alojadas en varios proveedores de alojamiento.
El ataque se basa en la técnica de fuerza bruta después de encontrar servidores MS-SQL y PHPMyAdmin de acceso público mediante un simple escáner de puertos.
Luego de una autenticación de inicio de sesión exitosa con privilegios administrativos, los atacantes ejecutan una secuencia de comandos MS-SQL en el sistema comprometido para descargar la carga útil malintencionada desde un servidor de archivos remoto y ejecutarlo con privilegios de SISTEMA.
En el fondo, la carga útil aprovecha una vulnerabilidad conocida de escalada de privilegios (CVE-2014-4113) para obtener privilegios de SISTEMA en los sistemas comprometidos.
La carga útil luego instala un malware de minería de criptomoneda en servidores comprometidos para extraer la criptomoneda de TurtleCoin .
Además de esto, el malware también protege su proceso de la terminación mediante el uso de un rootkit de modo de kernel firmado digitalmente para la persistencia.

Los investigadores también han publicado una lista completa de IoC (indicadores de compromiso) y un script gratuito basado en PowerShell que los administradores de Windows pueden usar para verificar si sus sistemas están infectados o no.
Como el ataque se basa en una combinación de nombre de usuario y contraseña débiles para los servidores MS-SQL y PHPMyAdmin, se recomienda a los administradores que siempre mantengan una contraseña sólida y compleja para sus cuentas.
Prevención y remediación.
Fuentes:

NSA llama a los administradores y usuarios de Windows a instalar los parches contra la vulnerabilidad “BlueKeep”

La NSA (National Security Agency) hace un llamado con urgencia a los usuarios y administradores de windows para realizar la actualización de sistema que protege contra la vulnerabilidad “Blue Keep” CVE2019-0708, según la NSA este podría llegar a ser próximo “WannaCry” si no es tratado en este momento.
El parche para este CVE-2019-0708 fue lanzado en el mes de mayo por Microsoft, no obstante se estima que hay casi un millón de equipos vulnerables pendientes de actualización.
BlueKeep es una vulnerabilidad (CVE-2019-0708), que afecta al protocolo de escritorio remoto (RDP) utilizado para que máquinas con Windows se puedan operar a distancia a través de Internet. La vulnerabilidad es crítica y afecta a Windows 7, Windows Vista, Windows XP y a Windows Server 2008 y 2003.
La alerta de NSA es inusual y solo se produce ante casos de extrema gravedad. Hay constancia que un exploit ya está aprovechando la vulnerabilidad y se teme una campaña de ataques que resulten en una situación similar a WannaCry, un malware que también utilizó un fallo en el protocolo de escritorio remoto.
Los titulares de la institución a través de sus redes sociales oficiales han hablado sobre el delicado asunto los últimos días. Pero incluso ya publicaron una entrada en su sitio web oficial. Donde dimensionan con mayor precisión el peligro que representa:
Las advertencias recientes de Microsoft destacaron la importancia de instalar parches para solucionar una vulnerabilidad de protocolo en versiones anteriores de Windows .
Microsoft ha advertido que esta falla es potencialmente “wormable”, lo que significa que podría propagarse sin la interacción del usuario a través de Internet.
Hemos visto gusanos informáticos devastadores que causan daños en sistemas sin parches con un impacto de gran alcance, y estamos buscando motivar mayores protecciones contra esta falla.
Medidas contra BlueKeep
Junto con la instalación de los parches publicados por Microsoft, la agencia de seguridad también recomendó tomar las siguientes medidas adicionales:
Bloquear el puerto TCP 3389 en el cortafuegos, especialmente los perimetrales expuestos a Internet. Este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.Habilitar la autenticación de nivel de red. Esto mejora la seguridad, ya que requiere que los atacantes tengan credenciales válidas para realizar la autenticación de código remoto.Deshabilitar los servicios de escritorio remoto si no los necesitas. Esto ayuda a reducir la exposición a las vulnerabilidades de seguridad en general y es una buena práctica incluso sin la amenaza de BlueKeep.
Fuentes: