Archivo mensual: Septiembre 2019

Vulnerabilidades en HTTP/2 expone a millones de sitios a ataques DoS

En HTTP/2, la ultima version de protocolo de red HTTP se han encontrado múltiples vulnerabilidades de seguridad que afectan al web server mas popular, que incluye Apache, Microsoft´s IIS y NGINX.

Lanzado en mayo del 2015, HTTP/2 fue diseñado para mejorar la experiencia de navegación mejorando la velocidad de carga de las paginas y su seguridad. Al día de hoy mas de cien millones o un 40% de los sitios de internet están usando este nuevo protocolo.

Se encontraron un total de 8 vulnerabilidades graves en HTTP/2, siete de estas descubiertas por Jonathan Looney de Netflix y una por Piotr Sikora de Google, existen debido al agotamiento de los recursos cuando se manejan entradas maliciosas, lo que permite que un cliente sobrecargue el código de gestión de colas del servidor.

Estas vulnerabilidades son explotables en DoS (Denial of Service), esto podría afectar a los millones de servicios que están corriendo en un servidor web con la implementación HTTP/2.

¿Como es el ataque en términos simples?, básicamente es que un cliente malicioso le pide a un servidor vulnerable objetivo que haga algo que genere una respuesta, pero luego el cliente se niega a leer la respuesta, forzándolo a consumir memoria y CPU excesivas mientras procesa las solicitudes.

Estos defectos permiten una pequeña cantidad de sesiones maliciosas de bajo ancho de banda, esto para evitar que los participantes de la conexión realicen un trabajo adicional. Es probable que estos ataques agoten los recursos de manera que otras conexiones o procesos en la misma máquina también puedan verse afectados o bloquearse“, explica Netflix en un aviso publicado el martes.

La mayoría de las vulnerabilidades enumeradas a continuación funcionan en la capa de transporte HTTP / 2:

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

Algunos son lo suficientemente eficientes como para que un único sistema final pueda causar estragos en varios servidores. Otros ataques son menos eficientes; sin embargo, incluso los ataques menos eficientes pueden abrir la puerta a ataques DDoS que son difíciles de detectar y bloquear“, señala el aviso.

De todas formas estas vulnerabilidades no permiten la modificación ni extracción de datos de contenidos en los servidores, solo se pueden utilizar para aplicar la técnica de DoS.

El equipo de seguridad de Netflix se asocio con Google y el centro de coordinación CERT para poder informar de manera responsable las vulnerabilidades a cada uno de los proveedores y mantenedores afectados por lo antes mencionado.

Según el CERT, los proveedores afectados incluyen NGINX , Apache , H2O , Nghttp2, Microsoft (IIS), Cloudflare , Akamai , Apple ( SwiftNIO), Amazon, Facebook (Proxygen), Node.js y Envoy proxy, muchos de los cuales ya han lanzado parches de seguridad y avisos.

Referencias:

https://thehackernews.com/2019/08/http2-dos-vulnerability.html

https://kb.cert.org/vuls/id/605641/

https://www.f5.com/labs/articles/threat-intelligence/denial-of-service-vulnerabilities-discovered-in-http-2

https://www.zdnet.com/article/severe-vulnerabilities-discovered-in-http2-protocol/

https://www.redeszone.net/2019/08/14/nuevas-vulnerabilidades-http2-explotar-servidores-no-parcheados/

http://sedici.unlp.edu.ar/handle/10915/68348

“MACHETE” el grupo secreto de hackers que roba GBs de archivos confidenciales al ejercito venezolano

Investigadores de la empresa de ciberseguridad “ESET” descubrieron una campaña especifica de ciber espionaje, cuyo propósito es robar documentos confidenciales de las Fuerzas Armadas venezolanas.

Ellos extraen archivos de tipo especializados utilizados por el software de sistemas de información geográfica (GIS)”, dijo Matias Porolli investigador de ESET.

Los atacantes se interesan específicamente en archivos que describen rutas de navegación y posicionamiento utilizando cuadrículas militares”.

Alrededor de un 75% de las infecciones de estos virus operados por Machete, están ubicados en Venezuela, esto junto a otras víctimas repartidas por Ecuador, Colombia y Nicaragua.

La primera documentación existente fue realizada por Kaspersky en 2014, el grupo “Machete ” esta activo desde el año 2010, enfocado en varios objetivos dentro de Latinoamérica. Pero al comienzo del 2019, ESET dijo que se ha centrado principalmente en sus esfuerzos de piratería en Venezuela.

Los investigadores encontraron mas de 50 computadores infectados que se comunicaban a través de servidores command-and-control (C&C), en el periodo que abarca entre Marzo y Mayo del año 2019. Esto es para implementar cambios rutinarios de malware en su infraestructura para frustrar la detección y modificar las campañas de phishing.

El modus-operandi

El grupo de espionaje utiliza una técnica más que probada, esto es enviando correos con archivos maliciosos (phishing).

Para atraerlos a abrir los correos electrónicos, el grupo utiliza inteligentemente documentos militares clasificados previamente robados, incluidos radiogramas, el formato ampliamente utilizado por las organizaciones militares para transmitir mensajes. Además, los atacantes aprovechan su conocimiento de la jerga militar y la etiqueta para elaborar correos electrónicos de phishing convincentes.

Una vez abierto el documento señuelo, infecta el dispositivo del objetivo con un virus de backdoor. ESET dijo que el malware (codificado en Python), es una nueva versión que se vio por primera vez hace un año.

El virus incluye persistentemente un componente espía que se ejecuta indefinidamente en segundo plano, copiando y encriptando documentos, tomando capturas de pantalla y actuando como keylogger. También se comunica con el servidor de C&C cada 10 minutos para enviar los datos robados y enmascarar su verdadera intención al nombrar sus archivos como “Google” (GoogleCrash.exe y GoogleUpdate.exe).

ESET dijo que la campaña de phishing todavía está activa hasta el día de hoy, y que los piratas informáticos han extraído con éxito gigabytes de documentos confidenciales cada semana.

¿”Machete” Quienes son?

ESET a encontrado varias instancias de palabras en español en el código de malware, con los registros generados al capturar las pulsaciones de teclas y los datos escritos del portapapeles en el mismo idioma. Esto sugiere que han sido desarrollados por un grupo de habla hispana.

Divulgaciones públicas anteriores de Kaspersky y Cylance (que fue adquirida por BlackBerry a principios de este año) se han hecho eco de hallazgos similares, pero los detalles sobre su identidad exacta siguen siendo desconocidos

El grupo detrás de Machete ha logrado continuar operando incluso después de que los investigadores hayan publicado descripciones técnicas e indicadores de compromiso para este malware“, concluyeron los investigadores de ESET. “Sin embargo, son las organizaciones seleccionadas las que han fallado en crear conciencia y aplicar políticas de seguridad para que los empleados no caigan en estos ataques en primer lugar“.

Referencias:

https://www.abc.es/tecnologia/informatica/software/abci-machete-virus-esta-robando-informacion-militar-venezuela-nicolas-maduro-201908051130_noticia.html

https://www.welivesecurity.com/2019/08/05/sharpening-machete-cyberespionage/

https://www.welivesecurity.com/wp-content/uploads/2019/08/ESET_Machete.pdf

https://thenextweb.com/security/2019/08/06/secretive-machete-hacker-group-steals-gbs-worth-of-sensitive-files-from-the-venezuelan-military/

https://unaaldia.hispasec.com/2019/08/machete-el-how-to-del-malware-que-ha-puesto-en-jaque-al-ejercito-de-venezuela.html

KDE Desktop de Linux podría ser hackeado solo bajando un archivo, sin la necesidad de abrirlo

Si estas corriendo el escritorio KDE de linux tienes que ser extremadamente cuidadoso de no descargar ningún archivos “.desktop” o “.directory” por algún tiempo.

Un investigador de ciberseguridad ha revelado una vulnerabilidad zero-day sin parches en el framework de KDE, que podría permitir que los archivos .desktop y .directory creados de forma malintencionada, ejecuten silenciosamente código arbitrario en la computador de un usuario, sin siquiera requerir que la víctima lo abra realmente.

KDE Plasma es uno de los mas populares ambientes de escritorio open-source widget-based para usuarios de Linux y viene por defecto en varias distribuciones de este sistema operativo, como en Manjaro, openSUSE, Kubuntu y PCLinuxOS.

Dominik Penner el investigador que hizo el descubrimiento, se contactó con The Hacker News para informar de una vulnerabilidad de inyección de comandos en el escritorio de KDE 4/5 Plasma, esto debido a la forma en que KDE maneja los archivos .desktop y .directory. 

Cuando se crea una instancia de un archivo .desktop o .directory, evalúa de forma insegura las variables de entorno y las expansiones de shell utilizando KConfigPrivate :: expandString () a través de la función KConfigGroup :: readEntry ()” , Dijo Dominik Penner.

Sacándole partido a esta falla, afectando al paquete 5.60.0 o versiones anteriores del KDE Frameworks, es simple e implica algo de ingeniería social ya que un atacante necesitaría engañar al usuario de KDE para que descargue un archivo que contenga un archivo malicioso .desktop o .directory.

Usando un archivo .desktop especialmente diseñado, un usuario remoto podría verse comprometido simplemente descargando y visualizando el archivo en su administrador de archivos, o arrastrando y soltando un enlace en sus documentos o escritorio“.

Teóricamente, si podemos controlar las entradas de configuración y activar su lectura, podemos lograr la inyección de comandos / RCE“, explicó Penner.

En la prueba de concepto, Penner publicó 2 videos demostrando el ataque exitoso al KDE KDesktopFile Command Injection vulnerability, todo esto junto al respectivo código para explotar esta vulnerabilidad.

Aparentemente, esta publicación se realizó antes de ser reportada a los desarrolladores de KDE, la KDE Community reconoció esta vulnerabilidad y aseguró que la solución ya viene en camino.

Además, si descubre una vulnerabilidad similar, es mejor enviar un correo electrónico security@kde.org antes de hacerlo público. Esto nos dará tiempo para parchearlo y mantener a los usuarios seguros antes de que los malos intenten explotarlo” anunció la KDE Community.

Mientras tanto, los desarrolladores de KDE recomendaron a los usuarios que simplemente “eviten descargar archivos .desktop o .directory y extraer archivos de fuentes no confiables” durante un tiempo hasta que se repare la vulnerabilidad.

Referencias:

https://mastodon.technology/@kde/102571278750266664 https://securityaffairs.co/wordpress/89527/hacking/kde-zero-day-vulnerability.html

https://www.zdnet.com/article/unpatched-kde-vulnerability-disclosed-on-twitter/

Descubren una vulnerabilidad en KDE Plasma fácil de explotar

https://thehackernews.com/2019/08/kde-desktop-linux-vulnerability.html?m=1

https://www.cvedetails.com/vulnerability-list/vendor_id-77/KDE.html