Archivo mensual: Marzo 2021

Esta semana en ciberseguridad

Servidor oficial GIT de PHP ha sido hackeado para insertar código malicioso en versiones oficiales

En un nuevo ataque que afecta la cadena de desarrollo de software, el servidor oficial GIT que almacena el repositorio de PHP ha sido hackeado, y su código fuente modificado maliciosamente.

El atacante pujó dos “commits” al repositorio php-src del popular lenguaje de programación PHP, que contenía una puerta trasera que permitía una ejecución remota de código, suplantando los nombres de Rasmus Lerdorf, autor del lenguaje PHP y Nikita Popov, desarrollador de software en Jetbrains, revelaron los mantenedores del código.

Los cambios fueron hechos el día de ayer 28 de Marzo, y aún no se sabe exactamente cuál fue el origen de este ataque, pero todo apunta a que el servidor git.php.net fue comprometido.

Los cambios, inscritos como “Fix Typo”, o “corrección de tipografía”, en un intento de no ser detectados, permiten ejecutar código PHP arbitrario al ser insertado en la cabecera user-agent de HTTP, si el texto inicia con “zerodium”, dijo el desarrollador de PHP Jake Birchall.

Zerodium es una empresa de los Estados Unidos conocida por comprar vulnerabilidades 0-day, pero su CEO, Chaouki Bekrar desmintió rumores de que Zerodium estuviera involucrada en el ataque, indicando a los atacantes como “trolls” que usaron el nombre para despistar.

Aparte de revertir los cambios, los mantenedores de PHP están revisando si es que existe algún otro tipo de corrupción aparte de los dos “commits” antes mencionados. No está claro si la base de código alterada fue descargada o distribuida antes que los cambios fueran descubiertos.

El equipo de PHP está aplicando una serie de modificaciones en su proceso de desarrollo, incluyendo migrar el código fuente a GitHub, y los desarrolladores que quieran contribuir al código deberán ser agregados como parte de la organización en GitHub.

Se estima que PHP es usado en un 80% de los sitios web, de acuerdo a un estudio de tecnologías de Web Technology Surveys, número que incluye a los sitios WordPress, que funciona sobre PHP.

Fuentes:
https://news-web.php.net/php.internals/113838
https://thehackernews.com/2021/03/phps-git-server-hacked-to-insert-secret.html
https://portswigger.net/daily-swig/backdoor-planted-in-php-git-repository-after-server-hack
https://w3techs.com/technologies/details/pl-php

Nuevo Zero-Day en Android bajo ataque

Google anunció una vulnerabilidad, ahora parchada, en dispositivos Android que usan chipsets de Qualcomm, que está siendo utilizada por atacantes para vulnerar objetivos específicos.

Conocida como CVE-2020-11261, con un puntaje de severidad 8.4, esta falla tiene relación con una validación impropia de datos de entrada en el componente Qualcomm Graphics, que puede ser explotada para corromper la memoria cuando una software malicioso solicita acceder a un gran espacio de memoria en el dispositivo afectado.
Es bueno mencionar que el vector de explotación requiere acceso local al dispositivo para poder vulnerar el equipo

Más datos específicos no han sido informados por Google, con el fin de prever que otros actores maliciosos tomen ventaja de este fallo.

Fuente: https://thehackernews.com/2021/03/warning-new-android-zero-day.html

Nueva falla crítica en la plataforma SolarWinds Orion permite ejecución remota de código.

El proveedor de soluciones de manejo de infraestructura SolarWinds anunció que fue lanzada una nueva versión de la herramienta Orion para monitoreo de redes, que cuenta con parches para cuatro nuevas vulnerabilidades de seguridad, incluyendo dos de ellas que pueden ser explotadas por un atacante autenticado para ejecutar código remotamente.

Una falla de deserialización JSON permite a un atacante autenticado ejecutar código arbitrariamente usando acciones de alerta de prueba, disponibles en la consola web de Orion. Esta funcionalidad permite a los usuarios simular eventos de red y puede ser configurada para alertar en caso de que esto suceda. Ha sido calificada como crítica en su severidad.

Además, un segundo problema está relacionado a una vulnerabilidad de alto riesgo que puede ser usada para ejecutar código remotamente en el calendarizador de trabajos de Orion, usando las credenciales sin privilegios de un usuario.

Esta ronda de arreglos viene luego que hace un par de meses, la compañía basada en Texas haya reparado dos vulnerabilidades críticas que impactaron a la plataforma Orion, y que pueden ser explotados para obtener ejecución de código con privilegios elevados.

El fabricante recomienda a los usuarios instalar lo antes posible la nueva versión de Orion Platform 2020.2.5 para mitigar estos problemas.

Fuente: https://thehackernews.com/2021/03/solarwinds-orion-vulnerability.html

Rootkit Purple Fox ahora puede infectar otros maquinas Windows

Una nueva característica ha sido descubierta en el rootkit Purple Fox, un malware conocido por infectar máquinas usando kits de explotación y correos phishing, que le permite distribuirse en forma de gusano a otras máquinas Windows adyacentes.

La campaña, en plena actividad recientemente, usa nuevos métodos de diseminación, haciendo escaneos de puertos indiscriminadamente, y explotando servicios SMB con claves débiles.

Un total de 90.000 incidentes han sido observados entre 2020 y lo que va de 2021.

Primero descubierto en Marzo del 2018, Purple Fox es distribuido como un payload malicioso .msi alojado en más de 2.000 servidores Windows comprometidos, que descarga y ejecuta un componente con características de Rootkit, permitiendo a los atacantes esconder el malware en la máquina y evadir la detección.

Ahora además de esto, se descubrió esta nueva funcionalidad, que logra diseminar el gusano a otras máquinas vulnerables.

Más información: https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox

Fuente: https://thehackernews.com/2021/03/purple-fox-rootkit-can-now-spread.html

Esta semana en ciberseguridad

Comisión para el Mercado Financiero CMF informa sobre incidente de ciberseguridad relacionado a Exchange

El dia 14 de Marzo, la Comisión para el Mercado Financiero informó que el día 12 del presente, fue afectada por un ataque a su plataforma de correo Microsoft Exchange, relacionado a las vulnerabilidades conocidas recientemente que afectan a este software.

El comunicado comenta que se activaron inmediatamente los protocolos de ciberseguridad para contener y dar continuidad a los servicios, y posteriormente informó los resultados preliminares de la investigación, confirmando que fue aislado solo a la plataforma Exchange, no afectando a otros servicios.

La investigación del hecho continúa, pero este caso nos recuerda que es importante estar al tanto de las vulnerabilidades y parches de los softwares que son administrados, para evitar estas situaciones

Fuente: (1) https://www.cmfchile.cl/portal/prensa/615/w3-article-47237.html

El FBI informa que el cibercrimen aumentó considerablemente el 2020, con pérdidas de 4.200 millones de dólares.

El Centro de Quejas por Crímenes de Internet IC3 del FBI lanzó su reporte anual el pasado miércoles, mostrando un alza en el cibercrimen, tanto en cantidad como en costo, durante el año 2020.

El reporte, en cuanto a seguridad empresarial, remarca dos puntos importantes. Uno es la emergencia de campañas de phishing relacionadas al COVID-19, tanto a organizaciones como a individuos, y la segunda, el aumento en el costo en los ataques que han comprometido cuentas de correo electrónico.

Los compromisos de cuentas de correo electrónico alcanzaron costos de 1.900 millones de dólares este 2020, 90 más que el 2019, comparado con los de ransomware en 29 millones de dólares. El reporte dice que los ataques ransomware no son reportados con tanta frecuencia.

Reporte: https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

Fuente: https://www.scmagazine.com/home/security-news/cybercrime/fbi-cybercrime-skyrocketed-in-2020-with-email-compromise-scams-accounting-for-43-of-losses/

Ataques descubiertos apuntan a desarrolladores de aplicaciones Apple con troyanos para Xcode

Investigadores de ciberseguridad anunciaron un nuevo ataque que actores maliciosos están usando para comprometer a desarrolladores de la plataforma Apple con puertas traseras.

Llamada XcodeSpy, el proyecto troyanizado es una versión alterada de un proyecto de código abierto disponible en GitHub llamado TabBarInteraction, usado para animar las barras en el sistema iOS basado en la interacción del usuario.
Este proyecto malicioso instala una variante del backdoor EggShell en el computador del desarrollador, junto con un mecanismo de persistencia, dijeron los investigadores de SentinelOne

Usando un script de inicio, que es ejecutado cuando el desarrollador compila el proyecto, descarga esta variante del backdoor, y los instala en la máquina, permitiendo a los atacantes acceder al teclado, la cámara y el micrófono de la víctima.

Es posible que este ataque haya sido dirigido a algún desarrollador en específico, pero el hecho de que el foco del ataque sean desarrolladores, indica la intención de comprometer uno de los primeros eslabones de la cadena de producción de software, siendo sus víctimas de gran valor para conseguir sus objetivos.

Es importante auditar el software en su totalidad, incluyendo componentes externos.

Fuente: https://thehackernews.com/2021/03/hackers-infecting-apple-app-developers.html

Esta semana en ciberseguridad

Falla crítica de seguridad en plataforma Big-IP de F5 permite a atacantes ejecutar código sin autenticación.

La compañía F5 Networks publicó una alerta de seguridad por cuatro vulnerabilidades críticas que impactan a varios de sus productos, y podrían causar problemas, desde denegación de servicio a ejecución de código remoto.

Los parches están relacionados a siete distintas fallas, (CVE-2021-22986 a 22992) y afectan las versiones 11.6 y 12.x o más nuevas, con una ejecución de código remota (CVE-2021-22986) y que también afectan a las versiones 6.x y 7.x de BIG-IQ.

A pesar que F5 indica que no está al tanto de que estas vulnerabilidades han sido explotadas por actores maliciosos, de así serlo, podrían comprometer completamente los sistemas vulnerables.

F5 Networks urge a sus clientes a actualizar los productos BIG-IP y BIG-IQ a sus versiones parchadas lo más pronto posible.

Fuente: https://thehackernews.com/2021/03/critical-pre-auth-rce-flaw-found-in-f5.html

Código PoC para explotar vulnerabilidad reciente en Exchange ha sido publicado.

El código de prueba de concepto para explotar las vulnerabilidades recientemente conocidas en Microsoft Exchange ha sido publicado, por lo que se estima que la cantidad de ataques relacionados pueda aumentar considerablemente.

En un aviso de CISA y el FBI de los Estados Unidos, indican que la vulnerabilidad está siendo activamente explotada por diversos actores nacionales y cibercriminales. Los ataques principalmente han sido apuntados a gobiernos locales, instituciones académicas y otros sectores de negocios, como agricultura, biotecnología, defensa, farmacéutica entre otros, y algunos incluso siendo afectados con ransomware.

Miles de entidades, incluyendo la Autoridad Bancaria Europea, y el Parlamento Noruego, han sido atacados para instalar una puerta trasera basada en Web, llamada China Chopper web shell.

La cadena de fallas ha sido denominada ProxyLogon, permite a un atacante acceder a los servidores Exchange de la víctima, ganando acceso persistente y control sobre la red.

La mejor forma de mitigar estas fallas es instalando los parches que Microsoft ha dispuesto, lo más pronto posible.

Más Info: https://www.praetorian.com/blog/reproducing-proxylogon-exploit/

Fuente: https://thehackernews.com/2021/03/proxylogon-exchange-poc-exploit.html

Apple lanza nuevas versiones de software para resolver vulnerabilidad de ejecución de código remoto CVE-2021-1844.

Una vulnerabilidad descubierta en iOS, macOS, watchOS y Safari permitiría a atacantes remotos ejecutar código arbitrario en dispositivos vulnerables solo visitando un sitio web con contenido malicioso.

Esta vulnerabilidad, descubierta por Clément Lecigne del equipo de análisis de amenazas de Google y Alison Huffman del equipo de investigación de vulnerabilidades en navegadores de Microsoft, causa una corrupción de memoria que puede ser utilizada para ejecutar código, por lo que Apple ha dispuesto una actualización para sus dispositivos corriendo las versiones afectadas, iOS 14.4, macOS Big Sur y watchOS 7.3.1, así como una actualización a Safari en macOS Catalina y Mojave.

Apple sugiere actualizar a las versiones parchadas lo más pronto posible.

Fuente: https://thehackernews.com/2021/03/apple-issues-patch-for-remote-hacking.html

Esta Semana en ciberseguridad

Cuatro parches de emergencia lanzados por Microsoft para combatir vulnerabilidades 0-day en Exchange

Una colección de vulnerabilidades desconocidas ha salido a la luz, luego que Microsoft informara que atacantes, presuntamente asociados con el gobierno Chino, han estado utilizándolos en diversos ataques, principalmente con el objetivo de robar información, siendo grupo denominado “Hafnium”.

Microsoft insiste a todos sus clientes en instalar estos parches rápidamente, ya que, según comenta Tom Burt, Vicepresidente de Seguridad y Confianza en Microsoft, “a pesar de haber trabajado rápidamente para parchar estas vulnerabilidades, sabemos que muchos actores estatales y grupos criminales tomarán rápidamente ventaja de cualquier sistema vulnerable”

Microsoft no identificó a las víctimas, pero aseguró que eran negocios que utilizan sistemas Exchange instalados en sus propias oficinas

Las vulnerabilidades son las siguientes:

  • CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permitía a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
  • CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura ocurre cuando un programa deserializa datos que no son de confianza y controlables por el usuario. La explotación de esta vulnerabilidad le dio a Hafnium la capacidad de ejecutar código como Usuario de Sistema en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
  • CVE-2021-26858, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, entonces podría usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. El grupo podría autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021-27065, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse aprovechando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.

Este miércoles la agencia CISA de Ciberseguridad e Infraestructura de los Estados Unidos, ordenó a todas las agencias federales a investigar, parchar o desconectar los sistemas relacionados a esta falla debido a la seriedad del problema.

Más detalles se encuentran disponibles en
(1) https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ y
(2) https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Fuente: https://arstechnica.com/information-technology/2021/03/microsoft-issues-emergency-patches-for-4-exploited-0days-in-exchange/

Vulnerabilidades descubiertas en el Kernel de Linux permiten escalar privilegios localmente

Cinco nuevas vulnerabilidades han sido descubiertas en el Kernel de Linux, conocidas como CVE2021-26708, y tienen una calificación CVSS de 7.0, consideradas como de riesgo alto.

Estos problemas fueron encontrados desde la versión 5.5 de Noviembre de 2019, y tienen relación con el soporte “Virtual Socket Multi-transport”. Los drivers vulnerables CONFIG_VSOCKETS y CONFIG_VIRTIO_VSOCKETS son incluidos por defecto en la mayoria de las distribuciones dominantes de GNU/Linux, y es posible que un usuario sin privilegios cargue estos módulos.

Alexander Popov, investigador de seguridad, comenta que “desarrolló un prototipo de escala local de privilegios en un servidor Fedora 33., saltando las protecciones de la plataforma x86_64 como SMEP y SMAP”.

Popov preparó los parches y divulgó responsablemente las vulnerabilidades al equipo de seguridad del kernel de Linux. El parche está disponible desde la versión 5.11-rc7 y ha sido incluido hacia atrás en todas las versiones estables.

Fuente: https://www.helpnetsecurity.com/2021/03/03/cve-2021-26708/?web_view=true

Esta semana en ciberseguridad

Ataque Ransomware a CD Projekt interrumpe el trabajo, posponiendo actualizaciones al juego Cyberpunk 2077

La compañía polaca CD Projekt SA, culpa del lento progreso que han logrado al reciente ataque del que fueron víctimas.

CD Projekt dijo que se ha rehusado a pagar la recompensa solicitada por los atacantes, y ha “cortado acceso a la red interna desde internet”

Debido a este ataque, que fue informado el 9 de Febrero, la mayoría de los empleados se han encontrado impedidos de acceder a sus estaciones de trabajo por más de 2 semanas.

Luego de un tormentoso lanzamiento de Cyberpunk 2077 en Diciembre, CD Projekt había anunciado los planes de lanzar diversas mejoras al juego este mes intentando redimir los las críticas y problemas a en su inicio, pero la compañia informó en un tweet que debido a las complicaciones generadas por el ataque esto lamentablemente no podrá ocurrir, anunciando que apuntan a la segunda mitad de Marzo para ello.

A pesar de que los empleados han tenido vacaciones inesperadas después de un largo periodo de trabajo, este ataque podría ser un dolor de cabeza para ellos, ya que los atacantes posiblemente accedieron a datos personales, incluyendo números de identificación y pasaportes, por lo que la compañía sugirió que bloqueen sus tarjetas y reporten el ataque a quien sea relevante

REFERENCIA: https://www.bloomberg.com/news/articles/2021-02-24/cd-projekt-hack-severely-disrupts-work-on-cyberpunk-game-updates

Más de 6700 servidores VMware expuestos y vulnerables a nuevo bug

Una nueva vulnerabilidad, afectando a VMware vSphere, ha sido publicada el día 24 de Febrero. Esta falla permite ejecutar código remotamente en el plugin vCenter Server, permitiendo a un atacante malicioso con acceso al puerto 443 ejecutar comandos privilegiados en el sistema operativo que sirve vCenter Server.

Esta vulnerabilidad afecta a VMware vCenter (versiones 7.x previas a 7.0 U1c, 6.7 previas a 6.7 U3l y 6.5 previas a 6.5 U3n) y VMware Cloud Foundation (versiones 4.x previas a 4.2 y 3.x previas a 3.10.1.2).

Luego que un investigador de seguridad chino publicara código de la prueba de concepto de este ataque en su blog, se han detectado escaneos masivos a servidores VMWare, con la intención de encontrar servicios potencialmente vulnerables y tomar control de ellos.

Esta vulnerabilidad es conocida como CVE-2021-21972, y se considera altamente crítica, por lo que es importante actualizar sus instalaciones VMware usando los parches oficiales del fabricante

REFERENCIA:
(1) https://www.vmware.com/security/advisories/VMSA-2021-0002.html
(2) https://www.tenable.com/cve/CVE-2021-21972
(3) https://swarm.ptsecurity.com/unauth-rce-vmware/
(4) https://www.zdnet.com/article/more-than-6700-vmware-servers-exposed-online-and-vulnerable-to-major-new-bug/

Extensión maliciosa de Firefox permite a atacantes acceder a cuentas Gmail

Un nuevo ataque descubierto permite tomar control de las cuentas Gmail de las víctimas, usando una extensión maliciosa para Firefox llamada FriarFox.

Investigadores indican que esta campaña, observada durante los primeros meses de este año, ha apuntado a organizaciones Tibetanas, y está ligado a TA413, uno de los APT del estado Chino, sigla en inglés para “Amenazas Avanzadas y Persistentes”.

La extensión simula ser una actualización de Flash Player, software obsoleto desde fin de 2020, para persistir en el navegador de la víctima, y permite a los atacantes buscar, leer, eliminar y reenviar mensajes de Gmail, así como recibir notificaciones y enviar correos. El malware se ha distribuido principalmente usando correos tipo Phishing.

REFERENCIA: https://www.proofpoint.com/us/blog/threat-insight/ta413-leverages-new-friarfox-browser-extension-target-gmail-accounts-global