Esta semana en ciberseguridad

Servidor oficial GIT de PHP ha sido hackeado para insertar código malicioso en versiones oficiales

En un nuevo ataque que afecta la cadena de desarrollo de software, el servidor oficial GIT que almacena el repositorio de PHP ha sido hackeado, y su código fuente modificado maliciosamente.

El atacante pujó dos “commits” al repositorio php-src del popular lenguaje de programación PHP, que contenía una puerta trasera que permitía una ejecución remota de código, suplantando los nombres de Rasmus Lerdorf, autor del lenguaje PHP y Nikita Popov, desarrollador de software en Jetbrains, revelaron los mantenedores del código.

Los cambios fueron hechos el día de ayer 28 de Marzo, y aún no se sabe exactamente cuál fue el origen de este ataque, pero todo apunta a que el servidor git.php.net fue comprometido.

Los cambios, inscritos como “Fix Typo”, o “corrección de tipografía”, en un intento de no ser detectados, permiten ejecutar código PHP arbitrario al ser insertado en la cabecera user-agent de HTTP, si el texto inicia con “zerodium”, dijo el desarrollador de PHP Jake Birchall.

Zerodium es una empresa de los Estados Unidos conocida por comprar vulnerabilidades 0-day, pero su CEO, Chaouki Bekrar desmintió rumores de que Zerodium estuviera involucrada en el ataque, indicando a los atacantes como “trolls” que usaron el nombre para despistar.

Aparte de revertir los cambios, los mantenedores de PHP están revisando si es que existe algún otro tipo de corrupción aparte de los dos “commits” antes mencionados. No está claro si la base de código alterada fue descargada o distribuida antes que los cambios fueran descubiertos.

El equipo de PHP está aplicando una serie de modificaciones en su proceso de desarrollo, incluyendo migrar el código fuente a GitHub, y los desarrolladores que quieran contribuir al código deberán ser agregados como parte de la organización en GitHub.

Se estima que PHP es usado en un 80% de los sitios web, de acuerdo a un estudio de tecnologías de Web Technology Surveys, número que incluye a los sitios WordPress, que funciona sobre PHP.

Fuentes:
https://news-web.php.net/php.internals/113838
https://thehackernews.com/2021/03/phps-git-server-hacked-to-insert-secret.html
https://portswigger.net/daily-swig/backdoor-planted-in-php-git-repository-after-server-hack
https://w3techs.com/technologies/details/pl-php

Nuevo Zero-Day en Android bajo ataque

Google anunció una vulnerabilidad, ahora parchada, en dispositivos Android que usan chipsets de Qualcomm, que está siendo utilizada por atacantes para vulnerar objetivos específicos.

Conocida como CVE-2020-11261, con un puntaje de severidad 8.4, esta falla tiene relación con una validación impropia de datos de entrada en el componente Qualcomm Graphics, que puede ser explotada para corromper la memoria cuando una software malicioso solicita acceder a un gran espacio de memoria en el dispositivo afectado.
Es bueno mencionar que el vector de explotación requiere acceso local al dispositivo para poder vulnerar el equipo

Más datos específicos no han sido informados por Google, con el fin de prever que otros actores maliciosos tomen ventaja de este fallo.

Fuente: https://thehackernews.com/2021/03/warning-new-android-zero-day.html

Nueva falla crítica en la plataforma SolarWinds Orion permite ejecución remota de código.

El proveedor de soluciones de manejo de infraestructura SolarWinds anunció que fue lanzada una nueva versión de la herramienta Orion para monitoreo de redes, que cuenta con parches para cuatro nuevas vulnerabilidades de seguridad, incluyendo dos de ellas que pueden ser explotadas por un atacante autenticado para ejecutar código remotamente.

Una falla de deserialización JSON permite a un atacante autenticado ejecutar código arbitrariamente usando acciones de alerta de prueba, disponibles en la consola web de Orion. Esta funcionalidad permite a los usuarios simular eventos de red y puede ser configurada para alertar en caso de que esto suceda. Ha sido calificada como crítica en su severidad.

Además, un segundo problema está relacionado a una vulnerabilidad de alto riesgo que puede ser usada para ejecutar código remotamente en el calendarizador de trabajos de Orion, usando las credenciales sin privilegios de un usuario.

Esta ronda de arreglos viene luego que hace un par de meses, la compañía basada en Texas haya reparado dos vulnerabilidades críticas que impactaron a la plataforma Orion, y que pueden ser explotados para obtener ejecución de código con privilegios elevados.

El fabricante recomienda a los usuarios instalar lo antes posible la nueva versión de Orion Platform 2020.2.5 para mitigar estos problemas.

Fuente: https://thehackernews.com/2021/03/solarwinds-orion-vulnerability.html

Rootkit Purple Fox ahora puede infectar otros maquinas Windows

Una nueva característica ha sido descubierta en el rootkit Purple Fox, un malware conocido por infectar máquinas usando kits de explotación y correos phishing, que le permite distribuirse en forma de gusano a otras máquinas Windows adyacentes.

La campaña, en plena actividad recientemente, usa nuevos métodos de diseminación, haciendo escaneos de puertos indiscriminadamente, y explotando servicios SMB con claves débiles.

Un total de 90.000 incidentes han sido observados entre 2020 y lo que va de 2021.

Primero descubierto en Marzo del 2018, Purple Fox es distribuido como un payload malicioso .msi alojado en más de 2.000 servidores Windows comprometidos, que descarga y ejecuta un componente con características de Rootkit, permitiendo a los atacantes esconder el malware en la máquina y evadir la detección.

Ahora además de esto, se descubrió esta nueva funcionalidad, que logra diseminar el gusano a otras máquinas vulnerables.

Más información: https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox

Fuente: https://thehackernews.com/2021/03/purple-fox-rootkit-can-now-spread.html