Archivo mensual: Agosto 2021

Esta semana en ciberseguridad – Semana Agosto/Septiembre

Más de 620.000 fotos de cuentas de iCloud fueron robadas

Un juicio contra un hombre de California, acusado de acceder a las cuentas de iCloud de cientos de personas y de descargar más de 620.000 fotos y 9.000 vídeos, vuelve a poner de manifiesto un problema que lleva años produciéndose y que ha afectado a todo tipo de personas, pero especialmente a mujeres que ven expuestas sus imágenes privadas y cómo estas se comparten por Internet.

En esta ocasión, el responsable de estos robos se declaró culpable recientemente de cuatro cargos, que incluyen el acceso no autorizado a sistemas informáticos y la suplantación de un agente del servicio técnico de Apple. Este delincuente consiguió acceder a las cuentas de, al menos, 306 víctimas localizadas en los Estados Unidos y de las cuales robó una gran cantidad de fotografías y vídeos.

Como era de esperar, sus principales objetivos eran mujeres jóvenes, y el material que más le interesaba era el que contenía desnudos de sus víctimas. Una vez obtenido este material lo utilizaba para intercambiarlo por otro similar o lo guardaba para su colección privada. Además, también ha reconocido haber accedido a alrededor de 200 cuentas de iCloud a petición de otros usuarios que conoció online.

De acuerdo con los documentos que se han publicado de este juicio, tanto el acusado como sus colaboradores hacían uso de un servicio de correo electrónico cifrado para comunicarse de forma anónima. Cuando este grupo encontraba fotos de sus víctimas desnudas en las cuentas de iCloud a las que accedían de forma ilegal lo consideraban una victoria y muchas veces las compartían entre ellos.

Para poder acceder a las cuentas de iCloud de las víctimas el delincuente suplantó la identidad de un agente de Apple para ganarse su confianza, una técnica que se ha venido utilizando desde hace años. Para ello usó dos direcciones de correo que podrían pasar por legítimas para los usuarios menos experimentados, como son “applebackupicloud” y “backupagenticloud”, las cuales contenían más de medio millón de emails, incluyendo alrededor de 4.700 correos con nombres de usuario y contraseñas de iCloud.

Protegiendo cuentas de iCloud
Este caso es solo el último de una larga lista de incidentes relacionados con accesos no autorizados a cuentas de iCloud, incidentes que han afectado incluso a celebridades. Si echamos la vista atrás recordaremos casos como el acontecido hace ahora 7 años, donde se filtraron fotografías íntimas de famosas como Jennifer Lawrence, Ariana Grande, Rihanna, Kate Upton o Kim Kardashian, entre muchas otras.

Desde entonces ha pasado mucho tiempo, y se han añadido medidas de seguridad que dificultan que un atacante pueda tomar el control de una cuenta de iCloud tan solo con las credenciales de acceso. Por ese motivo es importante adoptar ciertas precauciones como las que mencionamos a continuación:

  • A pesar de que los correos de phishing usados por los delincuentes han experimentado mejoras con respecto a los usados hace años y ya no resulta tan fácil distinguirlos de los legítimos, aún podemos evitar caer en muchas de las trampas preparadas por los delincuentes si nos detenemos a revisar quién envía el correo o el enlace al que se nos quiere redirigir. Si observamos que el correo o enlace proviene de un dominio que no es el esperado de la empresa o servicio, debemos sospechar de ese mensaje.
  • De la misma forma, los delincuentes han mejorado mucho la redacción de estos mensajes en varios idiomas, ya sea porque usan a nativos para redactarlos o incluso traductores apoyados por inteligencia artificial. Aun así, seguimos pudiendo encontrar muchos mensajes con fallos en su redacción, ya sea cometiendo faltas de ortografía o con problemas a la hora de representar ciertos caracteres propios de algunos idiomas (como la ñ en el español).
  • La implementación de medidas adicionales de seguridad como la autenticación multifactor es algo necesario, puesto que añade una capa adicional de seguridad y dificulta a los delincuentes el acceso a nuestras cuentas. Además, Apple permite utilizar otro de nuestros dispositivos Apple como un factor de autenticación y mostrar en él el código de verificación, algo que podemos hacer siguiendo la guía preparada para tal efecto.

FUENTE: https://blogs.protegerse.com/2021/08/27/roban-620-000-fotos-desde-cuentas-de-icloud-haciendose-pasar-por-un-empleado-de-apple/

Roban datos de Zurich Seguros y difunden los clientes de España

Un grupo de ciberdelincuentes ha robado los datos de los clientes de Zurich Seguros en España. La compañía ha sufrido el robo de las bases de datos de parte de sus clientes en España, tal y como revelaron un grupo de ciberdelincuentes, que ha puesto a la venta dicha base de datos en un conocido foro de la dark web dedicado a la compraventa de material procedente de ciberataques.

El grupo asegura contar con una base de datos con más de 4,7 millones de líneas de información. Para demostrar el robo, ha difundido parte del material robado. Se trata de un archivo en el que aparecen más de 26.000 personas y empresas y la siguiente información:

  • Nombre y apellidos
  • DNI
  • Vehículo asegurado: modelo, matrícula y prestaciones
  • Teléfono
  • Dirección de su domicilio
  • Correo electrónico
  • Fecha de la póliza de seguros
  • Agente de Zurich que lleva su póliza

El Confidencial de España ha accedido a la información filtrada por los ciberdelincuentes y ha comprobado, mediante la puesta en contacto con varias de las personas que aparecen en dichos ficheros, que se trata de clientes de Zurich Seguros en España.
También ha podido identificar la identidad de varios de los agentes de la compañía que aparecen en el archivo y que, efectivamente, trabajan en la entidad.

“Hay información como para poder suplantar la identidad de un tercero, conocer los vehículos que tiene a su nombre una persona (un famoso, por ejemplo, o un político con sus matrículas), usar los datos personales para contratar líneas de telefonía, hacerse pasar por clientes de Zurich para obtener la cuenta corriente vinculada a los pagos.”

Vicente Delgado, detective y experto en ciberseguridad

Según ha revelado Zurich, el 12 y 13 de agosto se produjeron obtenciones ilícitas de información de algunos de los clientes de la empresa en España. Los mecanismos de control y gestión de ciberseguidad de la aseguradora se activaron desde el primer momento para determinar la causa y el origen del incidente, tal y como asegura la propia compañía. Afirman que después de los primeros análisis, los indicios señalaban que se podía tratar de una afectación limitada a una línea de negocio lo que supondría un limitado porcentaje de clientes. Ahora mismo están a la espera de los resultados del informe de investigación.

La base de datos, en venta: 0,025 BTC (USD 1.000)
El precio resulta sorprendentemente bajo. Por ponerlo en contexto y en comparación, a la empresa tecnológica Garmin le pidieron 10 millones de dólares (214 ‘bitcoins’) el año pasado y a Acer 50 millones de dólares (1.074 ‘bitcoins’) este 2021. En el caso de Zurich Seguros, la base de datos está a la venta por apenas 0,025 BTC.

De todos modos, los precios de Garmin y Acer no son comparables a los del robo a Zurich Seguros. En los dos primeros casos, la cantidad fue requerida a las empresas atacadas (que se supone que estarían dispuestas a pagar más), mientras que los 1.000 dólares de la base de datos de Zurich Seguros es el precio público de venta para cualquier otro ciberdelincuente (que se supone que ofrecerá menos dinero) que quiera comprarla.

Poner una base de datos a la venta en el mercado negro es una táctica habitual cuando el ciberdelincuente ha intentado chantajear económicamente a su víctima pero no ha conseguido su objetivo. En este caso, El confidencial aún no ha podido comprobar este punto con el equipo de Zurich Seguros.

El origen del ataque aún es desconocido. Para Vicente Delgado, “de momento no hay información disponible acerca de la intrusión, pero no parece estar relacionado con algún tipo de ‘ransonware’, sino con algún tipo de mala configuración de la web de Zurich para mediadores”. Además, “las personas que están poniendo a disposición de terceros la base de datos parecen haberla recabado de un foro de terceros”, asegura, algo que podría explicar el bajo precio.

FUENTE: https://www.elconfidencial.com/tecnologia/2021-08-13/zurich-seguros-robo-ciberataque-hackers_3230922/

Error crítico de Azure Cosmos DB que permite la adquisición total de cuentas en la nube

Una vulnerabilidad de seguridad crítica en la plataforma de base de datos en la nube Azure de Microsoft, Cosmos DB, podría haber permitido la toma de control remota completa de cuentas, con derechos de administrador para leer, escribir y eliminar cualquier información en una instancia de base de datos.

Si bien, no está claro si los clientes de Microsoft sufrieron violaciones durante el período de meses en el que el error #ChaosDB en Jupyter Notebooks fue explotable. Según los investigadores de Wiz, cualquier cliente de Azure podría acceder a la cuenta de otro cliente, sin autenticación. El error, denominado #ChaosDB, podría explotarse trivialmente y “afecta a miles de organizaciones, incluidas numerosas empresas Fortune 500”.

Microsoft deshabilitó el componente defectuoso después de que Wiz lo alertó y notificó a más del 30 por ciento de los clientes de Cosmos DB sobre el problema, pero “creemos que el número real de clientes afectados por #ChaosDB es mayor”, según un artículo de Wiz, publicado el jueves.

La firma agregó que se desconoce cualquier explotación previa y que “la vulnerabilidad ha sido explotable durante meses y todos los clientes de Cosmos DB deben asumir que han estado expuestos”.

Por cierto, el problema no tiene CVE porque los errores de nube no están designados dentro de ese sistema, agregaron los investigadores.

Detalles de error escasos para #ChaosDB
El problema existe en la función Jupyter Notebook de Cosmos DB, según el análisis. Jupyter Notebook es una aplicación web de código abierto que permite a los usuarios crear y compartir documentos que contienen código en vivo, ecuaciones, visualizaciones y texto narrativo.

“Los Jupyter Notebooks integrados en Azure Cosmos DB se integran directamente en el portal de Azure y sus cuentas de Azure Cosmos DB, lo que los hace convenientes y fáciles de usar”, según la documentación de Microsoft. “Los desarrolladores, científicos de datos, ingenieros y analistas pueden utilizar la experiencia familiar de Jupyter Notebooks para realizar exploración de datos, limpieza de datos, transformaciones de datos, simulaciones numéricas, modelado estadístico, visualización de datos y aprendizaje automático”.

Sin embargo, los investigadores de Wiz encontraron que al consultar información sobre un Jupyter Notebook de Cosmos DB de destino, es posible obtener credenciales no solo para la instancia de computación de Jupyter Notebook y la cuenta de Jupyter Notebook Storage de otro usuario, sino también para la cuenta de Cosmos DB, en si. También la clave primaria de lectura y escritura utilizada para cifrarlo.

“Con estas credenciales, es posible ver, modificar y eliminar datos en la cuenta de Cosmos DB de destino a través de múltiples canales”, según Wiz.

La compañía no proporciona más detalles técnicos más allá del hecho de que #ChaosDB en realidad está formado por una serie de vulnerabilidades que pueden encadenarse; pero proporcionó un diagrama de ataque:

FUENTE: https://threatpost.com/azure-cosmos-db-bug-cloud/168986/

Esta semana en ciberseguridad – Agosto, Semana 4

El exploit #ProxyShell, afecta a casi 2.000 servidores de Exchange.

Que es ProxyShell?

ProxyShell es una colección de tres fallas de seguridad diferentes, descubiertas por el investigador de seguridad taiwanés Orange Tsai, que se pueden utilizar para tomar el control de los servidores de correo electrónico de Microsoft Exchange.
Éstos incluyen:

  • CVE-2021-34473 proporciona un mecanismo para la ejecución remota de código previo a la autenticación, lo que permite a los actores malintencionados ejecutar código de forma remota en un sistema afectado.
  • CVE-2021-34523 permite la ejecución de código arbitrario después de la autenticación en los servidores de Microsoft Exchange debido a una falla en el servicio PowerShell que no valida adecuadamente los tokens de acceso.
  • CVE-2021-31207 permite ejecutar código arbitrario en el contexto de SYSTEM y escribir archivos arbitrarios.

Casi 2.000 Servidores de Exchange han sido hackeados

Un escaneo realizado el 8 de agosto por ISC SANS, dos días después de la publicación del código de prueba de concepto de ProxyShell, encontró que más de 30.400 servidores Exchange de un total de 100.000 sistemas que aún no se habían parcheado y seguían siendo vulnerables a los ataques.

Casi 2.000 servidores de correo electrónico de Microsoft Exchange han sido hackeados en los últimos días y se han infectado con backdoor porque los propietarios no instalaron los parches correspondientes.

Los ataques, detectados por la firma de seguridad Huntress Labs, se producen después de que el código de explotación de prueba de concepto se publicara en línea a principios de este mes y los análisis de sistemas vulnerables comenzaron la semana pasada.

FUENTE: https://thehackernews.com/2021/08/microsoft-exchange-under-attack-with.html

El mayor ataque DDoS registrado hasta la fecha.

Cloudflare informó esta semana que se ha enfrentado al mayor ataque de denegación de servicio distribuido (DDoS) jamás registrado.

Durante este ataque, Cloudflare afirma que recibió nada menos que 17,2 millones de peticiones HTTP por segundo (RPS). Para tener una perspectiva de cuán grande fue este ataque: Cloudflare atiende más de 25 millones de solicitudes HTTP por segundo en promedio. Esto se refiere a la tasa promedio de tráfico legítimo en el segundo trimestre de 2021. Por lo tanto, con un máximo de 17.2 millones de rps, este ataque alcanzó el 68% de nuestra tasa de rps promedio del segundo trimestre del tráfico HTTP legítimo.

Este ataque fue lanzado por una poderosa botnet, dirigida a un cliente de Cloudflare en la industria financiera. En cuestión de segundos, la botnet bombardeó el borde de Cloudflare con más de 330 millones de solicitudes de ataque. Sin embargo, la compañía está bastante satisfecha, ya que dice que fue capaz de mitigar este ataque masivo gracias a su protección DDoS de borde autónomo.

El tráfico de ataques se originó en más de 20.000 bots en 125 países de todo el mundo. Según las direcciones IP de origen de los bots, casi el 15% del ataque se originó en Indonesia y otro 17% en India y Brasil combinados. Indica que puede haber muchos dispositivos infectados con malware en esos países.

Cloudflare cree que la red de bots que causó esta inundación HTTP es la misma que provocó otro ataque DDoS la semana pasada. Sin embargo, ese ataque no fue tan potente como éste ya que se quedó en algo menos de 8 millones de peticiones por segundo.

Aunque no sabemos quién está detrás de los ataques, la empresa señala que se está produciendo un resurgimiento de los ataques de la red de bots Mirai que infecta a dispositivos IoT (como cámaras del hogar) y routers. Esta red es responsable de causar algunos de los mayores ataques DDoS de la historia.

Mirai se propaga infectando dispositivos operados por Linux, como cámaras de seguridad y routers. Luego, se autopropaga buscando los puertos Telnet abiertos 23 y 2323. Una vez encontrados, intenta obtener acceso a dispositivos vulnerables mediante la fuerza bruta de credenciales conocidas, como nombres de usuario y contraseñas predeterminados de fábrica. Las variantes posteriores de Mirai también aprovecharon las vulnerabilidades Zero-Day en routers y otros dispositivos. Una vez infectados, los dispositivos monitorearán un servidor de Command&Control (C2) para obtener instrucciones sobre qué objetivo atacar.

FUENTE: https://thehackernews.com/2021/08/cloudflare-mitigated-one-of-largest.html

Las Top 5 tendencias de Ciberseguridad dadas en el Black Hat 2021.

En la conferencia de seguridad Black Hat USA 2021 , las 5 principales tendencias observadas durante el evento según Oscar Sánchez y Oscar Aguilar, ambos de f5 son:

  • Ataques Ransomware
  • Protección al trabajo remoto
  • Seguridad en Cloud
  • Seguridad en DNS
  • Insider Threats and Data Breaches

En lo que podemos destacar:

Ransomware: El ransomware se ha convertido en el método mas utilizado por ciber-delincuentes para obtener ingresos, esto debido a que es difícil rastrear el pago que las empresa realizan.

“Hemos descubierto que antes de cifrar los datos, los atacantes obtienen y ex filtran datos sensibles, confidenciales y de algo valor para las empresas, con el objetivo de asegurar el pago del rescate, ya que la mayoría de las empresas que se han negado a pagar por el descifrador, han reportado que se pierde más tiempo, recursos humanos y tecnológicos en recuperarse, que si hubieran pagado y los datos cifrados hubieran sido descifrados.”

La Seguridad en el Trabajo Remoto: La protección de una fuerza de trabajo remota se ha convertido ahora en una de las principales prioridades de la empresa moderna, ya que las organizaciones de todos los tamaños tienen un mayor nivel de riesgo con el trabajo remoto. Se realizaron distintas sesiones para obtener información sobre las vulnerabilidades que ponen en riesgo a los empleados que trabajan desde casa. Según los hallazgos recientes de Gartner, “la cantidad de incidentes internos ha aumentado en un 47% en solo dos años, y los empleados tienen un 85% más de probabilidades de filtrar archivos ahora que antes de la pandemia”.

Seguridad en la Nube: Con la transformación digital avanzando rápidamente en gran medida por la adopción y crecimiento cada vez más de las aplicaciones desplegadas en las distintas nubes públicas y/o privadas, las organizaciones deben mantenerse resilientes, ya que los actores maliciosos aprovechan la expansión significativa de la superficie de ataque y continúan infiltrándose en las aplicaciones no solo tradicionales sino también en aplicaciones modernas.

FUENTE: https://www.linkedin.com/pulse/las-top-5-tendencias-de-ciberseguridad-dentro-black-hat-oscar-aguilar/?utm_medium=employee-social&utm_source=everyonesocial&utm_campaign=latam_mx-as_as

Esta semana en ciberseguridad – Agosto, Semana 3

Microsoft publica los parches de seguridad de Agosto

Microsoft ha publicado, como es habitual, el parche de este mes de agosto en el que se solucionan al menos 44 vulnerabilidades, entre las que se encuentran algunas clasificadas como críticas.

Entre los productos afectados se encuentran .NET Core, Visual Studio, Windows Update, Windows Print Spooler, Windows Media, Windows Defender, Remote Desktop Client, Microsoft Edge, Microsoft Office y algunos más.

Entre las vulnerabilidades corregidas más destacadas se encuentra la relacionada con Windows Print Spooler, la famosa vulnerabilidad #PrintNightmare, una vulnerabilidad relacionada con la herramienta Windows Remote Desktop (CVE-2021-34535), la cual está clasificada con una puntuación de 8.8 y se desconocen sus detalles. Y otra vulnerabilidad (CVE-2021-26424) clasificada con una puntuación de 9.9 sobre 10, estando ésta presente en Windows 7 hasta Windows 10, y Windows Server 2008 hasta 2019

En resumen, 13 de las vulnerabilidades parcheadas son de ejecución de código remoto, y otras 8 están relacionadas con revelación de información. Los 3 zero-days más críticos son los relacionados con el servicio de Print Spooler y Remote Desktop.

Se recomienda a todos los administradores de sistemas y usuarios que apliquen estos parches de seguridad cuanto antes para evitar posibles ataques que aprovechen estas vulnerabilidades.

FUENTE: https://unaaldia.hispasec.com/2021/08/microsoft-publica-el-parche-de-seguridad-de-agosto.html

Roban más de 600 millones en criptomonedas de la plataforma Poly Network

Unos hackers han conseguido desviar unos 611 millones de dolares en diferentes criptomonedas de una red financiera basada en Blockchain, aprovechándose de vulnerabilidades en su código.

El pasado 10 de agosto, Poly Network anunció que su plataforma había sido comprometida, y que parte de sus activos habían sido transferidos a una serie de direcciones controladas por el atacante.

Poly Network es una plataforma descentralizada para el intercambio de tokens o cryptomonedas entre diferentes blockchains, como pueden ser Ethereum, Binance Smart Chain, Polygon, etc. Mediante una red de blockchains propia y smart contracts desplegados en las redes participantes, permite la transferencia segura de activos entre las mismas.

Se dice que los activos robados de Binance Chain, Ethereum y Polygon se transfirieron a tres billeteras (wallets) diferentes, y la compañía instó a los mineros de la cadena de blockchain y a los servicios de intercambios (centralized crypto exchanges) bloquear las transacciones provenientes de estas wallets. Las tres direcciones de billetera son las siguientes:

  • Ethereum: $273 million
  • Binance Smart Chain: $253 million
  • Polygon: $85 million

FUENTE: https://thehackernews.com/2021/08/hacker-steal-over-600-million-worth-of.html

GitHub bloquea el uso de contraseñas para operaciones en GIT

GitHub ha anunciado que ya no se aceptarán contraseñas de las cuentas para autenticar las operaciones de GIT a partir del 13 de Agosto de 2021.

Este cambio ya se había anunciado por primera vez el año pasado, en julio, cuando GitHub dijo que las operaciones de Git autenticadas requerirían el uso de una clave SSH o autenticación basada en token.

GitHub también desautorizó la autenticación basada en contraseña para la autenticación a través de la API REST a partir del 13 de noviembre de 2020.

Ahora se requerirá la autenticación basada en token (por ejemplo, acceso personal, OAuth, clave SSH o token de instalación de la aplicación GitHub) para todas las operaciones de GIT.

FUENTE: https://www.bleepingcomputer.com/news/security/github-deprecates-account-passwords-for-authenticating-git-operations/

WEBINAR AXONIUS

Resumen del Webinar

En este webinar vimos como Axonius nos puede ayudar, sin la necesidad de instalar agentes, a entender la importancia de gestionar tus activos con certeza, y responde algunas preguntas esenciales, tales como:

  • Cobertura del agente: ¿está mi agente donde debe estar y esta correctamente instalado?
  • Cobertura en la nube: ¿mi herramienta de evaluación de vulnerabilidades analiza todas mis instancias incluyendo mi infraestructura en la nube?
  • Dispositivos no administrados conectados a nuestra red: ¿hay dispositivos no administrados conectados en mi red?

Axonius utiliza la integración con más de 320 plataformas para hacer consultas cruzadas y verificar brechas de cobertura.

Temas abordados:

  • ¿Cómo descubrir brechas de cobertura?
  • Diferentes casos de uso y consultas sobre tu infraestructura.
  • Validar y hacer cumplir tus políticas de ciberseguridad.

Demo Axonius

Agradecimientos a @MarceloDiaz, Axonius: @NathanMcGavin, @MichelleEllis, @OCChacon.

Esta semana en ciberseguridad – Agosto, Semana 2

Vulnerabilidad grave en millones de routers (AR y MX incluidos) – CVE-2021-20090

Un grave fallo de seguridad pone en riesgo a millones de routers en todo el mundo, incluidos algunos modelos distribuidos en Argentina y México. Se trata de una vulnerabilidad crítica que evita la autenticación y afecta a dispositivos domésticos que utilizan el firmware Arcadyan. Esto permite a un atacante controlarlos y llevar a cabo ataques mediante la botnet Mirai. Este problema afecta a muchos modelos y operadoras de telefonía.

Este fallo de seguridad ha sido registrado como CVE-2021-20090 y calificado con 9,9 puntos sobre 10 por su gravedad. Estos ataques fueron descubiertos por investigadores de seguridad de Juniper Threat Labs. El problema, que afecta al firmware de los dispositivos, puede ser explotado de forma remota.

Hay que indicar que afecta a una gran cantidad de modelos. De hecho, se calcula que pueden ser millones los routers afectados en todo el mundo. Afecta a múltiples proveedores internacionales como son British Telecom, Deutsche Telecom, Orange, O2 (Telefónica) o Vodafone. Afecta tanto a modelos de ADSL como de fibra.

Desde Tenable (ver fuente) publicaron una lista con todos los modelos y proveedores afectados. Además, la semana pasada lanzaron una prueba de concepto para explotar el error. Se trata de una vulnerabilidad que ha existido al menos durante 10 años y, apenas un par de días después de lanzar la prueba de concepto, han detectado ataques.

El problema principal, es que existen muchos routers desactualizados, lo que es un problema importante, ya que esta vulnerabilidad no será corregida y los atacantes van a tener una gran cantidad de routers susceptibles de ser explotados.

Para solucionar este problema, los usuarios deben actualizar lo antes posible sus routers. Desde Juniper Threat Labs (ver fuentes -2-) han emitido un documento informativo donde explican detalladamente cómo funciona este ataque y de qué manera podrían aprovecharse de los modelos afectados.

Esta vulnerabilidad también afecta a dispositivos IoT que utilizan el mismo código base. Esto hace que muchos equipos domésticos, como pueden ser televisiones, bombillas inteligentes y otros muchos de lo que se conoce como el Internet de las Cosas puedan ser vulnerables.

Nuestro consejo, es mantener todo correctamente actualizado. Actualizar el firmware del router y de cualquier otro equipo que tengamos conectado a la red es vital. Esto nos permite corregir vulnerabilidades cómo esta que mencionamos y que pueden ser la vía de entrada de los hacker informáticos.

FUENTE:
(1) https://es-la.tenable.com/security/research/tra-2021-13?tns_redirect=true
(2) https://blogs.juniper.net/en-us/security/freshly-disclosed-vulnerability-cve-2021-20090-exploited-in-the-wilUd

Un error crítico en equipos CISCO, permite tomar el control Remoto de estos.

Los investigadores de seguridad advirtieron que al menos 8.800 sistemas vulnerables están expuestos a ser comprometidos

Una vulnerabilidad de seguridad crítica en un subconjunto de los enrutadores VPN para pequeñas empresas de Cisco Systems podría permitir que un atacante remoto no autenticado se apodere de un dispositivo, y los investigadores dijeron que hay al menos 8.800 sistemas vulnerables abiertos al peligro.

Cisco abordó los errores (CVE-2021-1609) como parte de una gran cantidad de parches implementados esta semana. En total, las soluciones y los productos afectados son los siguientes:

  • Cisco RV340, RV340W, RV345 y RV345P Dual WAN Gigabit VPN Routers Vulnerabilidades de administración web (advertencia)
  • Vulnerabilidad de ejecución remota de comandos de los routers VPN de las series RV160 y RV260 de Cisco Small Business (advertencia)
  • Vulnerabilidad de inyección de DLL de Cisco Packet Tracer para Windows (advertencia)
  • Vulnerabilidad de escalamiento de privilegios del servidor Secure Shell de Cisco Network Services Orchestrator CLI (advertencia)
  • ConfD CLI Secure Shell Server Privilege Escalation Vulnerability (advertencia)

Esta vulnerabilidad ha sido clasificada con un 9.8 según la CVSS sobre 10 y podría permitir a un atacante remoto no autenticado ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) a través del envío de peticiones HTTP. Dicha interfaz de administración web es accesible localmente de manera predeterminada y no se puede deshabilitar, aunque el acceso remoto debe ser configurado por el usuario, se encuentra desactivada por defecto.

FUENTE:
(1) https://unaaldia.hispasec.com/2021/08/graves-vulnerabilidades-en-productos-cisco.html
(2) https://threatpost.com/critical-cisco-bug-vpn-routers/168449/

Apple reaviva debate sobre privacidad de datos

En su lucha contra la explotación sexual de menores la empresa Apple volvió a poner sobre la mesa el debate en torno a la privacidad de datos. Luego de que la empresa revelara cuáles son las herramientas que utilizará para detectar con mayor eficacia las imágenes sexuales que involucran a menores de edad, se reavivó el debate sobre el cifrado de datos y la privacidad de los usuarios ya que hay quienes temen que estas nuevas tecnologías puedan ser utilizadas para espionaje por parte de los gobiernos.

En ese sentido, según el fabricante de iPhone, iPad e iMac, la iniciativa tiene como objetivo proteger a los más jóvenes de los depredadores que operan en Internet.

Sin embargo, este anuncio supone para el empresa un punto de inflexión muy importante: hasta ahora Apple se resistía a cualquier esfuerzo que debilitara su sistema de encriptado, que previene que terceras partes accedan a datos privados de los usuarios de los productos de la manzanita.

En ese contexto, Apple difundió una nota técnica en la que aseguró que una de sus herramientas fue desarrollada por expertos en criptografía, y que además de ser “segura”, “fue diseñada expresamente para preservar la privacidad del usuario”.

Esa herramienta es la que comparará las fotos cargadas en iCloud con las almacenadas en un archivo administrado por el Centro Nacional para Niños Desaparecidos y Explotados de Estados Unidos (US National Center for Missing and Exploited Children o NCMEC), una corporación privada estadounidense que combate la explotación sexual infantil. Apple asegura que no tiene acceso directo a esas imágenes.

“Este tipo de herramienta puede ser muy útil para encontrar pornografía infantil en los teléfonos de las personas, pero imagínense lo que podría hacer en manos de un gobierno autoritario”.

tuiteó Matthew Green, criptógrafo de la Universidad Johns Hopkins.

Según denunció Blaze, Apple no solo escaneará los datos alojados en sus servidores sino también los almacenados en el propio teléfono, por lo tanto, “tendrá potencialmente acceso a todos nuestros datos”.

Anteriormente, Apple se había negado categóricamente a ayudar a la policía a acceder al contenido encriptado del teléfono celular de uno de los perpetradores de un ataque en el que murieron 14 personas, en 2015 en California. A raíz de este tipo de hechos, para el FBI, que los mensajes estén encriptados de un extremo a otro y solo puedan ser leídos por remitentes y destinatarios protege a delincuentes y terroristas.

Quien criticó la nueva política de Apple fue Will Cathcart, director de la aplicación de mensajería WhatsApp que es propiedad de Facebook. Según el ejecutivo, el enfoque de la empresa de tecnología es “malo y un revés para la privacidad de las personas en todo el mundo” ya que este sistema “no es confidencial porque puede escanear todas las fotos privadas en un teléfono”.

FUENTE: https://www.bbc.com/mundo/noticias-58115848

Esta semana en ciberseguridad – Agosto, Semana 1

Investigadores logran ocultar malware en una red neuronal

Una prueba de concepto muestra cómo unos investigadores han logrado insertar malware en los nodos de una red neuronal sin afectar al rendimiento del modelo.
Un estudio presentado por los investigadores Zhi Wang, Chaoge Liu, y Xiang Cui han mostrado cómo esta técnica permite incluir malware en una arquitectura como AlexNet. Dicha arquitectura, una red neuronal convolucional (CNN), se compone de millones de parámetros y múltiples capas de neuronas, incluyendo capas «ocultas» totalmente conectadas. El estudio concluye que modificar algunas neuronas no tiene un gran impacto en la precisión del modelo.
Utilizando muestras reales de malware, las pruebas afirman que un modelo de AlexNet con normalización por lotes o «batch normalization» puede incluir hasta 36.9MB de malware en un fichero de modelo de 178MB, perdiendo menos del 1% de la precisión del modelo, pasando inadvertido por el usuario que lo implemente. Esto hace además que sea indetectable por motores de antivirus, aunque esto se debe también al factor de que no hay analistas que hayan desarrollado un framework de detección para este tipo de modelos.

Añadiendo el malware a la red neuronal
El algoritmo desarrollado por los investigadores para incrustar el malware se basa en leer 3 bytes del mismo cada vez y convertirlos en números flotantes válidos con formato big-endian tras añadir los prefijos adecuados a los bytes. Estos números se convierten en tensores antes de ser incrustados en el modelo. Dado un modelo de red neuronal y una capa, se modifican las neuronas secuencialmente reemplazando los pesos o «weights» y el sesgo o «bias» en cada una. Se utilizan los pesos de cada neurona para almacenar los bytes de malware convertidos y el sesgo para almacenar la longitud y el hash del malware.

En el proceso inverso, para verificar la integridad del malware, el receptor necesita extraer los parámetros de la neurona en cada capa, convertir los parámetros a números flotantes, luego a bytes en formato big-endian y eliminar los prefijos de los bytes para obtener el flujo de bytes binario. Con la longitud almacenada en el «bias» de la primera neurona se puede ensamblar de nuevo el malware. Este proceso de extracción se puede verificar comparando el hash del malware con el hash almacenado en el «bias».

Escenarios de ataque
La presentación de esta técnica no supone un gran riesgo actualmente, dado que se trata más de un ejercicio de esteganografía que de un escenario real que puedan aprovechar los actores maliciosos. En el momento en el que el malware es ensamblado y ejecutado puede seguir siendo detectado mediante técnicas tradicionales como el análisis estático o dinámico. No obstante, hay que considerar que las redes neuronales también pueden llegar a ser maliciosas. Probablemente en un futuro, con la adopción generalizada de modelos de «machine learning» en el desarrollo de aplicaciones, aparezcan nuevos vectores de ataque que empleen este tipo de técnicas.

FUENTES: (1) https://unaaldia.hispasec.com/2021/07/investigadores-logran-ocultar-malware-en-una-red-neuronal.html (2) https://arxiv.org/pdf/2107.08590.pdf

El nuevo grupo de piratería APT pone foco en servidores Microsoft IIS con exploits ASP.NET

Un nuevo actor altamente capaz en el mundo de las amenazas persistentes a tomado como foco a las principales entidades públicas y privadas de alto perfil en los EE. UU. como parte de una serie de ataques de intrusión dirigidos mediante la explotación de Internet frente a los servidores de Microsoft Internet Information Services (IIS) para infiltrarse en sus redes.

La firma israelí de ciberseguridad Sygnia, que identificó la campaña, está rastreando al avanzado y sigiloso adversario bajo el sobrenombre de “Praying Mantis” o “TG2021“.

“TG2021 utiliza un framework de malware personalizado, construido alrededor de un núcleo común, hecho a medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de manera reflectante en la memoria de una máquina afectada y deja poco o ningún rastro en los objetivos infectados”

“TG2021 también utiliza “stealthy backdoor” adicional y varios módulos posteriores a la explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes”

Los Investigadores de la firma Israelí

Además de exhibir capacidades que muestran un esfuerzo significativo para evitar la detección interfiriendo activamente con los mecanismos de registro y evadiendo con éxito los sistemas comerciales de detección y respuesta de puntos finales (EDR), se sabe que TG2021 aprovecha un arsenal de exploits de aplicaciones web ASP.NET para obtener una ventaja, punto de apoyo inicial y puerta trasera de los servidores mediante la ejecución de un implante sofisticado llamado “NodeIISWeb” que está diseñado para cargar archivos DLL personalizados, así como para interceptar y manejar las solicitudes HTTP recibidas por el servidor.
Las vulnerabilidades que aprovecha el actor incluyen:

  • Checkbox Survey RCE Exploit (CVE-2021-27852)
  • VIEWSTATE Deserialization Exploit
  • Altserialization Insecure Deserialization
  • Telerik-UI Exploit (CVE-2019-18935 y CVE-2017-11317)

Curiosamente, la investigación de Sygnia sobre Las tácticas, técnicas y procedimientos (TTP) de TG2021 han descubierto “superposiciones importantes” con una táctica llamada “Compromisos de copiar y pegar”, como se detalla en un aviso publicado por el Centro Australiano de Seguridad Cibernética (ACSC) en junio de 2020., dirigida a la infraestructura de cara al público, principalmente a través del uso de fallas en la interfaz de usuario de Telerik que no estaban parchados.y los servidores IIS. Sin embargo, aún no se ha realizado una atribución formal.

“Praying Mantis, es un ejemplo de una tendencia creciente de ciberdelincuentes que utilizan métodos de ataque sofisticados de estado-nación para atacar organizaciones comerciales”

Los Investigadores de Sygnia

Las actividades forenses continuas y la respuesta oportuna a incidentes son esenciales para identificar y defender eficazmente de los ataques de este tipos de actores.

FUENTES: https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html

Seis Scrips maliciosos del Shell de Linux usados para eludir defensas y como pararlos.

Uptycs Threat Research describe cómo se utilizan los scripts maliciosos del shell de Linux para ocultar los ataques y cómo los defensores pueden detectarlos y mitigarlos.

Las técnicas de evasión utilizadas por los atacantes son antiguas, cuando se usaba base64 y otros esquemas de codificación comunes. Hoy en día, los atacantes están adoptando nuevas tácticas y técnicas de scripting de shell de Linux para deshabilitar firewalls, monitorear agentes y modificar listas de control de acceso (ACL).

En este articulo se cubrirán técnicas de scripting de shell evasivas comunes como:

  • Desinstalación de agentes de monitoreo
  • Deshabilitación de cortafuegos e interrupciones
  • Deshabilitación de módulos de seguridad de Linux (LSM)
  • Modificación de ACL
  • Cambio de atributos
  • Cambio de nombres de utilidades comunes.

Técnica 1: Desinstalación de agentes de monitoreo
Los agentes de monitoreo son los componentes de software que monitorean regularmente las actividades que ocurren en el sistema relacionadas con el proceso y la red. Los agentes de monitoreo también crean varios registros, lo que ayuda durante la investigación de cualquier incidente.

El script malicioso encontrado intenta:

  • Desinstalar el agente de monitoreo relacionado con la nube Aegis (agente de detección de amenazas de Alibaba Cloud), deteniendo el servicio Aliyun.
  • Desinstale Yunjeng, que es el agente de seguridad de host de Tencent
  • Desinstale el agente de administración de clientes de BCM, que generalmente se instala en los endpoint para mitigar los resgos

Técnica 2: Desactivación de cortafuegos e interrupciones
La mayoría de los sistemas y servidores implementan cortafuegos como mecanismo de defensa En el script malicioso, los atacantes intentan desactivar el cortafuegos, es decir, cortafuegos ininterrumpido (ufw) como táctica de evasión de defensa, Junto con eso, los atacantes también eliminan las reglas de iptables (iptables -F) porque se usa ampliamente para administrar las reglas de firewall en sistemas y servidores Linux.

Técnica 3: Deshabilitar los módulos de seguridad de Linux (LSM)
El script malicioso también deshabilita los módulos de seguridad de Linux como SElinux, Apparmor. Estos módulos están diseñados para implementar políticas de control de acceso obligatorio (MAC). Un administrador de servidor podría simplemente configurar estos módulos para proporcionar a los usuarios acceso restringido a las aplicaciones instaladas o en ejecución en el sistema.

AppArmour es una función de seguridad en Linux que se utiliza para bloquear aplicaciones como Firefox para aumentar la seguridad. Un usuario puede restringir una aplicación en la configuración predeterminada de Ubuntu otorgando un permiso limitado a una determinada aplicación.

SElinux es otra característica de seguridad en los sistemas Linux mediante la cual un administrador de seguridad podría aplicar el contexto de seguridad en ciertas aplicaciones y utilidades. En algunos servidores web, el shell está deshabilitado o restringido, por lo que los adversarios de RCE (ejecución remota de código) generalmente evitan / deshabilitan esto:

Técnica 4: Modificación de ACL
ACL, o listas de control de acceso, contienen las reglas por las cuales los permisos sobre archivos y utilidades. Las ACL del sistema de archivos le dicen a los sistemas operativos qué usuarios pueden acceder al sistema y qué privilegios tienen los usuarios. La utilidad Setfacl en Linux se usa para modificar, eliminar la ACL, en el script podemos ver el uso de setfacl que establece los permisos de chmod para el usuario:

Técnica 5: Cambiando Atributos
Chattr en Linux se usa para configurar / desarmar ciertos atributos de un archivo. Los adversarios usan esto para sus propios archivos o para hacer que un usuario no pueda eliminarlos.

Técnica 6: Cambiar el nombre de las utilidades comunes
Una de los scripts maliciosos contenían utilidades comunes como wget, curl usado con diferentes nombres. Estas utilidades se utilizan generalmente para descargar archivos desde la IP remota. Los atacantes usan estas utilidades para descargar archivos maliciosos de C2. Algunas de las soluciones de seguridad cuyas reglas de detección monitorean los nombres exactos de las utilidades podrían no activar el evento de descarga si wget, curl se usan con nombres diferentes.

FUENTES: https://threatpost.com/six-malicious-linux-shell-scripts-how-to-stop-them/168127/