Esta semana en ciberseguridad – Octubre semana 2

Esta semana en ciberseguridad, nos ha llamado la atención 3 noticias que ahora te presentamos:

Apple lanza actualizaciones urgentes de iPhone y iPad para parchear la nueva vulnerabilidad de día cero

Apple lanzó el lunes una actualización de seguridad para iOS y iPad para abordar una vulnerabilidad crítica que, según dice, está siendo explotada, lo que la convierte en la decimoséptima falla de día cero que la compañía ha abordado en sus productos desde principios de año.

La debilidad, al que se le asignó el identificador CVE-2021-30883, se refiere a un problema de corrupción de memoria en el componente “IOMobileFrameBuffer” que podría permitir que una aplicación ejecute código arbitrario con privilegios del kernel. Al acreditar a un investigador anónimo por informar sobre la vulnerabilidad, Apple dijo que “está al tanto de un informe de que este problema puede haber sido explotado activamente”.

Los detalles técnicos sobre la falla y la naturaleza de los ataques aún no están disponibles, al igual que la identidad del actor de la amenaza, para permitir que la mayoría de los usuarios apliquen el parche y evitar que otros adversarios utilicen la vulnerabilidad como arma. El fabricante del iPhone dijo que abordó el problema mejorando el manejo de la memoria.“

El investigador de seguridad Saar Amar compartió detalles adicionales y un exploit de prueba de concepto (PoC), y señaló que “esta superficie de ataque es muy interesante porque se puede acceder desde la zona de pruebas de la aplicación (por lo que es excelente para los jailbreak) y muchos otros procesos, lo que lo convierte en un buen candidato para exploits LPE en cadenas “.

CVE-2021-30883 es también el segundo IOMobileFrameBuffer de impacto de día cero después de que Apple abordara un problema similar de corrupción de memoria informado de forma anónima (CVE-2021-30807) en julio de 2021, lo que plantea la posibilidad de que las dos fallas puedan estar relacionadas. Con la última solución, la compañía ha resuelto un récord de 17 días cero hasta la fecha solo en 2021:

  • CVE-2021-1782 (Kernel) – A malicious application may be able to elevate privileges
  • CVE-2021-1870 (WebKit) – A remote attacker may be able to cause arbitrary code execution
  • CVE-2021-1871 (WebKit) – A remote attacker may be able to cause arbitrary code execution
  • CVE-2021-1879 (WebKit) – Processing maliciously crafted web content may lead to universal cross-site scripting
  • CVE-2021-30657 (System Preferences) – A malicious application may bypass Gatekeeper checks
  • CVE-2021-30661 (WebKit Storage) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30663 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30665 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30666 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30713 (TCC framework) – A malicious application may be able to bypass Privacy preferences
  • CVE-2021-30761 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30762 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30807 (IOMobileFrameBuffer) – An application may be able to execute arbitrary code with kernel privileges
  • CVE-2021-30858 (WebKit) – Processing maliciously crafted web content may lead to arbitrary code execution
  • CVE-2021-30860 (CoreGraphics) – Processing a maliciously crafted PDF may lead to arbitrary code execution
  • CVE-2021-30869 (XNU) – A malicious application may be able to execute arbitrary code with kernel privileges

Se recomienda encarecidamente a los usuarios de Apple iPhone y iPad que actualicen a la última versión (iOS 15.0.2 y iPad 15.0.2) para mitigar la vulnerabilidad de seguridad.

FUENTE: https://thehackernews.com/2021/10/apple-releases-urgent-iphone-and-ipad.html

Twitch fue hackeado.

El sitio web de transmisión Twitch ha sido atacado por un delincuentes anónimo, y los datos confidenciales pertenecientes a varias áreas del sitio y sus usuarios se han compartido en línea.

El delincuente compartió un enlace magnet (Torrent) de 125.89 GB en 4chan (/g/), el miércoles, según informó VGC. El propósito de la filtración era “fomentar la competencia en el espacio de transmisión de video en línea”, ya que “su comunidad es un asqueroso pozo negro tóxico”.

Una fuente anónima de la empresa le dijo a VGC que la filtración es legítima y que Twitch está al tanto de la violación de seguridad. Se filtraron datos, incluido el código fuente del sitio, y detalles sobre los pagos de los creadores, así como información sobre los clientes móviles, de escritorio y de consola de la empresa.

Dentro del contenido del Torrent se encuentran datos como: 

  • La totalidad del código fuente de Twitch con historial de comentarios “que se remonta a sus inicios”
  • Detalles de pagos realizados por la plataforma desde 2019
  • Clientes de Twitch para dispositivos móviles, de escritorio y de consola
  • SDK propietarios y servicios de AWS internos utilizados por Twitch
  • Herramientas internas de “Red Team” de Twitch (diseñadas para mejorar la seguridad haciendo que el personal ejecute tareas simulando actividad de delincuentes (sic).
  • Herramientas utilizadas por el SOC interno de Twitch

El Torrent muestra cuánto han ganado los mejores streamers de la plataforma a través de pagos entre agosto de 2019 y septiembre de 2021, y algunos canales ganaron hasta U$S 9,6 millones durante el período.

También se compartió información relacionada con las otras propiedades de Twitch, incluidos IGDB y Curseforge, y un competidor de Steam inédito que, según se informa, está fabricando Amazon, conocido como Vapor.

Es posible que las contraseñas también se hayan visto comprometidas como parte de la filtración, por lo que se insta a los usuarios a que las cambien lo antes posible.

La filtración se da en medio de los esfuerzos de Twitch para reforzar la seguridad en la plataforma agregando verificación telefónica al chat y opciones de seguridad de correo electrónico más granulares. Las funciones se agregaron para combatir el problema continuo del sitio con ataques de odio.

FUENTES: (1) https://blog.segu-info.com.ar/2021/10/twitch-hackeado-cambia-tu-contrasena.html
(2) https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/

Herramientas que pueden ayudar con los Controles de Seguridad de CIS

Este mes de octubre, mes de la Ciberseguridad, te presentamos un conjunto de herramientas que te pueden ayudar a cumplir con loc controles de CIS V.7.1.

La idea es que todos los días estaremos posteando un CIS Control V7.1 y te indicaremos algunas herramientas que están dedicadas o que te pueden ayudar a llevar de mejor forma el control.

Esta semana le toco partir al control CIS #4. Uso controlado de privilegios administrativos

Te dejamos el link en la fuente.

FUENTE: https://bit.ly/3FFSsLW