Archivos de la categoría: Noticia

Vulnerabilidad SIMjacker ha rastreado y espiado a usuarios de teléfonos móviles por años

Investigadores de seguridad descubre un ataque basado en método SMS para rastrear y espiar a los usuarios de teléfonos móviles.

“Estamos seguros de que el desarrollo del ataque fue realizado por una compañía privada que trabaja directamente con gobiernos para monitorear personas.” Aseguran los investigadores de AdaptiveMobile Security.

“Creemos que esta vulnerabilidad ha sido explotada por al menos 2 años por un altamente sofisticado sistema de ataque en varios países, principalmente con fines de vigilancia”.

Los investigadores describen el ataque como “Un gran salto en complejidad y sofisticación”, comparado con los ataques realizados a redes móviles anteriormente y es considerable el escalamiento en las habilidades de los atacantes.

Como funciona SIMjacker

Todo comienza con un atacante utilizando un Smartphone con un modem GSM o cualquier servicio A2P para enviar mensajes de texto a sus víctimas.

Estos mensajes SMS contienen instrucciones ocultas de SIM Toolkit (STK) que son compatibles con el navegador S @ T de un dispositivo, una aplicación que reside en la tarjeta SIM, en lugar del teléfono.

El navegador S@T y el STK son una tecnología de hace ya varios años compatible con algunas redes móviles y sus tarjetas SIM. Se pueden usar para activar acciones en un dispositivo, como iniciar navegadores, reproducir sonidos o mostrar ventanas emergentes. Antiguamente, los operadores usaban estos protocolos para enviar a los usuarios ofertas promocionales.

Pero AdaptiveMobile dijo que el ataque SIMjacker abusa de este mecanismo para recuperar archivos, la localización e incluso el IMEI de los dispositivos de las víctimas, todo esto lo realiza a través de un mensaje de texto SMS.

Solo para empeorar las cosas el SIMjacker es completamente silencioso sin dejar ningún registro de estos mensajes en el equipo, por lo que las víctimas están expuestas durante largos periodos, por lo que se registra su ubicación.

Además, debido a que Simjack explota una tecnología que reside en la tarjeta SIM, el ataque también funciona independientemente del tipo de dispositivo del usuario.

“Hemos observado que los dispositivos de casi todos los fabricantes están dirigidos con éxito para recuperar la ubicación: Apple, ZTE, Motorola, Samsung, Google, Huawei e incluso dispositivos IoT con tarjetas SIM”, dijeron los investigadores. La única buena noticia es que el ataque no se basa en mensajes SMS regulares, sino en códigos binarios más complejos, entregados como SMS, lo que significa que los operadores de red deberían poder configurar su equipo para bloquear dichos datos que atraviesan sus redes y llegan a los dispositivos del cliente.

Referencias:

https://www.cyberscoop.com/simjacker-mobile-phone-vulnerability/

https://www.abc.es/tecnologia/redes/abci-simjacker-solo-puede-hackearte-movil-y-espiar-ubicacion-201909140159_noticia.html

https://www.xatakamovil.com/seguridad/asi-simjacker-vulnerabilidad-tarjetas-sim-que-permite-conocer-ubicacion-usuario-todo-momento

https://www.zdnet.com/article/new-simjacker-attack-exploited-in-the-wild-to-track-users-for-at-least-two-years/

https://www.xataka.com/seguridad/simjacker-ultima-pesadilla-para-nuestra-privacidad-revela-tu-ubicacion-da-igual-que-tengas-movil-android-ios

Microsoft lanza un parche de emergencia para vulnerabilidad 0 day de Internet Explorer y Windows Defender

Microsoft lanza un parche de seguridad de emergencia para 2 nuevas vulnerabilidades, una de ellas es crítica y está siendo explotada en estos momentos por ciber criminales a través de Internet Explorer.

Descubierta y asignada al CVE-2019-1367 por Clément Lecigne de Google’s Threat Analysis Group, la vulnerabilidad permite ejecutar código de forma remota manipulando objetos en la memoria del equipo por medio de Internet Explorer.

Esta manipulacion de información podría llevar a tomar el control absoluto de la máquina, solo visitando un sitio web especialmente diseñado en Internet Explorer.

Un atacante que explotó con éxito la vulnerabilidad, podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de administrador, un atacante podría tomar el control de un sistema afectado“, indica Microsoft.

Esta vulnerabilidad afecta directamente a las versiones 9, 10 y 11 de Internet Explorer y aunque lo ideal es que los usuarios estén constantemente actualizando el software, es altamente recomendable utilizar un browser más seguro, como Google Chrome o Mozilla Firefox.

Según Microsoft esta vulnerabilidad esta siendo explotada en este momento, pero no revela detalles de la forma en la que se lleva acabo la explotación.

Microsoft también lanzó una segunda actualización de seguridad para parchar una vulnerabilidad de denegación de servicio (DoS) en Microsoft Defender, un motor antimalware que esta incluido en Windows 8 y versiones posteriores del sistema operativo.

Descubierta y asignada a CVE-2019-1255 por Charalampos Billinis de F-Secure and Wenxu Wu of Tencent Security Lab, la vulnerabilidad reside en la forma en que Microsoft Defender maneja los archivos y existe en las versiones de Microsoft Malware Protection Engine hasta 1.1.16300.1.

De acuerdo a lo publicado por Microsoft un atacante que explote esta vulnerabilidad exitosamente puede evitar que cuentas autorizadas, ejecuten binarios legítimos en el sistema, pero para explotar esta falla, el atacante “primero requeriría la ejecución en el sistema de la víctima“.

La actualización de seguridad para Microsoft Defender es automática y por lo tanto, se aplicará a través del motor de protección contra malware de Microsoft. La falla se ha solucionado en el motor de protección contra malware de Microsoft versión 1.1.16400.2, por lo que se recomienda actualizar lo antes posible.

Referencias

https://thenextweb.com/security/2019/09/24/microsoft-issues-emergency-windows-patch-to-address-internet-explorer-zero-day-flaw/
https://www.computerworld.com/article/3440741/microsoft-releases-emergency-ie-patches-inside-optional-non-security-cumulative-updates.html
https://thehackernews.com/2019/09/windows-update-zero-day.html
https://www.infosecurity-magazine.com/news/microsoft-issues-emergency-patch-1/
https://techcrunch.com/2019/09/24/microsoft-emergency-patch-windows/
https://www.bbc.com/news/technology-49809453
https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

Lilocked (Lilu) Ransomware infecta a miles de servidores web

Un ransomware relativamente nuevo llamado Lilocked por los investigadores y Lilu por los desarrolladores, se encuentra encriptando datos en servidores web. Todos los servidores infectados conocidos son sitios web, lo que provoca que los archivos encriptados se encuentren fácilmente en resultados de búsqueda de Google.

El primer reporte de Lilu fue realizado el día 26 de julio del 2019 en un articulo llamado “The Week in Ransomware” donde Michael Gillespie encontró una muestra subida a su servicio ID Ransomware. Fue nuevamente descubierto por el experto en seguridad Benkow quien lo publicó a través de tweeter. Google reporta mas de 6.000 resultados de sitios web encriptados y con sus archivos renombrados con extensión .lilocked, provocado por este ransomware.

Además, las estadísticas de envíos de ID Ransomware muestran que esta infección tiene un volumen bajo pero constante, de envíos al servicio de identificación de ransomware.

No se sabe si Lilu se dirige específicamente a los servidores web, pero la mayoría de los archivos enviados vistos encontrados están relacionados con sitios web. Al revisar los archivos enviados, no parece haber un patrón como WordPress, Magento u otros sitios de CMS comúnmente pirateados.

Lo que se conoce hasta este momento de la encriptación de datos por Lilu, no es mucho ya que aun no se encuentra alguna muestra de como trabaja internamente es ransomware. Según la poca información que hay podemos asegurar que cuando una maquina es infectada, encripta los archivos cambiando el nombre del archivo por su extension .lilocked. Un ejemplo de esto seria , apple-icon.png seria encriptado y renombrado como apple-icon.png.lilocked.

Para cada carpeta infectada Lilocked deja una nota llamada #README.lilocked.

La nota #README.lilocked informa a la víctima que sus datos an sido encriptados y que se dirijan al sitio de pago de tor de la banda para poder pagar la recompensa requerida, en este archivo va incluido una llave necesaria para el login del sitio de pago.

Si la víctima entra al sitio muestra un formulario donde tiene que ingresar la llave entregada.

Una vez ingresada la llave, se despliega un mensaje de como pagar la recompensa, esta esta en bitcoins (0.010 BTC) que equivalen aproximadamente a 100 USD que es lo que demanda la banda.

Hasta este momento no se conoce una forma efectiva de desencriptar los archivos,  también se descubrió ­­­­­­el correo asociado al ataque.

Referencias:

https://www.zdnet.com/article/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware/

https://www.notebookcheck.net/Lilu-Lilocked-ransomware-has-now-infected-thousands-of-Linux-servers.434547.0.html

https://blog.knowbe4.com/thousands-of-servers-infected-with-new-lilocked-lilu-ransomware

https://www.bleepingcomputer.com/news/security/lilocked-ransomware-actively-targeting-servers-and-web-sites/

https://www.linuxadictos.com/lilu-nuevo-ransomware-infecta-miles-de-servidores-basados-en-linux.html

Exploit de Bluekeep disponible en MetaSploit

Un exploit público de Bluekeep fue añadido al framework de pentesting open-source MetaSploit, desarrollado por Rapid7 junto a la comunidad open-source.

Bluekeep es una vulnerabilidad que permite la ejecución remota de código (RCE) descubierta en el protocolo de escritorio remoto de Windows (RPD) la cual permite que un atacante sin autenticar ejecute código arbitrariamente, realice ataques de denegación de servicio, y en algunos casos, tomar el control total de sistemas sin parchar.

Este exploit recién liberado utiliza código de la prueba de concepto de los contribuidores de Metasploit zǝɹosum0x0 y Ryan Hanson, está diseñado para afectar versiones de WIndows 7 y Windows 2008 R2 de 64 bits.

El gerente de ingenieros senior de MetaSploit, Brent Cook, indicó que por defecto, este exploit sólo identifica el sistema operativo del objetivo e indica si es o no vulnerable a Bluekeep. También apuntó a que este exploit no soporta automatización de objetivo sino que requiere que el usuario especifique manualmente los detalles del objetivo antes de intentar cualquier explotación.

zǝɹosum0x0 manifestó que toda la información requerida para explotar esta vulnerabilidad ya ha sido filtrada las semanas anteriores y existen al menos una docena de exploits privados anunciados. Ha sido una preocupación por muchos meses el parchado de esta vulnerabilidad, y al igual que otras fallas de windows que se pueden incluir en un gusano, posiblemente será una preocupación en los años venideros.

La publicación de este exploit sigue a un incrementado número de ataques que apuntan a los servicios RDP, con BinaryEdge detectando actualmente más de 1.000.000 de sistemas sin parchar expuestos en internet. Shodan a su vez tiene un dashboard con estadísticas por país afectado.

El exploit hace uso de una librería RDP de propósito general con mejoras, también tiene capacidades aumentadas para reconocimiento de RDP, las cuales benefician a los usuarios y contribuidores más allá del contexto de búsqueda y explotación de BlueeKeep. Si un IPS interrumpe el progreso del exploit de BlueKeep al detectar una firma de payload contra un sistema sin parchar, la desconexión causaría un error fatal en el objetivo, ya que el código del exploit se gatilla por una desconexión de red.

Otros exploits de BlueKeep

La herramienta CANVAS de la empresa Immunity agregó un exploit completamente funcional de BlueeKeep el 23 de julio, este es un exploit completo y no se limita a verificar la vulnerabilidad.

El parche para esta vulnerabilidad fue publicado por Microsoft el 14 de mayo de este año, este parche se puede descargar para cada versión de Windows desde https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708.

Además Microsoft publicó otros parches para vulnerabilidades de RDP en agosto de este año, los cuales se encuentran disponibles en https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181 y https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Juan Pablo Tosso, Gerente de ciberseguridad avanzada de Makros:
Bluekeep es una vulnerabilidad crítica que dada su alta explotabilidad, ha sido manejada de forma hermética en la comunidad de ciberseguridad. Pese a que desde hace ya varios meses existen POCs y documentación suficiente para elaborar exploits funcionales, el alto nivel de conocimiento técnico en ingeniería reversa necesario para aprovechar esta vulnerabilidad ha evitado que script kiddies desaten el caos en internet.
La publicación de este exploit probablemente dé inicio a la creación de nuevos ransomware y una explotación masiva a servicios públicos vulnerables, por lo tanto el parchado se debe realizar inmediatamente.

Para estos casos Makros cuenta con un servicio de gestión de vulnerabilidades proactivo, el cual apoya en la detección y la mitigación.

También es recomendable implementar el módulo Sophos Exploit Prevention, disponible para Sophos Enterprise Console. Éste módulo activa las protecciones de anti-exploit, Cryptoguard, y tecnología Clean en el agente.

Fuentes:
https://www.bleepingcomputer.com/news/security/public-bluekeep-exploit-module-released-by-metasploit/
https://blog.rapid7.com/2019/09/06/initial-metasploit-exploit-module-for-bluekeep-cve-2019-0708/
https://blog.firosolutions.com/exploits/bluekeep/
https://www.cyber.gov.au/news/acsc-confirms-public-release-bluekeep-exploit
https://nakedsecurity.sophos.com/2019/07/26/bluekeep-guides-make-imminent-public-exploit-more-likely/
https://nakedsecurity.sophos.com/2019/07/01/rdp-bluekeep-exploit-shows-why-you-really-really-need-to-patch/
https://www.computerworld.com/article/3436857/heads-up-a-free-working-exploit-for-bluekeep-just-hit.html
https://www.welivesecurity.com/la-es/2019/06/10/bluekeep-vulnerabilidad-tiene-vilo-industria-seguridad/
https://github.com/rapid7/metasploit-framework/pull/12283

Vulnerabilidades en HTTP/2 expone a millones de sitios a ataques DoS

En HTTP/2, la ultima version de protocolo de red HTTP se han encontrado múltiples vulnerabilidades de seguridad que afectan al web server mas popular, que incluye Apache, Microsoft´s IIS y NGINX.

Lanzado en mayo del 2015, HTTP/2 fue diseñado para mejorar la experiencia de navegación mejorando la velocidad de carga de las paginas y su seguridad. Al día de hoy mas de cien millones o un 40% de los sitios de internet están usando este nuevo protocolo.

Se encontraron un total de 8 vulnerabilidades graves en HTTP/2, siete de estas descubiertas por Jonathan Looney de Netflix y una por Piotr Sikora de Google, existen debido al agotamiento de los recursos cuando se manejan entradas maliciosas, lo que permite que un cliente sobrecargue el código de gestión de colas del servidor.

Estas vulnerabilidades son explotables en DoS (Denial of Service), esto podría afectar a los millones de servicios que están corriendo en un servidor web con la implementación HTTP/2.

¿Como es el ataque en términos simples?, básicamente es que un cliente malicioso le pide a un servidor vulnerable objetivo que haga algo que genere una respuesta, pero luego el cliente se niega a leer la respuesta, forzándolo a consumir memoria y CPU excesivas mientras procesa las solicitudes.

Estos defectos permiten una pequeña cantidad de sesiones maliciosas de bajo ancho de banda, esto para evitar que los participantes de la conexión realicen un trabajo adicional. Es probable que estos ataques agoten los recursos de manera que otras conexiones o procesos en la misma máquina también puedan verse afectados o bloquearse“, explica Netflix en un aviso publicado el martes.

La mayoría de las vulnerabilidades enumeradas a continuación funcionan en la capa de transporte HTTP / 2:

  • CVE-2019-9511 — HTTP/2 “Data Dribble”
  • CVE-2019-9512 — HTTP/2 “Ping Flood”
  • CVE-2019-9513 — HTTP/2 “Resource Loop”
  • CVE-2019-9514 — HTTP/2 “Reset Flood”
  • CVE-2019-9515 — HTTP/2 “Settings Flood”
  • CVE-2019-9516 — HTTP/2 “0-Length Headers Leak”
  • CVE-2017-9517 — HTTP/2 “Internal Data Buffering”
  • CVE-2019-9518 — HTTP/2 “Request Data/Header Flood”

Algunos son lo suficientemente eficientes como para que un único sistema final pueda causar estragos en varios servidores. Otros ataques son menos eficientes; sin embargo, incluso los ataques menos eficientes pueden abrir la puerta a ataques DDoS que son difíciles de detectar y bloquear“, señala el aviso.

De todas formas estas vulnerabilidades no permiten la modificación ni extracción de datos de contenidos en los servidores, solo se pueden utilizar para aplicar la técnica de DoS.

El equipo de seguridad de Netflix se asocio con Google y el centro de coordinación CERT para poder informar de manera responsable las vulnerabilidades a cada uno de los proveedores y mantenedores afectados por lo antes mencionado.

Según el CERT, los proveedores afectados incluyen NGINX , Apache , H2O , Nghttp2, Microsoft (IIS), Cloudflare , Akamai , Apple ( SwiftNIO), Amazon, Facebook (Proxygen), Node.js y Envoy proxy, muchos de los cuales ya han lanzado parches de seguridad y avisos.

Referencias:

https://thehackernews.com/2019/08/http2-dos-vulnerability.html

https://kb.cert.org/vuls/id/605641/

https://www.f5.com/labs/articles/threat-intelligence/denial-of-service-vulnerabilities-discovered-in-http-2

https://www.zdnet.com/article/severe-vulnerabilities-discovered-in-http2-protocol/

https://www.redeszone.net/2019/08/14/nuevas-vulnerabilidades-http2-explotar-servidores-no-parcheados/

http://sedici.unlp.edu.ar/handle/10915/68348

Google revela vulnerabilidad de Windows presente hace 20 años

Un investigador de seguridad de google reveló detalles de una vulnerabilidad de alta severidad presente hace 20 años sin parchar en todas las versiones de Windows desde Windows XP hasta Windows 10.

El error se encuentra en la forma que los clientes MSCTF se comunican, permitiendo que un usuario con pocos privilegios o una aplicación de sandbox tenga acceso de lectura y escritura en una aplicación de nivel superior.

Continuar leyendo

Portal de Banco Central Europeo es bajado luego de ataque

El Banco Central Europeo confirmó este jueves que fue víctima de un ciberataque que involucró inyección de malware en uno de sus sitios, lo que conllevaría al robo de información de contacto de los suscriptores a las newsletter que emite esta entidad.

Con su casa central en Alemania, el Banco Central Europeo es el banco central de los 19 países de la Unión Europea que han adoptado el Euro como moneda, y a la vez es responsable de supervisar las prácticas para la protección de datos en el sistema bancario de estos países.

Continuar leyendo

Grupo de cibercriminales Silence APT apunta a nuevos mercados

Silence APT, es un grupo de cibercriminales de habla rusa, conocido por atacar en un comienzo principalmente a organizaciones financieras soviéticas, en este momento ha tomado un nuevo rumbo y se encuentra presente en mas de 30 países ubicados en América, Europa, África y Asia.

El famoso grupo se encuentra activos desde al menos septiembre del año 2016, el ataque exitoso mas reciente fue contra el Dutch-Bangla Bank con sede en Bangladesh, quienes perdieron mas de 3 millones en solo unos días, esto en efectivo girado desde cajeros automáticos.

De acuerdo a un nuevo reporte de la firma Group-IB, el grupo se ha expandido geograficamente de forma considerable en los últimos meses, aumentando la cantidad de ataques.

El reporte también describe al grupo como “hackers jóvenes altamente motivados” a uno de los grupos más sofisticados que ahora representa amenazas para los bancos de todo el mundo.

El grupo esta constantemente actualizando su TTP (tactics, technics and procedures) y cambiando sus alfabetos encriptados, textos y comandos bot y el módulo principal evadan la detección mediante herramientas de seguridad.

“Además, el actor ha reescrito completamente el cargador TrueBot, el módulo de primera etapa, del cual depende el éxito de todo el ataque del grupo. Los hackers también comenzaron a usar Ivoke y un agente EDA, ambos escritos en PowerShell”. dijeron los investigadores.

EDA es un agente de PowerShell, diseñado para controlar sistemas comprometidos mediante la realización de tareas a través del shell de comandos y el tráfico de túnel mediante el protocolo DNS, y se basa en los proyectos Empire y dnscat2.

Así como la mayoría de estos grupos, Silence también se basa en correos electrónicos de phishing con macros Docs o exploits, archivos CHM y atajos .LNK como archivos adjuntos maliciosos para comprometer a sus víctimas.

Para elegir sus objetivos, el grupo primero crea una “lista de objetivos” actualizada de direcciones de correo electrónico activas, mediante el envío de “correos electrónicos de reconocimiento”, que generalmente contienen una imagen o un enlace sin una carga maliciosa.

 “Estas campañas ya no se centraron solo en Rusia y los antiguos países soviéticos, sino que se extendieron por Asia y Europa. Desde nuestro último informe público, Silence ha enviado más de 170,000 correos electrónicos de reconocimiento a bancos en Rusia, la ex Unión Soviética, Asia y Europa “, según el informe.

“En noviembre de 2018, Silence trató de apuntar al mercado asiático por primera vez en su historia. En total, Silence envió alrededor de 80,000 correos electrónicos, con más de la mitad de ellos dirigidos a Taiwán, Malasia y Corea del Sur”.

Con los últimos ataques efectuados por Silence desde mayo del 2018 hasta el primero de agosto de este año, los investigadores describen el incremento del daño de sus operaciones, confirmaron que la cantidad de fondos robados por Silence se ha quintuplicado desde sus inicios.

Los investigadores también sospechan que los TrueBot (aka Silence.Downloader) y FlawedAmmyy, fueron desarrollados por la misma persona ya que ambos malware están firmados por el mismo certificado digital .

El FlawedAmmyy es un troyano de acceso remoto (RAT) asociado al TA505, otro grupo de habla rusa, responsable de varios ataques de larga escala, donde están involucrados varios ataques de correo electrónico altamente dirigidos, así como campañas masivas de mensajes multimillonarios desde al menos 2014.

“La creciente amenaza planteada por Silence y su rápida expansión global, nos llevaron a hacer públicos ambos informes para ayudar a los especialistas en ciberseguridad a detectar y atribuir correctamente los ataques mundiales de Silence en una etapa temprana”, dijeron los investigadores.

Group-IB no compartió los nombres de los bancos que son objetivos del mencionado grupo, pero afirmaron que el grupo atacó con éxito a los bancos en India (en agosto de 2018), Rusia (en febrero de 2019, el “Banco de TI” ruso), Kirguistán (en mayo de 2019 ), Rusia (en junio de 2019) y Chile, Ghana, Costa Rica y Bulgaria (en julio de 2019).

El grupo de investigadores ha detallado aun mas los ataques de Silence APT y lo ha plasmado en su informe titulado “Silence 2.0: Going Global”, a continuación les dejo un link al informe de Group-IB, por si quieren obtener más información.

https://www.group-ib.com/resources/threat-research/silence_2.0.going_global.pdf

Referencias:

https://www.group-ib.com/media/silence-attacks/

https://www.group-ib.com/resources/threat-research/silence-attacks.html

https://thehackernews.com/2019/08/silence-apt-russian-hackers.html

https://brica.de/alerts/alert/public/1266218/bangladesh-cyber-heist-20-silence-apt-goes-global/

https://itconnect.lat/portal/2019/07/03/silence-666/

Violación de firewall de Imperva, expone datos de sus clientes incluyendo certificados SSL y llaves de APIs.

Imperva, una de las startups lideres en ciberseguridad cuya misión es ayudar a empresas a proteger información crítica y aplicaciones de ciberataques, fue víctima de una filtración de información delicada significativa en algunos de sus clientes.

La filtración de información, afecta principalmente a clientes de Imperva Cloud Web Application Firewall (WAF), anteriormente conocido como Incapsula, un servicio CDN centrado en la seguridad, conocido por su mitigación de DDoS y características de seguridad de aplicaciones web que protegen los sitios web de actividades maliciosas.

En una publicación realizada en el blog de la compañía, realizada por Chris Hylen CEO (Chief Executive Officer) de Imperva, reveló que la compañía se enteró del incidente el 20 de agosto de 2019, solo después de que alguien informara sobre la exposición de datos que “afecta a un subconjunto de clientes de su producto Cloud WAF, que tenían cuentas hasta el 15 de septiembre de 2017 “.

La información expuesta incluye direcciones de correo electrónico y contraseñas de todos los clientes de Cloud WAF quienes fueron registrados antes del 15 de septiembre del 2017, así como claves API y certificados SSL proporcionados por el cliente para un subconjunto de usuarios.

Activamos nuestro equipo y protocolo interno de respuesta de seguridad de dato y continuamos investigando con toda la capacidad de nuestros recursos como ocurrió esta exposición“, dice la compañía.

Hemos informado a las agencias reguladoras globales apropiadas y contamos con asesoría de expertos forenses externos“.

La compañía aun no revela la forma en la que se produjo la filtración, si sus servidores se vieron comprometidos o si se dejaron sin seguridad accidentalmente en una base de datos mal configurada en Internet.

Imperva aun se encuentra investigando el incidente y aseguran que fueron informados todos los clientes que fueron directamente afectados y también está tomando medidas adicionales para aumentar su seguridad.

Lamentamos profundamente que este incidente haya ocurrido y continuaremos compartiendo actualizaciones en el futuro. Además, compartiremos los aprendizajes y las nuevas mejores prácticas que puedan surgir de nuestra investigación y las medidas de seguridad mejoradas con la industria en general“, dice la compañía.

Se recomienda a los usuarios de Cloud WAF que cambien las contraseñas de sus cuentas, implementen Single Sign-On (SSO), habiliten la autenticación de dos factores (2FA), generen y carguen nuevos certificados SSL y restablezcan sus claves API.

Referencias:

https://krebsonsecurity.com/2019/08/cybersecurity-firm-imperva-discloses-breach/

https://thehackernews.com/2019/08/imperva-waf-breach.html

https://unaaldia.hispasec.com/2019/08/fuga-de-informacion-en-cloud-web-application-firewall-de-imperva.html

Google descubre que solo visitando algunos sitios los IPhones fueron hackeados durante años

Si, tu IPhone puede ser hackeado solo visitando un sitio que aparentemente es inofensivo, investigadores de Google publicaron un descubrimiento terrorífico.

La historia se remonta a una cadena de ataques generalizados para iPhone, que los investigadores de ciberseguridad del proyecto “Cero” de Google descubrieron a principios de este año, esto se logra implantando un spyware en los últimos 5 exploits de jailbreaking remoto existentes para IPhone.

Estos exploits, los cuales explotan un total de 14 vulnerabilidades del sistema operativo iOS mobile, de las cuales 7 residen en el browser de la marca “Safari”, 5 en el kernel del sistema operativo y 2 fallas en sandbox, los objetivos eran casi todas las versiones de iOS entre “iOS 10” hasta la mas reciente “iOS 12”.

Según la publicación realizada por el investigador del Proyecto Cero “Ian Beer”, solo dos de las 14 vulnerabilidades de seguridad eran zero-days, CVE-2019-7287 y CVE-2019-7286 sin parches en el momento del descubrimiento y sorprendentemente la cadena de ataque permaneció sin ser detectada durante al menos dos años.

Aun que los detalles técnicos de estas 2 vulnerabilidades no estaban disponibles, estas fueron publicadas en febrero luego de el lanzamiento de la versión 12.1.4 de iOS.

Reportamos estos problemas a Apple con un plazo de 7 días el 1 de febrero de 2019, lo que resultó en el lanzamiento de iOS 12.1.4 el 7 de febrero de 2019. También compartimos los detalles completos con Apple, que fueron revelados públicamente el 7 de febrero de 2019 “, dice Beer.

Ahora los investigadores de Google explican, el ataque comenzó a través de una pequeña cantidad de sitios hackeados con miles de visitas por semana, dirigidos a todos los usuarios de iOS que visitan esos sitios web sin discriminación alguna.

Simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo y si fue exitoso, ya se intaló un monitoreo“, dice Beer.

Una vez que el usuario de Iphone visite un sitio corrompido a través de Safari, se activa el exploits WebKit que realiza una escalada de privilegios hasta obtener un acceso mas alto de acceso en la raiz del dispositivo.

Los exploits del iPhone se usaron para implementar un implante diseñado principalmente para robar archivos como iMessages, fotos y datos de ubicación de GPS en vivo de los usuarios, y subirlos a un servidor externo cada 60 segundos.

No hay un indicador visual en el dispositivo de que el implante se está ejecutando. No hay forma de que un usuario en iOS vea una lista de procesos, por lo que el binario del implante no intenta ocultar su ejecución del sistema“, explica Beers.

El implante de software espía también robó los archivos de la base de datos del dispositivo de la víctima que utilizan las populares aplicaciones de cifrado de extremo a extremo como Whatsapp, Telegram e iMessage para almacenar datos, incluidos los chats privados en texto sin formato.

Además, el implante también tenía acceso a los datos del llavero del dispositivo de los usuarios que contenían credenciales, tokens de autenticación y certificados utilizados en y por el dispositivo.

El llavero también contiene los tokens de larga duración utilizados por servicios como el inicio de sesión único de iOS de Google para permitir que las aplicaciones de Google accedan a la cuenta del usuario. Estos se cargarán a los atacantes y luego se pueden usar para mantener el acceso al usuario Cuenta de Google, incluso una vez que el implante ya no se está ejecutando “, dice Beers.

Si bien el implante se eliminaría automáticamente de un iPhone infectado al reiniciar, sin dejar rastro de sí mismo, visitar el sitio pirateado nuevamente reinstalaría el implante.

Alternativamente, como explica Beer, los atacantes pueden “mantener un acceso persistente a varias cuentas y servicios mediante el uso de tokens de autenticación robados del llavero, incluso después de perder el acceso al dispositivo“.

Referencias:

https://unaaldia.hispasec.com/2019/08/iphone-zero-days-un-nuevo-spyware-de-altas-capacidades-puede-monitorizar-toda-la-vida-digital-de-las-personas.html

https://www.cbsnews.com/news/google-iphone-hack-discovered-mass-ios-hacking-attack-sustained-over-at-least-two-years-2019-08-30/

https://www.thesun.co.uk/tech/9826781/google-iphone-hacked-websites-how/

https://thehackernews.com/2019/08/hacking-iphone-ios-exploits.html

https://www.newsweek.com/has-your-iphone-been-hacked-google-malware-apple-ios-cybersecurity-1456983

https://www.cnet.com/news/google-says-iphone-security-flaws-let-websites-hack-them-for-years/

https://www.theguardian.com/technology/2019/aug/30/hackers-monitoring-implants-iphones-google-says