Archivos de la categoría: Noticia

Esta semana en ciberseguridad

Investigadores descubren malware para Linux que pasó desapercibido por 3 años

Un malware no documentado que apunta a sistemas Linux, con capacidades de puerta trasera, ha pasado desapercibido por 3 años, permitiendo a un actor malicioso extraer información de los sistemas informáticos infectados.

La información proviene de una muestra detectada el 25 de marzo, pero otras versiones previas habían sido subidas a VirusTotal desde Mayo del 2018. Se han encontrado cuatro muestras distintas del malware, ninguna de ellas siendo detectada por la mayoría de los sistemas anti-malware.

Conocido como RotaJakiro, está diseñado para ser dificil de detectar, encriptando sus comunicaciones con los servidores de comando y control, y soporta 12 funciones que permiten obtener metadatos del dispositivo, extraer información sensible, y ejecutar comandos y otros módulos indicados por el servidor de comando y control.

La verdadera intención de los atacantes, o sus objetivos, aún no son claros, pero algunos de los dominios vinculados a los servicios de comando y control tienen fechas de registro que data del 2015.

Fuente: https://thehackernews.com/2021/04/researchers-uncover-stealthy-linux.html

Hackers explotan vulnerabilidad en SonicWall para ataques ransomware

Un agresivo grupo de atacantes ha explotado la vulnerabilidad SonicWall en dispositivos VPN para diseminar una nueva versión de ransomware denominada FIVEHANDS.

El grupo, seguido por Mandiant como UNC2447, tomó ventaja de las diversas fallas que permiten a un autenticante ejecutar código remotamente en los dispositivos SSL-VPN SMA100, CVE-2021-20016

UNC2447 extorsiona a sus víctimas usando el ransomware, seguido de tácticas de presión a través de amenazas, y ofertas de venta de información en foros especializados.

La explotación de estas vulnerabilidades permite a un atacante acceder a credenciales e información de sesión, que le permiten directamente ingresar a la máquina vulnerada.

Fuente: https://thehackernews.com/2021/04/hackers-exploit-sonicwall-zero-day-bug.html

F5 Big-IP vulnerable a un bug de bypass de seguridad.

El sistema de F5 Networks, Big-IP Application Delivery Services contiene una vulnerabilidad que permitiría a un atacante saltarse las medidas de seguridad utilizadas para proteger trabajos sensibles.

Un atacante podría explotar la vulnerabilidad, conocida como CVE-2021-23008, para ingresar al manejador de políticas de acceso de Big-IP, evitando la seguridad Kerberos, en algunos casos incluso permitiendo acceso a la consola de administrador.

El impacto podría ser significativo, ya que F5 provee equipamiento de red para grandes compañías, como instituciones financieras globales o proveedores de internet.

F5 lanzó una actualización para su software, indicando que es importante instalar y monitorear constantemente la plataforma Kerberos para detectar comportamientos sospechosos.

Fuente: https://threatpost.com/f5-big-ip-security-bypass/165735/

Esta semana en ciberseguridad

Grupo REvil pide una recompensa de 50 millones de dólares a Apple por información de Quantas

El grupo REvil pide 50 millones de dólares como recompensa por los archivos robados de Quantas, un fabricante de hardware taiwanes víctima de un ataque, en el que información confidencial de diversos clientes de Quantas, incluyendo Apple, fue obtenida por los atacantes.

Desde el día 20 de abril en que Apple presentó su evento “Spring Loaded”, REvil ha solicitado a Quantas una recompensa por la información sustraída, pero en vista que Quantas se negó a pagar, han ido detrás de su cliente numero uno, filtrando diversos documentos confidenciales de los nuevos productos aún no lanzados, y a quien demandan esta suma antes del 1 de Mayo.

Quantas ensambla algunos de los productos de Apple, como Apple Watch, algunos Macbooks, y también Thinkpad de Lenovo.

REvil opera un negocio de ransomware-as-a-service, es decir, ofrecen soporte material a otros afiliados que se preocupan por los aspectos técnicos del ataque, y en donde los afiliados obtienen entre un 70 y 80 por ciento de las ganancias, y son quienes se encargan de la infección inicial, eliminar backups y robar los archivos, y REvil maneja las negociaciones, el pago, y desarrolla y distribuye el software encriptador.

Fuente: https://threatpost.com/revil-apple-ransomware-pay-off/165570/
https://therecord.media/ransomware-gang-tries-to-extort-apple-hours-ahead-of-spring-loaded-event/

Actualiza tu navegador Chrome lo antes posible

Google lanzó una actualización de seguridad urgente para su navegador Chrome en Windows, Mac y Linux, con 7 parches de seguridad, para uno de los cuales existe un ataque en curso en la red.

Conocido como CVE-2021-21224, esta falla se refiere al motor de JavaScript V8 y que fue reportado por Jose Martinez el 5 de Abril.

Este parche viene luego que el día 14 de Abril fuera publicado código de prueba de concepto explotando esta falla, por lo que se recomienda a los usuarios actualizar a la última version, entrando a Configuración > Ayuda > Acerca de Google Chrome

Fuente: https://thehackernews.com/2021/04/update-your-chrome-browser-immediately.html

Hackers explotan fallas 0-day en Pulse Secure para acceder a redes privadas corporativas

Una nueva falla descubierta en Pulse Connect Secure gateway, conocida como CVE-2021-22893, está siendo explotada y no hay un parche disponible aún.

Al menos dos atacantes han sido relacionados con una serie de intrusiones que apuntan a distintas organizaciones usando vulnerabilidades en Pulse Secure que permiten saltar la autenticación de dos pasos y entrar a redes corporativas.

Explotando diversas debilidades de Pulse Secure VPN, CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, y CVE-2021-22893, se cree que uno de los exploits recolectó credenciales luego utilizadas para moverse lateralmente, y luego para obtener persistencia, los atacantes usaron binarios modificados de Pulse Secure para habilitar la ejecución remota de código.

Se recomienda a los clientes de Pulse Secure estar atentos a las actualizaciones disponibles, y actualizar a PCS Server version 9.1R.11.4 cuando esté disponible/

Fuente: https://thehackernews.com/2021/04/warning-hackers-exploit-unpatched-pulse.html

Estudio de CETIUC nos posiciona por segundo año consecutivo como el Proveedor de Ciberseguridad mejor evaluado en nuestra categoría.

En Makros estamos felices y muy orgullosos, porque nuestras ganas de mejorar constantemente y dar siempre un mejor servicio se han vuelto un resultado patente por segundo año consecutivo, según el estudio que realiza el Centro de Estudios de Tecnologías de Información de la Pontificia Universidad Católica de Chile, CETIUC. Lo anterior, lo demuestra el benchmark de Evaluación de Proveedores de Ciberseguridad del ENCI (Estudio Nacional de Ciberseguridad) en donde nos posicionamos en 2021 como el Nº1 de nuestra categoría. 

El estudio está enfocado en recoger la opinión del principal responsable de Ciberseguridad en las principales organizaciones del país. Por lo tanto, además de CISOs, contempla CIOs, quienes son los responsables principales de Ciberseguridad, de más de 80 empresas de alto nivel, como la Bolsa de Santiago, Alsacia & Express, Concha y Toro, Carozzi, Iansa, Gasco, Red de Salud Christus, Metlife, Enex, Masisa, entre muchas más.

Tasa de promotores netos

En el cuadrante de Índice de variables técnicas, Makros presenta la mejor evaluación respecto al resto de los proveedores con 83 puntos.

En esa misma categoría, en el Cumplimiento de Objetivos y Cumplimiento de Plazos, nuevamente figuramos con la mejor puntuación con 83 puntos.

Del mismo modo, en los cuadrantes de Competencias Técnicas y Experiencia de los Profesionales, Makros fue la empresa mejor evaluada en la categoría Implementación e Integración de tecnologías y plataformas de ciberseguridad

Inversión y costos: el Factor Makros:

Una variable crítica para los ejecutivos que respondieron este benchmark, es la Inversión vs Costos. Y en este factor de decisión, Makros es la empresa mejor evaluada. Se destaca que al comparar la Inversión y Costos respecto a variables como Cumplimiento de Objetivos y Competencias Técnicas, Makros vuelve a presentar la mejor evaluación respecto a su competencia en la categoría de Implementación e Integración de tecnologías y plataformas de ciberseguridad.

Probabilidad de Recomendación

Sin embargo, según la visión de Marcelo Díaz, CEO de Makros, es esta variable, la “Probabilidad de Recomendación” la que realmente guía la dirección de la compañía. Porque habla del lealtad real que tienen los clientes y el mercado, respecto a Makros.

“En estos cuadrantes, es donde realmente podemos sentirnos orgullosos por el esfuerzo y la dedicación de nuestro equipo. Donde realmente nos diferenciamos del resto”.

Efectivamente, somos los mejor evaluados en Variables Técnicas, Cumplimiento de Objetivos y de Plazos. Así como las competencias técnicas y, ciertamente, la experiencia de nuestros profesionales.

El estudio de este año fue realizado en Octubre 2020; y lo puedes revisar en el link de la CETIUC: https://www.cetiuc.com/benchmarks/user/login

(Por ahora, disponible exclusivamente para suscriptores y para quienes participaron de él)

CETIUC realiza los benchmarks que componen el ENTI según las metodologías que se describen en detalle en cada uno de ellos. Sus resultados se basan en la evaluaciones que realizan los CIOs para fines informativos, y no implican ninguna garantía explicita o implícita, por las cuales CETIUC pueda ser responsabilizado. ENTI no sugiere u orienta la selección de ningún proveedor, según las calificaciones que estos obtengan de las evaluaciones que realizan los CIOs. Registro de Propiedad Intelectual N°A-294086.-La Ley N°17.336 sobre Propiedad Intelectual prohíbe el uso de obras protegidas sin la autorización expresa del titular del derecho de autor. Cualquier forma de reproducción, distribución, comunicación publica o transformación de esta obra solo puede ser realizada con la autorización de su titular.

Esta semana en ciberseguridad

Ejecución remota de código en versiones no parchadas de los navegadores Chrome, Opera y Brave

Investigadores de seguridad publicaron una prueba de concepto relacionada a una nueva falla de seguridad que impacta a Google Chrome y otros navegadores basados en Chromium, como Microsoft Edge, Opera y Brave.

El exploit está relacionado con una vulnerabilidad de ejecución de código remota en el entorno V8 de JavaScript. Se cree que es la misma falla demostrada en la competencia Pwn2Own 2021 la semana pasada, donde dos hackers recibieron una recompensa de 100 mil dólares por encontrar esta seria falla.

Al parecer, el investigador que publicó la falla, lo hizo debido a información relacionada al parche que fue publicada por Google, por lo que se espera un parche de seguridad para la próxima semana.

Fuente: https://thehackernews.com/2021/04/rce-exploit-released-for-unpatched.html

FBI limpia servidores vulnerados en Estados Unidos por falla en Microsoft Exchange

En una operación masiva, el FBI removió código malicioso de cientos de máquinas vulneradas en los Estados Unidos, comprometidas por las recientes vulnerabilidades en Microsoft Exchange.

ProxyLogon es una serie de fallas de seguridad que afectan a versiones en-sitio de Microsoft Exchange. Microsoft advirtió el mes pasado que las vulnerabilidades están siendo activamente explotadas por actores estatales.

Esta conjunto de 4 fallas, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, pueden ser utilizadas en conjunto para lograr una ejecución de código remota sin autenticación, lo que significa que atacantes pueden tomar el control de los servidores sin tener credenciales conocidas. Esto les da acceso a las comunicaciones de correo electrónico y a poder instalar otros softwares maliciosos, como ransomware.

El hecho de que muchas máquinas se encontraran vulneradas, llevó al FBI a tomar medidas, solicitando una orden de la corte para esta acción, enfocada en eliminar software malicioso ya instalado en las máquinas, acción considerada como sin precedentes.

Fuente: https://threatpost.com/fbi-proxylogon-web-shells/165400/

Nuevas fallas de seguridad en Whatsapp permitiría a atacantes hackear teléfonos remotamente

Whatsapp parchó recientemente dos vulnerabilidades en la versión para Android de su aplicación de mensajería instantánea, que pueden ser utilizadas por atacantes para ejecutar código malicioso remotamente en los dispositivos vulnerables, e incluso robar información personal.

Las fallas apuntan a versiones Android superiores a Android 9, en un ataque conocido como man-in-the-disk, que hace posible a atacantes comprometer la aplicación, manipulando los datos que se intercambian entre la aplicación y el almacenamiento.

Las dos vulnerabilidades permiten a atacantes recolectar material criptográfico de las sesiones TLS. Con los secretos TLS, pueden comprometer las comunicaciones de Whataspp, e incluso lograr la ejecución de código remota.

Whatsapp recomienda actualizar a la version 2.21.4.18 para mitigar el riesgo asociado a estas fallas.

Fuente: https://thehackernews.com/2021/04/new-whatsapp-bug-couldve-let-attackers.html

Esta semana en ciberseguridad

Falla en Fortinet es explotada para sofisticados ataques Ransomware.

Atacantes están explotando una vulnerabilidad en equipos Fortinet que provisiona una nueva variante de ransomware, llamada Cring, que está afectando a distintas industrias alrededor de Europa.

Investigadores indican que los atacantes están explotando una vulnerabilidad no parchada conocida como CVE-2018-13379 en FortiOS de Fortinet con la misión de ganar acceso a la red corporativa de las victimas y finalmente instalar un ransomware.

Cring es un tipo relativamente nuevo de ransomware, que ha sido observado por CSIRT de Swisscom en Enero. El ransomware es único en que usa dos formas de encripción, y destruye respaldos en un esfuerzo de complicar a las víctimas y prevenir que estas se recuperen usando respaldos sin pagar la recompensa.

La vulnerabilidad está relacionada con el portal SSL VPN y permite a un atacante no autenticado descargar archivos del sistema de las máquinas atacadas usando peticiones HTTP específicamente modificadas.

Kaspersky publicó un reporte al respecto indicando las formas de ataque del ransomware, y recalca la importancia de mantener los softwares actualizados para evitar este tipo de ataques.

Reporte: https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/
Fuente: https://threatpost.com/hackers-exploit-flaw-cring-ransomware/165300/

Datos de más de 500 millones de usuarios de LinkedIn publicados para la venta.

La información personal de más de 500 millones de usuarios de LinkedIn ha sido publicada para la venta en línea, en otro incidente en que atacantes obtienen información masivamente desde los perfiles públicos y la ofrecen para su posible uso criminal.

De la misma manera que el incidente de Facebook esta semana, la información, que incluye ID de usuario, correos electrónicos, nombres completos, títulos profesionales y números de teléfono, fue obtenida en masa usando servicios disponibles públicamente, pero de una forma que no es la que se pretende.

Los usuarios de un conocido foro hacker pudieron acceder a una muestra de 2 millones de registros de la información.

La compañía está investigando el incidente, e indicó que no hubo un mal uso de su plataforma sino la obtención masiva de datos por medio de scraping.

Fuente: https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/

Cisco no parchará vulnerabilidad crítica de ejecución remota de código que afecta a routers en fin de su tiempo de soporte.

La vulnerabilidad conocida como CVE-2021-1459 se considera crítica, y afecta al VPN Firewall y Routers modelo RV110W, RV130, RV130W y RV215W, permitiendo a un atacante ejecutar código en el appliance afectado.

Cisco Systems informó que no planea parchar una vulnerabilidad crítica de seguridad que afecta a algunos de sus routers para pequeños negocios, indicando que los usuarios deben renovar sus dispositivos ya que estos se encuentran fuera de su periodo de soporte.

Esta falla surge de un problema de validación de la entrada de datos del usuario en la plataforma de administración web, permitiendo a un actor malicioso ejecutar código usando peticiones HTTP.

Aparte de esto, Cisco lanzó otras actualizaciones para sus plataformas de software en Cisco WAN vManage, CVE-2021-1137, CVE-2021-1479, y CVE-2021-1480

Mas información: https://www.cisco.com/c/en/us/products/collateral/routers/small-business-rv-series-routers/eos-eol-notice-c51-742771.pdf
Otros parches: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-YuTVWqy
Fuente: https://thehackernews.com/2021/04/cisco-will-not-patch-critical-rce-flaw.html

Esta semana en ciberseguridad

Servidor oficial GIT de PHP ha sido hackeado para insertar código malicioso en versiones oficiales

En un nuevo ataque que afecta la cadena de desarrollo de software, el servidor oficial GIT que almacena el repositorio de PHP ha sido hackeado, y su código fuente modificado maliciosamente.

El atacante pujó dos “commits” al repositorio php-src del popular lenguaje de programación PHP, que contenía una puerta trasera que permitía una ejecución remota de código, suplantando los nombres de Rasmus Lerdorf, autor del lenguaje PHP y Nikita Popov, desarrollador de software en Jetbrains, revelaron los mantenedores del código.

Los cambios fueron hechos el día de ayer 28 de Marzo, y aún no se sabe exactamente cuál fue el origen de este ataque, pero todo apunta a que el servidor git.php.net fue comprometido.

Los cambios, inscritos como “Fix Typo”, o “corrección de tipografía”, en un intento de no ser detectados, permiten ejecutar código PHP arbitrario al ser insertado en la cabecera user-agent de HTTP, si el texto inicia con “zerodium”, dijo el desarrollador de PHP Jake Birchall.

Zerodium es una empresa de los Estados Unidos conocida por comprar vulnerabilidades 0-day, pero su CEO, Chaouki Bekrar desmintió rumores de que Zerodium estuviera involucrada en el ataque, indicando a los atacantes como “trolls” que usaron el nombre para despistar.

Aparte de revertir los cambios, los mantenedores de PHP están revisando si es que existe algún otro tipo de corrupción aparte de los dos “commits” antes mencionados. No está claro si la base de código alterada fue descargada o distribuida antes que los cambios fueran descubiertos.

El equipo de PHP está aplicando una serie de modificaciones en su proceso de desarrollo, incluyendo migrar el código fuente a GitHub, y los desarrolladores que quieran contribuir al código deberán ser agregados como parte de la organización en GitHub.

Se estima que PHP es usado en un 80% de los sitios web, de acuerdo a un estudio de tecnologías de Web Technology Surveys, número que incluye a los sitios WordPress, que funciona sobre PHP.

Fuentes:
https://news-web.php.net/php.internals/113838
https://thehackernews.com/2021/03/phps-git-server-hacked-to-insert-secret.html
https://portswigger.net/daily-swig/backdoor-planted-in-php-git-repository-after-server-hack
https://w3techs.com/technologies/details/pl-php

Nuevo Zero-Day en Android bajo ataque

Google anunció una vulnerabilidad, ahora parchada, en dispositivos Android que usan chipsets de Qualcomm, que está siendo utilizada por atacantes para vulnerar objetivos específicos.

Conocida como CVE-2020-11261, con un puntaje de severidad 8.4, esta falla tiene relación con una validación impropia de datos de entrada en el componente Qualcomm Graphics, que puede ser explotada para corromper la memoria cuando una software malicioso solicita acceder a un gran espacio de memoria en el dispositivo afectado.
Es bueno mencionar que el vector de explotación requiere acceso local al dispositivo para poder vulnerar el equipo

Más datos específicos no han sido informados por Google, con el fin de prever que otros actores maliciosos tomen ventaja de este fallo.

Fuente: https://thehackernews.com/2021/03/warning-new-android-zero-day.html

Nueva falla crítica en la plataforma SolarWinds Orion permite ejecución remota de código.

El proveedor de soluciones de manejo de infraestructura SolarWinds anunció que fue lanzada una nueva versión de la herramienta Orion para monitoreo de redes, que cuenta con parches para cuatro nuevas vulnerabilidades de seguridad, incluyendo dos de ellas que pueden ser explotadas por un atacante autenticado para ejecutar código remotamente.

Una falla de deserialización JSON permite a un atacante autenticado ejecutar código arbitrariamente usando acciones de alerta de prueba, disponibles en la consola web de Orion. Esta funcionalidad permite a los usuarios simular eventos de red y puede ser configurada para alertar en caso de que esto suceda. Ha sido calificada como crítica en su severidad.

Además, un segundo problema está relacionado a una vulnerabilidad de alto riesgo que puede ser usada para ejecutar código remotamente en el calendarizador de trabajos de Orion, usando las credenciales sin privilegios de un usuario.

Esta ronda de arreglos viene luego que hace un par de meses, la compañía basada en Texas haya reparado dos vulnerabilidades críticas que impactaron a la plataforma Orion, y que pueden ser explotados para obtener ejecución de código con privilegios elevados.

El fabricante recomienda a los usuarios instalar lo antes posible la nueva versión de Orion Platform 2020.2.5 para mitigar estos problemas.

Fuente: https://thehackernews.com/2021/03/solarwinds-orion-vulnerability.html

Rootkit Purple Fox ahora puede infectar otros maquinas Windows

Una nueva característica ha sido descubierta en el rootkit Purple Fox, un malware conocido por infectar máquinas usando kits de explotación y correos phishing, que le permite distribuirse en forma de gusano a otras máquinas Windows adyacentes.

La campaña, en plena actividad recientemente, usa nuevos métodos de diseminación, haciendo escaneos de puertos indiscriminadamente, y explotando servicios SMB con claves débiles.

Un total de 90.000 incidentes han sido observados entre 2020 y lo que va de 2021.

Primero descubierto en Marzo del 2018, Purple Fox es distribuido como un payload malicioso .msi alojado en más de 2.000 servidores Windows comprometidos, que descarga y ejecuta un componente con características de Rootkit, permitiendo a los atacantes esconder el malware en la máquina y evadir la detección.

Ahora además de esto, se descubrió esta nueva funcionalidad, que logra diseminar el gusano a otras máquinas vulnerables.

Más información: https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox

Fuente: https://thehackernews.com/2021/03/purple-fox-rootkit-can-now-spread.html

Esta semana en ciberseguridad

Comisión para el Mercado Financiero CMF informa sobre incidente de ciberseguridad relacionado a Exchange

El dia 14 de Marzo, la Comisión para el Mercado Financiero informó que el día 12 del presente, fue afectada por un ataque a su plataforma de correo Microsoft Exchange, relacionado a las vulnerabilidades conocidas recientemente que afectan a este software.

El comunicado comenta que se activaron inmediatamente los protocolos de ciberseguridad para contener y dar continuidad a los servicios, y posteriormente informó los resultados preliminares de la investigación, confirmando que fue aislado solo a la plataforma Exchange, no afectando a otros servicios.

La investigación del hecho continúa, pero este caso nos recuerda que es importante estar al tanto de las vulnerabilidades y parches de los softwares que son administrados, para evitar estas situaciones

Fuente: (1) https://www.cmfchile.cl/portal/prensa/615/w3-article-47237.html

El FBI informa que el cibercrimen aumentó considerablemente el 2020, con pérdidas de 4.200 millones de dólares.

El Centro de Quejas por Crímenes de Internet IC3 del FBI lanzó su reporte anual el pasado miércoles, mostrando un alza en el cibercrimen, tanto en cantidad como en costo, durante el año 2020.

El reporte, en cuanto a seguridad empresarial, remarca dos puntos importantes. Uno es la emergencia de campañas de phishing relacionadas al COVID-19, tanto a organizaciones como a individuos, y la segunda, el aumento en el costo en los ataques que han comprometido cuentas de correo electrónico.

Los compromisos de cuentas de correo electrónico alcanzaron costos de 1.900 millones de dólares este 2020, 90 más que el 2019, comparado con los de ransomware en 29 millones de dólares. El reporte dice que los ataques ransomware no son reportados con tanta frecuencia.

Reporte: https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

Fuente: https://www.scmagazine.com/home/security-news/cybercrime/fbi-cybercrime-skyrocketed-in-2020-with-email-compromise-scams-accounting-for-43-of-losses/

Ataques descubiertos apuntan a desarrolladores de aplicaciones Apple con troyanos para Xcode

Investigadores de ciberseguridad anunciaron un nuevo ataque que actores maliciosos están usando para comprometer a desarrolladores de la plataforma Apple con puertas traseras.

Llamada XcodeSpy, el proyecto troyanizado es una versión alterada de un proyecto de código abierto disponible en GitHub llamado TabBarInteraction, usado para animar las barras en el sistema iOS basado en la interacción del usuario.
Este proyecto malicioso instala una variante del backdoor EggShell en el computador del desarrollador, junto con un mecanismo de persistencia, dijeron los investigadores de SentinelOne

Usando un script de inicio, que es ejecutado cuando el desarrollador compila el proyecto, descarga esta variante del backdoor, y los instala en la máquina, permitiendo a los atacantes acceder al teclado, la cámara y el micrófono de la víctima.

Es posible que este ataque haya sido dirigido a algún desarrollador en específico, pero el hecho de que el foco del ataque sean desarrolladores, indica la intención de comprometer uno de los primeros eslabones de la cadena de producción de software, siendo sus víctimas de gran valor para conseguir sus objetivos.

Es importante auditar el software en su totalidad, incluyendo componentes externos.

Fuente: https://thehackernews.com/2021/03/hackers-infecting-apple-app-developers.html

Esta semana en ciberseguridad

Falla crítica de seguridad en plataforma Big-IP de F5 permite a atacantes ejecutar código sin autenticación.

La compañía F5 Networks publicó una alerta de seguridad por cuatro vulnerabilidades críticas que impactan a varios de sus productos, y podrían causar problemas, desde denegación de servicio a ejecución de código remoto.

Los parches están relacionados a siete distintas fallas, (CVE-2021-22986 a 22992) y afectan las versiones 11.6 y 12.x o más nuevas, con una ejecución de código remota (CVE-2021-22986) y que también afectan a las versiones 6.x y 7.x de BIG-IQ.

A pesar que F5 indica que no está al tanto de que estas vulnerabilidades han sido explotadas por actores maliciosos, de así serlo, podrían comprometer completamente los sistemas vulnerables.

F5 Networks urge a sus clientes a actualizar los productos BIG-IP y BIG-IQ a sus versiones parchadas lo más pronto posible.

Fuente: https://thehackernews.com/2021/03/critical-pre-auth-rce-flaw-found-in-f5.html

Código PoC para explotar vulnerabilidad reciente en Exchange ha sido publicado.

El código de prueba de concepto para explotar las vulnerabilidades recientemente conocidas en Microsoft Exchange ha sido publicado, por lo que se estima que la cantidad de ataques relacionados pueda aumentar considerablemente.

En un aviso de CISA y el FBI de los Estados Unidos, indican que la vulnerabilidad está siendo activamente explotada por diversos actores nacionales y cibercriminales. Los ataques principalmente han sido apuntados a gobiernos locales, instituciones académicas y otros sectores de negocios, como agricultura, biotecnología, defensa, farmacéutica entre otros, y algunos incluso siendo afectados con ransomware.

Miles de entidades, incluyendo la Autoridad Bancaria Europea, y el Parlamento Noruego, han sido atacados para instalar una puerta trasera basada en Web, llamada China Chopper web shell.

La cadena de fallas ha sido denominada ProxyLogon, permite a un atacante acceder a los servidores Exchange de la víctima, ganando acceso persistente y control sobre la red.

La mejor forma de mitigar estas fallas es instalando los parches que Microsoft ha dispuesto, lo más pronto posible.

Más Info: https://www.praetorian.com/blog/reproducing-proxylogon-exploit/

Fuente: https://thehackernews.com/2021/03/proxylogon-exchange-poc-exploit.html

Apple lanza nuevas versiones de software para resolver vulnerabilidad de ejecución de código remoto CVE-2021-1844.

Una vulnerabilidad descubierta en iOS, macOS, watchOS y Safari permitiría a atacantes remotos ejecutar código arbitrario en dispositivos vulnerables solo visitando un sitio web con contenido malicioso.

Esta vulnerabilidad, descubierta por Clément Lecigne del equipo de análisis de amenazas de Google y Alison Huffman del equipo de investigación de vulnerabilidades en navegadores de Microsoft, causa una corrupción de memoria que puede ser utilizada para ejecutar código, por lo que Apple ha dispuesto una actualización para sus dispositivos corriendo las versiones afectadas, iOS 14.4, macOS Big Sur y watchOS 7.3.1, así como una actualización a Safari en macOS Catalina y Mojave.

Apple sugiere actualizar a las versiones parchadas lo más pronto posible.

Fuente: https://thehackernews.com/2021/03/apple-issues-patch-for-remote-hacking.html

Esta Semana en ciberseguridad

Cuatro parches de emergencia lanzados por Microsoft para combatir vulnerabilidades 0-day en Exchange

Una colección de vulnerabilidades desconocidas ha salido a la luz, luego que Microsoft informara que atacantes, presuntamente asociados con el gobierno Chino, han estado utilizándolos en diversos ataques, principalmente con el objetivo de robar información, siendo grupo denominado “Hafnium”.

Microsoft insiste a todos sus clientes en instalar estos parches rápidamente, ya que, según comenta Tom Burt, Vicepresidente de Seguridad y Confianza en Microsoft, “a pesar de haber trabajado rápidamente para parchar estas vulnerabilidades, sabemos que muchos actores estatales y grupos criminales tomarán rápidamente ventaja de cualquier sistema vulnerable”

Microsoft no identificó a las víctimas, pero aseguró que eran negocios que utilizan sistemas Exchange instalados en sus propias oficinas

Las vulnerabilidades son las siguientes:

  • CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permitía a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
  • CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura ocurre cuando un programa deserializa datos que no son de confianza y controlables por el usuario. La explotación de esta vulnerabilidad le dio a Hafnium la capacidad de ejecutar código como Usuario de Sistema en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
  • CVE-2021-26858, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, entonces podría usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. El grupo podría autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021-27065, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse aprovechando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.

Este miércoles la agencia CISA de Ciberseguridad e Infraestructura de los Estados Unidos, ordenó a todas las agencias federales a investigar, parchar o desconectar los sistemas relacionados a esta falla debido a la seriedad del problema.

Más detalles se encuentran disponibles en
(1) https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ y
(2) https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Fuente: https://arstechnica.com/information-technology/2021/03/microsoft-issues-emergency-patches-for-4-exploited-0days-in-exchange/

Vulnerabilidades descubiertas en el Kernel de Linux permiten escalar privilegios localmente

Cinco nuevas vulnerabilidades han sido descubiertas en el Kernel de Linux, conocidas como CVE2021-26708, y tienen una calificación CVSS de 7.0, consideradas como de riesgo alto.

Estos problemas fueron encontrados desde la versión 5.5 de Noviembre de 2019, y tienen relación con el soporte “Virtual Socket Multi-transport”. Los drivers vulnerables CONFIG_VSOCKETS y CONFIG_VIRTIO_VSOCKETS son incluidos por defecto en la mayoria de las distribuciones dominantes de GNU/Linux, y es posible que un usuario sin privilegios cargue estos módulos.

Alexander Popov, investigador de seguridad, comenta que “desarrolló un prototipo de escala local de privilegios en un servidor Fedora 33., saltando las protecciones de la plataforma x86_64 como SMEP y SMAP”.

Popov preparó los parches y divulgó responsablemente las vulnerabilidades al equipo de seguridad del kernel de Linux. El parche está disponible desde la versión 5.11-rc7 y ha sido incluido hacia atrás en todas las versiones estables.

Fuente: https://www.helpnetsecurity.com/2021/03/03/cve-2021-26708/?web_view=true

Esta semana en ciberseguridad

Ataque Ransomware a CD Projekt interrumpe el trabajo, posponiendo actualizaciones al juego Cyberpunk 2077

La compañía polaca CD Projekt SA, culpa del lento progreso que han logrado al reciente ataque del que fueron víctimas.

CD Projekt dijo que se ha rehusado a pagar la recompensa solicitada por los atacantes, y ha “cortado acceso a la red interna desde internet”

Debido a este ataque, que fue informado el 9 de Febrero, la mayoría de los empleados se han encontrado impedidos de acceder a sus estaciones de trabajo por más de 2 semanas.

Luego de un tormentoso lanzamiento de Cyberpunk 2077 en Diciembre, CD Projekt había anunciado los planes de lanzar diversas mejoras al juego este mes intentando redimir los las críticas y problemas a en su inicio, pero la compañia informó en un tweet que debido a las complicaciones generadas por el ataque esto lamentablemente no podrá ocurrir, anunciando que apuntan a la segunda mitad de Marzo para ello.

A pesar de que los empleados han tenido vacaciones inesperadas después de un largo periodo de trabajo, este ataque podría ser un dolor de cabeza para ellos, ya que los atacantes posiblemente accedieron a datos personales, incluyendo números de identificación y pasaportes, por lo que la compañía sugirió que bloqueen sus tarjetas y reporten el ataque a quien sea relevante

REFERENCIA: https://www.bloomberg.com/news/articles/2021-02-24/cd-projekt-hack-severely-disrupts-work-on-cyberpunk-game-updates

Más de 6700 servidores VMware expuestos y vulnerables a nuevo bug

Una nueva vulnerabilidad, afectando a VMware vSphere, ha sido publicada el día 24 de Febrero. Esta falla permite ejecutar código remotamente en el plugin vCenter Server, permitiendo a un atacante malicioso con acceso al puerto 443 ejecutar comandos privilegiados en el sistema operativo que sirve vCenter Server.

Esta vulnerabilidad afecta a VMware vCenter (versiones 7.x previas a 7.0 U1c, 6.7 previas a 6.7 U3l y 6.5 previas a 6.5 U3n) y VMware Cloud Foundation (versiones 4.x previas a 4.2 y 3.x previas a 3.10.1.2).

Luego que un investigador de seguridad chino publicara código de la prueba de concepto de este ataque en su blog, se han detectado escaneos masivos a servidores VMWare, con la intención de encontrar servicios potencialmente vulnerables y tomar control de ellos.

Esta vulnerabilidad es conocida como CVE-2021-21972, y se considera altamente crítica, por lo que es importante actualizar sus instalaciones VMware usando los parches oficiales del fabricante

REFERENCIA:
(1) https://www.vmware.com/security/advisories/VMSA-2021-0002.html
(2) https://www.tenable.com/cve/CVE-2021-21972
(3) https://swarm.ptsecurity.com/unauth-rce-vmware/
(4) https://www.zdnet.com/article/more-than-6700-vmware-servers-exposed-online-and-vulnerable-to-major-new-bug/

Extensión maliciosa de Firefox permite a atacantes acceder a cuentas Gmail

Un nuevo ataque descubierto permite tomar control de las cuentas Gmail de las víctimas, usando una extensión maliciosa para Firefox llamada FriarFox.

Investigadores indican que esta campaña, observada durante los primeros meses de este año, ha apuntado a organizaciones Tibetanas, y está ligado a TA413, uno de los APT del estado Chino, sigla en inglés para “Amenazas Avanzadas y Persistentes”.

La extensión simula ser una actualización de Flash Player, software obsoleto desde fin de 2020, para persistir en el navegador de la víctima, y permite a los atacantes buscar, leer, eliminar y reenviar mensajes de Gmail, así como recibir notificaciones y enviar correos. El malware se ha distribuido principalmente usando correos tipo Phishing.

REFERENCIA: https://www.proofpoint.com/us/blog/threat-insight/ta413-leverages-new-friarfox-browser-extension-target-gmail-accounts-global