Múltiples vulnerabilidades en Samsung SmartThings Hub
El equipo de Cisco Talos ha descubierto múltiples vulnerabilidades que podrían permitir hacerse con el control total del Hub y actuar sobre interruptores, cerraduras, termostatos, cámaras y cualquier otro dispositivo conectado a éste.
Desbordamientos de buffer y otros errores a la hora de gestionar la memoria en el componente ‘video-core’ de SmartThings Hub podrían permitir la ejecución de código arbitrario (CVE-2018-3863 a CVE-2018-3866, CVE-2018-3872, CVE-2018-3878, CVE-2018-3880, CVE-2018-3897, CVE-2018-3902 a CVE-2018-3906, CVE-2018-3912 a CVE-2018-3917, CVE-2018-3919, CVE-2018-3925).
Una falta de comprobación en el parámetro ‘camera-password’ de la configuración del componente ‘video-core’ podría permitir a un atacante remoto ejecutar comandos arbitrarios en el sistema (CVE-2018-3856).
Otra vulnerabilidad en el componente ‘video-core’ podría permitir la inyección de comandos SQL a través del módulo ‘credentials’, al no sanear correctamente el JSON enviado en las peticiones POST del usuario a ‘/credentials’ (CVE-2018-3879).
Múltiples vulnerabilidades a la hora de procesar peticiones HTTP segmentadas permitirían a un atacante manipular las peticiones HTTP e insertar datos maliciosos en el servidor HTTP del componente ‘video-core’ (CVE-2018-3907, CVE-2018-3908, CVE-2018-3909).
El componente ‘hubCore Port 39500’ presenta una vulnerabilidad de inyección de cabeceras HTTP que podría ser explotada y combinada con otras vulnerabilidades presentes en el dispositivo para ejecutar código arbitrario (CVE-2018-3911).
Por último, un error en el controlador de excepciones del componente ‘hubCore‘ permitiría a un atacante interceptar los volcados con información de debug que el componente envía al servicio de ‘backtrace.io‘ para su posterior análisis (CVE-2018-3927).
Se recomienda actualizar actualizar inmediatamente el firmware a la última versión disponible.
https://blog.talosintelligence.com/2018/07/samsung-smartthings-vulns.html
Cómo un Open Redirect puede usarse para robar credenciales en la app en Electron de Hangouts
Hangouts, la app de mensajería de Google, ha sido comprometida en su versión de escritorio por una vulnerabilidad de tipo Open Redirect, sumado a un error en la forma en que se abren los enlaces
Electron se ha convertido estos últimos años en una alternativa económica y sencilla de construir apps multiplataforma para escritorio. En vez de invertir recursos y dinero en crear aplicaciones nativas, es posible crear aplicaciones web que se ejecutarán en su propio navegador, sin la barra de direcciones. Esta propiedad de Electron, impide al usuario conocer qué sitio web se está visualizando, lo que puede aprovecharse para redirigir a un sitio de phishing sin que se dé cuenta.
La app de Hangouts para escritorio, que hace uso de Electron, soluciona en parte este problema abriendo con el navegador del sistema los enlaces externos a la aplicación web que ejecuta (https://chat.google.com). El analista Michal Bentkowski investigó este hecho en su blog, descubriendo que la aplicación sigue los enlaces de redirección, y que podría emplearse para redirigir a un phishing. Haciendo uso de un Open Redirect conocido en https://accounts.google.com/ServiceLogin?continue= (que también está presente en chat.google.com), es posible redirigir al usuario a un sitio arbitrario, como una página falsa de login de Google, tal y como puede comprobarse en esta url de demostración:
Vulnerability in Hangouts Chat a.k.a. how Electron makes open redirect great again:
Google Open URL Redirection :
https://vagmour.eu/google-open-url-redirection/
Ejecución remota de código en aplicaciones Electron:
https://unaaldia.hispasec.com/2018/01/ejecucion-remota-de-codigo-en.html
Ejecución remota de código en el editor Atom:
https://unaaldia.hispasec.com/2017/11/ejecucion-remota-de-codigo-en-el-editor.html
Por noreply@blogger.com (Nekmo)
Chrome dice que mi sitio no es seguro ¿Qué hago?
Hoy es el día elegido (no os quejéis, podrían haber escogido un viernes) para que el navegador Google Chrome comience a marcar los sitios que no posean un certificado como «No seguro». De momento es un mensaje adosado al nombre del dominio visitado, en gris. No salta a la vista, es algo discreto y con las prisas con las que vivimos hoy día no parece que a muchos les vaya a molestar…hasta que en octubre de este mismo año, ese mismo mensaje, se cabree y se torne de color rojo chillón…Ya lo contaba nuestro compañero Carlos ‘Maestro‘ Ledesma en otra UAD.
Casi es seguro, el resto de navegadores menos uno seguirá la estela marcada por Chrome. Con el tiempo añadirán el mismo mensaje o similar. Así que toca extender un certificado y configurar adecuadamente el cifrado del servidor para que ese mensaje desaparezca cuando nuestros visitantes entren en nuestros dominios. Pero no queremos que esa sea la motivación principal. Existe otra (y muchas más) importantes por las que ya deberías estar ofreciendo cifrado incondicional en todos y cada uno de tus sitios. Además vamos a derribar unos cuantos mitos acerca de los costes y complejidades inherentes a su despliegue.
1.- Respeta la privacidad de tus clientes o visitantes
Las conexiones cifradas no son un adorno ni están ahí para que «salga el candadito». Están para que otros no capturen y lean el tráfico que se produce entre cliente y servidor. Es posible que creas que ese tráfico «no es importante», pero en muchos contextos sí que lo es e importa mucho. Incluso si tu sitio es presencial y no existen formularios o campos de búsqueda, la propia traza de visitas de URLs del sitio ya permite crearse un perfil de la persona afectada por no cifrar las comunicaciones.
2.- Da autenticidad a tu dominio
Sin un certificado debidamente extendido un visitante no sabría diferenciarlo de un sitio falsificado. Visitar un dominio no implica que sea el sitio correcto, tanto con un ataque de envenenamiento de la caché DNS como con un ataque sobre rutas BGP nos permite falsificar un sitio si este no posee un certificado adecuado.
3.- Es gratis
Muchas personas y organizaciones piensan que extender un certificado es caro y un gasto innecesario (o simplemente, no dan importancia a los motivos del punto 1). No solo no es caro, es gratis. Iniciativas como Let’s Encrypts nos permiten poseer un certificado libre de costes directos. No hay excusas si habías mirado la inversión en certificados como un gasto inútil. Es gratis. 0 euros. Nada.
4.- Es sencillo
No tengo/No voy a dedicar personal/tiempo para una tarea así. A veces no es cuestión de dineros sino de tiempo o no tener el personal adecuado para extender e instalar un certificado. En realidad es una tarea sencilla, no es compleja. Elige el certificado adecuado (recuerda, Let’s Encrypts…es gratis!), lo obtienes, sigues los pasos indicados por el emisor (todos tienen una guía, por ejemplo), reinicias el servidor y a funcionar.
5.- Mejora tu imagen
A ver. ¿Cómo va a ser lo mismo una conexión plana, ahí, sin candado ni verde y con un mensaje de «No seguro» que una conexión cifrada con un buen candadazo TLS 1.3? Eso dice mucho. Da fuerza, vigor y sienta principios: «Esto es seguro, bueno (toc, toc) y de confianza». Aunque no lo hagas por la privacidad, te salga gratis y te lo instale un amigo con conocimientos informáticos al que invitarás a una paella a cambio, al menos piensa que va a reforzar tu imagen.
Desbloquea un logro más:
6.- HSTS o mata tus conexiones inseguras
No es suficiente con el certificado y las conexiones bien configuradas, que eso es otro menester. Mientras no configuremos nuestros servidores para que les diga al navegador de nuestros clientes que no usen conexiones inseguras cuando nos visiten, todo esto podría no servir de mucho.
Aunque dispongamos de lo anterior, los ataques de hombre en el medio suelen usar herramientas del tipo ssltrip, donde se puentea la conexión segura hacia una insegura. Sin embargo, si el navegador visitó antes de ese ataque nuestro sitio y recibió la cabecera HSTS entonces optará por no establecer una conexión plana (no cifrada) y cortará las comunicaciones que se dirijan a nuestro dominio. ¿Sencillo verdad?.
HSTS (https strict transport security) no es para nada difícil de implementar. Hay miles de guías para ello. Una sola cabecera http puede proteger a tus clientes y visitantes de ataques de hombre en el medio de forma bastante sencilla y eficaz.
Google dará el tiro de gracia a los sitios HTTP en 10 días:
Más de 18.000 routers Huawei comprometidos en un día por una nueva botnet
Investigadores de NewSky Security descubren una botnet que ha infectado a más de 18.000 routers Huawei en tan solo un día.
La vulnerabilidad permitiría a un atacante remoto autenticado ejecutar código arbitrarioenviando paquetes especialmente manipulados al puerto 37215.
Pese a que los fabricantes publican los parches, es responsabilidad de los usuarios su aplicación, lo que refleja todavía una gran falta de concienciación en materia de seguridad.
ZombieBoy, nuevo malware de minado de criptomonedas
ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.
ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: «ZombieBoyTools». Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima.
Captura de la herramienta ZombieBoyTools. Fuente: www.alienvault.com |
Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario «123.exe» desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware:
«64.exe», además de estar encriptado con el packet «Themida» implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza «WinEggDrop» un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente «64.exe» utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:
- 42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
- 49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ
El otro componente descargado tiene el nombre de «74.exe». Se encarga de descargar y ejecutar la DLL «NetSyst96.dll», heredada del RAT «Gh0stRat», permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.
«84.exe» es otro de los módulos droppeados por «123.exe». Al igual que «74.exe» es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.
Flujo de actividad. Fuente: www.alienvault.com |
Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:
- 123.exe
- 64.exe
- 74.exe
- 84.exe
- CPUinfo.exe
- N.exe
- S.exe
- Svchost.exe (OJO, siempre que no provenga de C:\Windows\System32)
Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.
Entradas de registro maliciosas:
- SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
- SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
- C:\%WindowsDirectory%\sys.exe
- C:\windows\%system%\boy.exe
- C:\windows\IIS\cpuinfo.exe
- C:\Program Files(x86)\svchost.exe
- C:\Program Files\AppPatch\mysqld.dll
- C:\Program Files(x86)\StormII\mssta.exe
- C:\Program Files(x86)\StormII\*
- C:\Archivos de programa (x86)\svchost.exe
- C:\Archivos de programa\AppPatch\mysqld.dll
- C:\Archivos de programa (x86)\StormII\mssta.exe
- C:\Archivos de programa (x86)\StormII\*
fsalido@hispasec.com
Actualizaciones para múltiples productos Apple
Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, e iTunes e iCloud para Windows. Entre todos los productos se corrigen 109 fallos de seguridad.
Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.
El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 11.4.1, resuelve 22 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Wi-Fi’, ‘Emoji’, el kernel y ‘WebKit’ entre otros. Uno de los fallos permitiría a una web maliciosa suplantar la URL mostrada para hacer creer a los usuarios que se encuentran en un sitio web legítimo (CVE-2018-4277, también presente en macOS, watchOS y tvOs).
macOS High Sierra 10.13.6 y los Security Update 2018-004 para Sierra y El Capitán. En este caso se solucionan 11 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘APFS’, ‘ATS’, ‘IOGraphics’, ‘CFNetwork’, ‘CoreCrypto’ y el kernel. Tres de estas vulnerabilidades podrían permitir elevar privilegios (CVE-2018-4280 y CVE-2018-4285) y/o ejecutar código arbitrario con privilegios de ‘kernel’ (CVE-2018-4268).
Safari 11.1.2 cuenta con otro boletín que soluciona 16 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. También varios de los errores corregidos permitirían que una web maliciosa suplantase la URL mostrada al usuarios para hacerle creer que se encuentran en un sitio web legítimo(CVE-2018-4260, CVE-2018-4274 y CVE-2018-4279).
El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 4.3.2, soluciona 14 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario(CVE-2018-4262, CVE-2018-4264, CVE-2018-4272 y CVE-2018-4284) y la elevación de privilegios (CVE-2018-4280).
tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 11.4.1, donde se corrigen 18 vulnerabilidades en múltiples componentes. Ocho de ellas podrían permitir la ejecución remota de código (del CVE-2018-4261 al CVE-2018-4265, CVE-2018-4267, CVE-2018-4272, CVE-2018-4284) y otra elevar privilegios en el sistema (CVE-2018-4280).
https://support.apple.com/kb/HT208938
https://support.apple.com/kb/HT208937
https://support.apple.com/kb/HT208934
https://support.apple.com/kb/HT208935
https://support.apple.com/kb/HT208936
https://support.apple.com/kb/HT208933
Google dará el tiro de gracia a los sitios HTTP en 10 días
El popular navegador Google Chrome marcará como no seguros los sitios web que sirvan su contenido usando HTTP en vez de su versión autenticada y cifrada HTTPS, como parte del esfuerzo de Google de hacer Internet más seguro
A poco que te muevas por Internet, si usas Google Chrome para navegar es bastante posible que éste te haya avisado de que cierto sitio no era seguro. A veces porque el responsable de la web olvidó actualizar el certificado HTTPS (tienen caducidad), otras veces porque la página web envía sin cifrar contraseñas o información de tarjetas de créditos… La cuestión es que te salta un aviso, a veces bastante difícil de esquivar, informándote de que la página no es segura.
Como ya muchos sabréis, HTTP es el protocolo clásico para servir páginas web (que son principalmente contenido HTML) en Internet. El problema de HTTP es que no permite saber si efectivamente quien sirve la web es quien dice ser, y que la información viaja sin cifrar entre el navegador y el servidor. Esto es un problema, ya que permite a un atacante situado entre el navegador y el servidor espiar y modificar el tráfico, entre otros escenarios.
Hace un par de años Google anunció que en enero de 2017 iba a empezar a marcar como no seguros los sitios HTTP que manejase contraseñas e información de tarjetas de crédito. Este fue el primer paso dado por Google hacia un objetivo final: marcar todas las páginas HTTP como no seguras. Las estadísticas que dieron en febrero de este año avalan esta decisión: más de dos tercios del tráfico que pasa por las versiones de Android y Windowsestá protegido, así como más de tres cuartos del de Chrome OS y Mac. También afirman que 81 de los 100 sitios en el top 100 usan HTTPS por defecto.
Para los usuarios, esto no tiene más que ventajas, pero ¿qué pasa con los responsables de las webs? Ya sabemos que la seguridad no suele ser cómoda y que una medida de seguridad es una configuración más, pero hoy en día hay miles de tutoriales para ello, y muchos servicios de creación de páginas web incluyen la opción de activarlo con un solo click. Y si no cuentas con el apoyo de una plataforma, al menos te queda el consuelo de que con iniciativas como Let’s Encrypt te sale gratis.
Amigo webmaster, ya no te quedan excusas.
Más información:
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.htmlHTTPS or bust: Chrome’s plan to label sites as «Not Secure»
https://blog.cloudflare.com/https-or-bust-chromes-plan-to-label-sites-as-not-secure
Golden Cup: el malware espía que aprovecha el Mundial para robar tu información
A lo largo de este año las Fuerzas de Defensa de Israel han sido el objetivo de diferentes campañas de malware espía: familias como «GlanceLove» o «WinkChat» utilizaban técnicas de ingeniería social para sustraer todo tipo de información de los soldados. El pasado 3 de julio, el equipo de ClearSky informaba de una nueva familia de malware para Android dirigida a ciudadanos israelíes.
Una vez instalada la aplicación se establecía la comunicación con el C&C utilizando el protocolo de transporte MQTT a través del puerto 1883.
A partir de ahora el malware puede recibir órdenes del servidor de C&C y actualizar el estado del dispositivo.
https://www.clearskysec.com/glancelove/
Vulnerabilidades críticas en Thunderbird 52.9
Mozilla Fundation Security ha corregido varias vulnerabilidades críticas que afectan a Thunderbird 52.9
Más información:
Security vulnerabilities fixed in Thunderbird 52.9 – Mozilla
https://www.mozilla.org/en-US/security/advisories/mfsa2018-18/#CVE-2018-12364
Stylish: La extensión del navegador que se queda con lo que visitas
Una extensión para los navegadores Google Chrome y Mozilla Firefox dedicada a modificar la apariencia de las webs, conocida como Stylish, se dedicaba a mandar lo visitado por el usuario a servidores de SimilarWeb, la empresa detrás de ésta
«De buen gusto», dice la página de diccionarios en línea WordReference.com que significa «stylish«, entre otras acepciones. La verdad es que de buen gusto no se puede decir que haya sido lo que ha hecho SimilarWeb, la empresa detrás de esta famosa extensión. Y no decimos «famosa» como manida coletilla periodística, estamos hablando de la que ha sido la extensión de referencia con su funcionalidad: permitir especificar hojas de estilo personalizadas para modificar la apariencia de una web. Los datos: cerca de dos millones de usuarios en Google Chrome, y casi trescientos mil en Mozilla Firefox. Datos extraídos gracias a la caché de Google, ya que ambas versiones han desaparecido de las páginas de Chrome y Firefox.
La mecánica del espionaje es sencilla: Este tipo de extensiones necesitan acceder a la URLdel navegador para saber si está en una página a la que debe aplicar una hoja de estilos personalizada. Y ya que accedes a la URL, pues te la quedas y la envías a tus servidores, que hay empresas que compran el historial de visitas de la gente… ¿Qué hay de malo en ésto? Bueno, éstas empresas estudian los hábitos de navegación de la gente, y de las peores cosas que pueden hacer dentro de la legalidad es venderle a otra empresa que a una persona en concreto le gustan los nomos de jardín. Así, esa última empresa como anunciante en Internet te puede bombardear con publicidad sobre unos nomos chulísimos cada vez que pases por una página que contiene anuncios gestionados por esa empresa.
En realidad, que Stylish se dedicase a esos menesteres no es una novedad. Cuando fue comprado a un desarrollador independiente por SimilarWeb en enero de 2017, ésta anunció que iba a recopilar ciertos datos «anónimos» sobre los usuarios. De hecho, ese mismo mes se publicó un artículo avisando de este cambio en la política de privacidad, donde se comentaba que efectivamente se obtenía información sobre los sitios que se visitaban. Lo que pasa es que a veces es necesario escribir un artículo incendiariocomo el de Robert Heaton, con capturas de pantalla donde se ve claramente cómo mandan esa información a los servidores de SimilarWeb:
Extraída de robertheaton.com |
Como ya comentábamos en otra Una-al-día, existen distintos tipos de datos personales, y los que probablemente recopila SimilarWeb son datos personales despersonalizados. Es decir, datos personales que conforman un perfil, pero que no se asocian directamente a una persona. El problema es que es demasiado fácil, a pesar de recopilarlos sin identificar a la persona en concreto, terminar vinculándolos a una. Y es que como dice Robert Heaton en su artículo, si saben que alguien está visitando https://www.linkedin.com/in/<NOMBRE_DE_USUARIO>/edit/ (página visitada por un usuario para modificar su perfil), ¿quién podrá ser ese usuario? Guiño, guiño.
En definitiva, se dice que «si un servicio es gratis, el producto eres tú», y este es otro caso más. Otra de las acepciones de «stylish» según WordReference.com es «a la moda«, que también hace justicia al concepto recopilar datos personales para luego venderlos: está de moda. Y lo que nos queda.
https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/
Major Stylish add-on changes in regards to privacy
https://www.ghacks.net/2017/01/04/major-stylish-add-on-changes-in-regards-to-privacy/
Nuevos ataques contra el protocolo de red LTE (4G) y posible afección a 5G
El protocolo Long Term Evolution (LTE) más conocido como 4G es vulnerable a la interceptación y/o modificación de la comunicación de forma remota
Fuente: https://thehackernews.com/2018/06/4g-lte-network-hacking.html |
Muchas compañías de comunicación implementan el protocolo LTE o, como se conoce normalmente, 4G, presente en la mayoría de dispositivos móviles. Las tecnologías provenientes de esta familia (3G, 4G, 5G) se gestan para proveer de mayor seguridad (entre otras cosas más) al antiguo protocolo GSM.
Un equipo de investigadores ha descubierto una vulnerabilidad en el protocolo que podría permitir a los atacantes espiar las comunicaciones que usan el mismo, pudiendo modificar el contenido e incluso redirigirlas a sitios web maliciosos.
Los investigadores han desarrollado tres nuevas técnicas contra esta tecnología que les permiten obtener la identidad de los usuarios, los sitos web visitados y redirigirlos a sitios web maliciosos a través de la suplantación DNS.
Podemos catalogar estas técnicas como «ataques pasivos» y «ataques activos». Interceptar la comunicación y la visualización de los sitios web visitados pertenecen a ataques pasivos. Por otro lado tenemos el ataque de suplantación de DNS conocido como «aLTEr» que permite a un atacante realizar un «MiTM» para interceptar las comunicaciones y redirigir a la víctima al sitio web malicioso utilizando «DNS Spoofing».
El futuro 5G
Las futuras redes 5G también se puede ver afectadas. Si bien es cierto que 5G admite el cifrado autenticado esta función no es obligatoria, lo que nos hace pensar que la mayoría de las compañías no tendrán intención de implementarla.
Para protegerse como usuario de estos ataques solo se ha recomendado usar «HTTPS». El peso de la protección contra esta vulnerabilidad depende de las operadoras, que podrían solucionarlo actualizando su especificación de LTE (4G) para que use un protocolo de cifrado y autenticación como AES-GCM o ChaCha20-Poly1205. Sin embargo esto conlleva que las operadoras hagan un esfuerzo financiero y organizativo.
El equipo de investigadores ha liberado un PDF con los detalles técnicos del ataque, disponible en el apartado «Más información«.
La distribución de Linux Gentoo sufre un ataque en su cuenta principal de GitHub
Atacantes desconocidos comprometen durante unas horas la cuenta de GitHub de Gentoo utilizada como reserva de código fuente perteneciente al sistema de paquetería de la distribución
Ocho horas, desde las 20:20 (UTC) del 28 de junio hasta las 04:26 del día siguiente. Esta fue la ventana de tiempo que tuvieron los atacantes para introducir código malicioso en la cuenta de GitHub. Código malicioso que tenía como objetivo borrar todos los archivos del sistema donde se ejecutase, a través de archivos usados por el sistema de paquetería. Los archivos modificados para contener código malicioso son los llamados «ebuilds», que no son más que archivos de texto con información sobre una pieza de software concreta, especificando el nombre, el autor, cómo se debe construir el software a partir del código fuente y otras librerías…
Por suerte, la repercusión final del ataque es bastante limitada. Lo primero que pone freno a la efectividad del ataque es que el código malicioso no funciona tal y como está, probablemente por un fallo en la programación por parte de los atacantes. Y lo segundo es que la cuenta de GitHubcomprometida se usa como espejo, y no es la infraestructura principal usada por defecto por el sistema de paquetería. La principal está en servidores controlados directamente por la organización de Gentoo.
Otra medida de protección que se puede deducir del comunicado oficial de Gentoo es la verificación de los commits (unidades de actualización de código usadas en repositorios de código como Git). Cada vez que un desarrollador de Gentoo sube código al repositorio a través de un commit, ese commit va firmado por él, y el comunicado da a entender que los commitsconteniendo código malicioso no venían firmados por desarrolladores de Gentoo.
Saber si estás afectado es bastante simple: si has usado esa cuenta de GitHub en los últimos días, es probable que hayas descargado código malicioso. Pero según comentaban, el código no funcionaba. Así que bastaría con sincronizar usando la infraestructura principal en vez de la cuenta de GitHub, para que los paquetes con ebuilds modificados para incluir código malicioso se sobreescriban con versiones buenas, y posteriormente poder reinstalar los paquetes instalados en los últimos días.
@Ravenons
https://www.gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html
Comments are closed.