Actualización para Adobe Flash soluciona un 0-day
Adobe ha publicado un boletín de seguridad para Adobe Flash Player, que en esta ocasión soluciona un ‘0-day’ y otras 3 vulnerabilidades que afectan al popular reproductor
Adobe ha publicado un boletín de seguridad (APSB18-19) que corrige cuatro vulnerabilidades en su reproductor Flash Player para Windows, macOS, Linux y Chrome OS. Dos de estas vulnerabilidades son de carácter crítico (una de ellas un ‘0-day’) y las dos restantes están clasificadas como importantes.
Según sus identificadores CVE, los errores de seguridad son los siguientes:
* CVE-2018-4945: un error de confusión de tipos que podría permitir la ejecución de código arbitrario en el contexto del usuario. Este fallo de seguridad ha sido descubierto por Jihui Lu de Tencent KeenLab y willJ de Tencent PC Manager trabajando junto a Trend Micro’s Zero Day Initiative.
* CVE-2018-5000: un desbordamiento de enteros que permitiría la revelación de información. Ha sido reportada anónimamente a través de Trend Micro’s Zero Day Initiative.
* CVE-2018-5001: una lectura fuera de límites que también permitiría revelar información. Ha sido reportada anónimamente vía Trend Micro’s Zero Day Initiative.
* CVE-2018-5002: un desbordamiento de memoria que permitiría ejecutar código arbitrario. Esta vulnerabilidad ha sido descubierta de manera independiente por Chenming Xu y Jason Jones de ICEBRG, Bai Haowen, Zeng Haitao y Huang Chaowen de 360 Threat Intelligence Center (360 Enterprise Security Group), y Yang Kang, Hu Jiang, Zhang Qing, y Jin Quan de Qihoo 360 Core Security.
Existe un exploit ‘0-day’ para esta última vulnerabilidad (CVE-2018-5002) que está siendo explotada,y se tiene constancia de su utilización en ataques dirigidos contra usuarios de Windows en Oriente Medio. Estos ataques aprovechan documentos de Office con contenido incrustado malicioso de Flash Player distribuido por correo electrónico, con nombres como ‘***salary.xlsx’ para llamar la atención del usuario.
Las vulnerabilidades afectan a las versiones de Adobe Flash Player 29.0.0.171 (y anteriores) para Windows, macOS, Linux, y los navegadores Google Chrome, Internet Explorer y Edge.
Adobe ha publicado la versión 30.0.0.113 de Adobe Flash Player destinada a solucionar las vulnerabilidades anteriormente expuestas, y se encuentran disponibles para su descarga desde la página oficial.
Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows, macOS y Linux actualizar a través del sistema de actualización del propio producto o desde ‘Adobe Flash Player Download Center’.
https://helpx.adobe.com/security/products/flash-player/apsb18-19.html
https://get.adobe.com/flashplayer/
Vulnerabilidad en Git permite la ejecución de código arbitrario a través de submodulos
Entre los dos fallos corregidos en la última iteración del popular sistema de control de versiones, uno permite la ejecución de código arbitrario a través del clonado recusivo de un repositorio.
El pasado día 29 el equipo de desarrollo de Git lanzaba una nueva versión que corrige dos vulnerabilidades. La primera, con identificador CVE-2018-11233, trata un fallo en las pruebas de validez de rutas en sistemas NTFS que permite leer zonas de memoria aleatorias.
La segunda (CVE-2018-11235) es la que llama especialmente la atención. A través de un fichero .gitmodules especialmente manipulado es posible ejecutar código arbitrario en la maquina que esté clonando un repositorio junto a sus submódulos.
En Git, el proceso de descarga inicial de un repositorio se denomina clonado. Durante este proceso, cierta información no se incluye en la copia local del repositorio. Un ejemplo son los hooks (scripts que se ejecutan al realizarse acciones concretas). Estos son definidos en la versión local de cada usuario, evitando por ejemplo que un repositorio recién clonado ejecute comandos en el equipo del usuario.
Por otro lado, tenemos los submdulos. Estos son utilizados para incluir repositorios de otros proyectos dentro de otro que los requiere. Cuando se clona un repositorio, se pueden clonar sus submódulos automáticamente usando el comando ‘git clone –recurse-submodules‘.
El comportamiento normal de este comando es clonar tanto el repositorio padre como su submódulo, dejando hooks y otras configuraciones fuera de la versión local de ambos. Pero en esta vulnerabilidad se presenta una forma de evitarlo. Primero, se define un submódulo dentro de un repositorio padre, pero además se incluye el código y la configuración del submódulo. De esta forma nos saltamos el proceso de clonado del submódulo (el código ya existe en nuestra versión local) y permitimos a los hooks viajar dentro del repositorio descargado.
Una vez con la definición de los hooks en la máquina del usuario, solo necesitamos que se apunten a ellos para ejecutarlos. Desgraciadamente, existe un error en la validación del parámetro ‘name‘ en la configuración de Git que permite definir dónde residen los hooks que son ejecutados. Se podría definir, por ejemplo, que se ejecutaran los hooks que residen en ‘../submodulo/.git/‘. De esta forma, un atacante remoto podría crear un repositorio especialmente manipulado y ejecutar código arbitrario en nuestro sistema a través de un repositorio Git malicioso.
La vulnerabilidad, que ha sido descubierta por Etienne Stalmans, ya ha sido solucionada en las versiones v2.17.1, v2.13.7, v2.14.4, v2.15.2 y v2.16.4 de Git. Sin embargo, dada la gran cantidad de sistemas que usan Git como base, aun queda trabajo por delante. Por ejemplo, en Kubernetes esta vulnerabilidad permitiría obtener permisos de superusuario en un nodo usando volumenes GitRepo.
Git v2.17.1 Release Notes:
https://marc.info/?l=git&m=152761328506724&w=2
Remediating the May 2018 Git Security Vulnerability:
Elevación de privilegios en VMware Horizon Client
Detectada una vulnerabilidad crítica en el producto Horizon Client del fabricante VMware que permite a un atacante realizar una elevación de privilegios.
VMware Horizon ofrece una infraestructura de escritorios virtuales (VDI). Es este caso el cliente de conexión de Horizon permite a los usuarios conectarse a su escritorio virtual desde múltiples dispositivos.
VMware Horizon Client contiene una vulnerabilidad debida a un uso inseguro del permiso SUID en el binario correspondiente, que permitiría a un usuario sin privilegios escalar a root en máquinas donde se encuentran instaladas versiones vulnerables de este producto.
Mitre.org le ha asignado el identificador CVE-2018-6964 a esta vulnerabilidad.
Productos afectados:
VMware Horizon Cliente 4.x y versiones anteriores
Actualizando a la versión 4.8.0 se elimina esta vulnerabilidad. Se recomienda actualizar desde el sitio del fabricante:
https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon_clients/4_0
Mas información:
VMware Security Advisories:
https://www.vmware.com/security/advisories/VMSA-2018-0014.html
VMware Horizon Client for Linux contains a local privilege escalation vulnerability:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6964
Vulnerabilidad en componente Apport de Ubuntu – CVE-2018-6552
Apport gestiona incorrectamente los volcados del núcleo cuando faltan ciertos archivos en /proc. Un atacante local podría aprovechar esta vulnerabilidad para causar una denegación de servicios, elevar privilegios o escapar de contenedores.
Apport se encarga recopilar informes de errores para depuración:
- Recopila información sobre fallos que ocurren en el sistema operativo.
- Puede ser invocado automáticamente por excepciones no controladas en otros lenguajes de programación.
- Presenta una interfaz que informa al usuario sobre el problema y le indica cómo proceder.
- Presentar informes de errores no críticos sobre el software, de modo que los desarrolladores obtengan información sobre las versiones del paquete, versión del sistema operativo, etc.
Esta vulnerabilidad se puede aprovechar cuando Apport trata el ‘PID’ del contenedor como el ‘PID’ global cuando ‘/proc/<global_pd>/’ no se encuentra, permitiendo a usuarios locales crear ciertos ficheros como root.
La función ‘is_same_ns()’ devuelve True cuando ‘/proc//’ no existe para indicar que el error se debe manejar en el ‘namespace’ global en lugar de desde dentro de un contenedor. Sin embargo, si se decide reenviar un error a un contenedor, éste no siempre reemplaza ‘sys.argv[1]’ con el valor almacenado en la variable en ‘host_pid’ cuando ‘/proc//’ no existe, por lo que el ‘PID’ utiliza el ‘namespace’ global.
Esta vulnerabilidad afecta a estas versiones de Ubuntu y sus derivados:
- Ubuntu 18.04 LTS
- Ubuntu 17.10
- Ubuntu 16.04 LTS
Se recomienda actualizar el sistema con las siguientes versiones:
Ubuntu 18.04 LTS:
apport – 2.20.9-0ubuntu7.1
Ubuntu 17.10:
apport – 2.20.7-0ubuntu3.9
Ubuntu 16.04 LTS:
apport – 2.20.1-0ubuntu2.18
Más información:
Common Vulnerabilities and Exposures (CVE)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6552
Actualización de múltiples productos Apple
Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, iTunes e iCloud para Windows. Entre todos los productos se corrigen 192 fallos de seguridad
Los boletines publicados con las actualizaciones y problemas solucionados se resumen como sigue:El boletín para iOS 11.4, el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), resuelve 35 vulnerabilidades. Este es el boletín más amplio de todos y los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen ‘Bluetooth‘, ‘Contacts‘, ‘FontParser‘, ‘iBooks‘, el kernel y ‘WebKit‘ entre otros. Los fallos más graves permitirían ejecutar código arbitrario con privilegios de sistemaaprovechando diversos problemas en la gestión de la memoria del kernel (CVE-2018-4241, CVE-2018-4243 y CVE-2018-4249).
macOS High Sierra 10.13.5 y los Security Update 2018-003 para Sierra y El Capitan. En este caso se solucionan 32 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘AMD‘, ‘ATS‘, ‘apache_mod_php‘, ‘Bluetooth‘, ‘Hypervisor‘, ‘Firmware‘ y el kernel entre otros. 10 de estas vulnerabilidades podrían permitir la ejecución de código arbitrario 9 de ellas con privilegios de sistema (CVE-2018-4196, CVE-2018-4242, CVE-2018-4228, CVE-2018-4236, CVE-2018-4234, CVE-2018-8897, CVE-2018-4241, CVE-2018-4243, CVE-2018-4230, CVE-2018-4193). Adicionalmente otras 2 permitirían elevar los privilegios del usuario.
Safari 11.1.1 representa otro boletín que soluciona 13 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador.
El boletín para watchOS 4.3.1, el sistema operativo destinado a los relojes inteligentes Apple Watch, soluciona 20 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario y la elevación de privilegios.
En el sistema operativo de los televisores de la marca, tvOS 11.4, se corrigen 24 vulnerabilidades en múltiples componentes, la mayoría de ellas (10) podrían permitir la ejecución de código arbitrario y otras 2 elevar privilegios en el sistema.
Las versiones iTunes 12.7.5 e iCould 7.5 para Windows incluyen la corrección de 32 vulnerabilidades.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.
https://support.apple.com/es-es/HT208848
Ejecución remota de código en la familia antivirus F-Secure
https://landave.io/2018/06/f-secure-anti-virus-remote-code-execution-via-solid-rar-unpacking/FSC-2018-2: Remote Code Execution in F-Secure Windows Endpoint Protection Products
https://www.f-secure.com/en/web/labs_global/fsc-2018-2
Zip Slip, oportuno rebranding de una vieja vulnerabilidad
Se ha detectado la posibilidad de sobreescribir archivos arbitrarios, que suele permitir ejecutar código arbitrario, en múltiples proyectos software de envergadura
Sobreescritura de archivos arbitrarios al descomprimir un archivo conteniendo nombres de archivo que escalan directorios. Eso es todo. Pero ya sabemos que cualquier cosa vende más con un nombre pegadizo y un logo bonito. En este caso, los responsables de localizar esta vieja vulnerabilidad en múltiples proyectos importantes fueron los componentes del equipo de seguridad de Snyk, una empresa dedicada a encontrar y arreglar vulnerabilidades en dependencias software.
https://snyk.io/research/zip-slip-vulnerability
https://github.com/snyk/zip-slip-vulnerability
Vulnerabilidad CRÍTICA en Chrome: ¡Actualiza ya!
La vulnerabilidad descubierta por Michal Bentkowski fue reportada a finales de Mayo.
Sin dar a conocer ningun detalle técnico, el equipo de seguridad de Chromeha descrito el problema como un manejo incorrecto del encabezado CSP(CVE-2018-6148) en su blog.
Para quien no lo conozca, el encabezado de la Política de Seguridad de Contenido (CSP) permite a los administradores de sitios web añadir una capa adicional de seguridad al permitirles controlar los recursos que el navegador puede cargar.El manejo incorrecto de estos encabezados por el navegador web podría volver a habilitar vulnerabilidades de tipo XSS, Clickjacking o de inyección de código en varias webs que securizaran su sitio con este encabezado.
Para los que no conozcan estos ataques, aquí tenéis algunas UAD escritas sobre ellos:
– XSS: https://unaaldia.hispasec.com/search?q=xss
– Clickjacking: https://unaaldia.hispasec.com/search?q=clickjacking
– Inyección de código: https://unaaldia.hispasec.com/search?q=inyeccion
El parche para esta vulnerabilidad ya ha sido lanzado, por lo que todos los usuarios deben de asegurarse que su sistema está ejecutando la última version actualizada del navegador Chrome.
Perfil de Twitter de Michal Bentkowski:
https://twitter.com/securitymbVulnerabilidad en el blog de Google:
InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia
InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.
Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.
Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.
El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia «secuestrando» una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe‘, ‘explorer.exe‘ o ‘svchost.exe‘. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/InvisiMole?—?Indicators of Compromise
https://github.com/eset/malware-ioc/tree/master/invisimole
Cuidado con Cortana… ¡Podría llegar a desbloquear tu ordenador!
Este asistente IA podría ayudar a los atacantes a desbloquear la contraseña de un sistema objetivo.
Este martes, Microsoft ha lanzado una actualización para corregir una vulnerabilidad que permitía a un usuario malintencionado entrar en un sistema Windows 10 bloqueado y ejecutar comandos maliciosos con privilegios de usuario.
Esta vulnerabilidad de elevación de privilegios, conocida como CVE-2010-8140, existe debido a una mala verificación de entradas de comandos de Cortana.
Cedric Cochin, del equipo de investigación de amenazas avanzadas de McAfee, ha publicado los detalles técnicos del fallo y una prueba de concepto en la que muestra como secuestró un ordenador con Windows 10 bloqueado llevando a cabo un restablecimiento de contraseña usando a Cortana.
MysteryBot, el nuevo troyano «todo en uno» para Android
Por si fuera poco el nivel de malware existente en los dispositivos Android en estos tiempos, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.
El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.
Podemos corroborar esta información utilizando la plataforma Koodous, en la cual en este momento ya existen muestras clasificadas como MysteryBot:
Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:
Registro de pulsaciones:El malwareguarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEyey Anubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.
Ransomware: Este comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zipcon contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).
Ataques de superposición:La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso ‘PACKAGE_USAGE_STATS’, que junto con el uso de la clase ‘AccessibilityService‘ y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.
Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar en la captura facilitada anteriormente es que la intención es hacerse pasar por la aplicación Adobe Flash Player.
MysteryBot; a new Android banking Trojan ready for Android 7 and 8:
Detectados contenedores maliciosos distribuidos a través de Docker Hub para cryptojacking
544.74 Monero, lo que al cambio son unos 67.863€ a la hora de escribir este artículo. Es la cantidad que el atacante detrás de la cuenta de Docker Hub «docker123321» ha sido capaz de minar a lo largo de un año a través de imágenes maliciosas distribuidas a sistemas expuestos y, lo que es peor, usando la propia plataforma de Docker.
Cryptojacking invades cloud. How modern containerization trend is exploited by attackers:
MirageFox, otra APT de procedencia china
Configuración de MirageFox, que hace referencia a Mirage. Extraída de intezer.com. |
https://www.intezer.com/miragefox-apt15-resurfaces-with-new-tools-based-on-old-ones/
A Look into 30 Years of Malware Development from a Software Metrics Perspective
https://cosec.inf.uc3m.es/~juan-tapiador/papers/2016raid.pdf
Github advierte sobre instaladores maliciosos encontrados en proyectos basados en blockchain
El pasado 13 de junio Github lanzó un comunicado advirtiendo a los usuarios de criptodivisas sobre instaladores Windows maliciosos encontrados en algunos repositorios de la conocida plataforma de desarrollo.
Estos ataques están dirigidos a proyectos basados en Blockchain, que por lo general involucran alguna criptodivisa que puede ser canjeada por dinero real. Los ataques tratan de suplantar algún componente del proyectopara infectar a sus usuarios y poder robar sus activos digitales.
La investigación tuvo lugar a raíz de que los desarrolladores del proyecto Syscoindescubrieran una copia no firmada del instalador «Windows Syscoin 3.0.4.1»en la página de releases del proyecto.
Tras analizar el instalador descubrieron que contenía código malicioso que «dropeaba» el archivo «re.exe» en la carpeta «C:\Users\user\AppData\Local\Temp», un troyano con funcionalidades de keylogger capaz de robar contraseñas y los «wallets» de los usuarios:
El ataque ha afectado a la capitalización del mercado que ha pasado de los 210 dólares a los 120 aproximadamente.
El instalador fraudulento fue subido a través de una cuenta comprometida de Github y afectó a la versión 3.0.4.1 del instalador.
El troyano sólo afecta a usuarios de Windows y los binarios ya se encuentran sustituidos por sus versiones legítimas.
Los usuarios de Windows que descargaron el instalador de Syscoin entre los días 9 y 13 de junio deberían eliminar cuanto antes el troyano, cambiar todas sus contraseñas y transferir todos sus activos a una cartera segura.
Casi 400 modelos de cámaras Axis expuestos a ataques remotos
Se han descubierto 7 vulnerabilidades que afectan a 390 modelos diferentes de cámaras de la marca, que permitirían acceder sin credenciales, escalar privilegios y ejecutar comandos arbitrarios
Las vulnerabilidades han sido descubiertas por la empresa de seguridad VDOO, en un proyecto interno enfocado a la seguridad de cámaras IP. Éstas son:
- CVE-2018-10658:bloqueo del proceso ‘/bin/ssid’.
- CVE-2018-10659: bloqueo del proceso ‘/bin/ssid’.
- CVE-2018-10660: inyección de comandos shell.
- CVE-2018-10661: salto del proceso de autenticación
- CVE-2018-10662: elevación de permisos usando funcionalidad ‘.srv’de dbus.
- CVE-2018-10663: lectura fuera del buffer en proceso ‘/bin/ssid’.
- CVE-2018-10664: bloqueo del proceso httpd.
- Acceder a la transmisión de vídeo.
- Bloquear la transmisión de vídeo.
- Tomar el control de la cámara para activarla/desactivarla o rotarla.
- Añadir la cámara a una botnet.
- Alterar o cambiar el firmware de la cámara.
- Utilizar la cámara para infiltrarse en la red.
- Inutilizar la cámara.
- Emplear la cámara para otros ataques, como DDoS o minería de bitcoin.
https://blog.vdoo.com/2018/06/18/vdoo-discovers-significant-vulnerabilities-in-axis-cameras/Affected Product List:
https://www.axis.com/files/sales/ACV-128401_Affected_Product_List.pdf
Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecución remota de código
La vulnerabilidad, la cual requiere encontrarse autenticado, es posible debido a un fallo de «Inclusión de fichero Local» (Local File Inclusion, LFI)
El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidaddel tipo «Inclusión de Fichero Local» (Local File Inclusion, LFI) que permitiría la ejecución de código remoto (Remote Code Execution, RCE) en la versión 4.8.1 de PhpMyAdmin, una conocida aplicación web que permite trabajar con bases de datos MySQL del servidor.
La vulnerabilidad se encuentra en la función ‘checkPageValidity’, del fichero ‘/libraries/classes/Core.php’de PhpMyAdmin, la cual se encarga de comprobar que el fichero a cargar usando el parámetro ‘target’ de ‘index.php’es válido. Mediante una doble codificación, es posible saltar la restricción para cargar un archivo local arbitrario. Un ejemplo sería: ‘/index.php?target=db_sql.php%253f/etc/passwd’.
Además, para conseguir la ejecución remota de código, puede aprovecharse que PhpMyAdmin almacena en ficheros de sesión las sentencias SQL introducidas en su interfaz. Así pues, introduciendo una sentencia como «select ‘<?php phpinfo();exit;?>'», y obteniendo el id de sesión gracias a la cookie ‘phpMyAdmin’, puede ejecutarse código PHP arbitrario, el cual podría llamar a comandos del sistema. Un ejemplo completo sería el siguiente:
‘index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_d41d8cd98f00b204e9800998ecf8427e’
A día de hoy no se encuentra disponible una versión de PhpMyAdmin que solucione el fallo. Aunque se requiera estar autenticado para la explotación de esta vulnerabilidad, el uso de credenciales por defecto, fuerza bruta u otra vulnerabilidad que permita acceder sin credenciales, podrían permitir el control de la máquina debido a este fallo.
Para evitar la explotación de vulnerabilidades como esta, es importante restringir el acceso a herramientas de administración. Una posible solución es limitar la conexión a IPs autorizadas, o el uso de autenticación Basic Authcon una conexión HTTPS.
https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/
Plaintee y DDKong malware usado para el ciberespionaje de entidades asiáticas
Se ha descubierto una campaña de ataques de espionaje dirigidos a entidades del sudeste asiático utilizando malware.
El grupo denominado RANCOR usa dos familias de malware ‘PLAINTEE’y ‘DDKONG’.Los investigadores habían monitorizado la infraestructura del ‘C&C’del troyano ‘KHRAT’ donde identificaron múltiples variantes de este malware.
Vulnerabilidad en WordPress permite a un atacante obtener control total sobre el sitio web en segundos
Un fallo en una de las funciones principales permite borrar cualquier archivo del servidor
La vulnerabilidad descubierta por RIPS Technologiespermite a un usuario con pocos privilegios secuestrar todo el sitio web y ejecutar código arbitrario en el servidor.
El equipo de seguridad de WordPress fue informado del fallo hace 7 meses, pero no se corrigió y afecta a todas las versiones, incluida la actual.
La vulnerabilidad reside en una de las funciones de WordPressque se ejecuta en segundo plano cuando un usuario elimina permanentemente la miniatura de una imagen cargada. Esta acción acepta entradas de usuarios no optimizadas, que permiten a un usuario con privilegios limitados eliminar cualquier archivo del alojamiento web.
El único requisito para explotar el fallo es tener al menos una cuenta de autor, lo cuál reduce la gravedad del problema hasta cierto punto.
Eliminando por ejemplo el archivo wp-config.php, que es uno de los archivos más importantes en la instalación de WordPress, podría obligar a todo el sitio web a volver a la pantalla de instalación permitiendo al atacante reconfigurar el sitio web desde el navegador y tomar su control por completo.
TicketMaster, un drama en tres actos (y un epílogo)
ACTO I: En el que TicketMaster alerta del ataque
El pasado día 28 de junio, TicketMaster alertaba a sus usuarios respecto a una fuga de información. Según explica en la página web que acompaña al aviso, el día 23 descubrieron que un producto del proveedor Inbenta (una empresa que provee chatbotsy que, por cierto, es de origen español) había sido comprometido. Al estar integrado en gran medida en el sitio web de TicketMaster, la información personal y de pago había podido ser accedida por un actor malicioso desconocido.
La primera reacción de TicketMaster ante esto fue desactivar todos los productos de Inbenta en todas las plataformas.
ACTO II: En el que Inbenta responde a las acusaciones
Inbenta, por su parte, ha dado algo más de detalle sobre el ataque en su propia nota de prensa. Un fichero JavaScript, creado específicamente para cubrir las necesidades de TicketMaster, ha sido el responsable del robo de credenciales.
Acusan directamente a TicketMaster de haber integrado el fichero en su plataforma sin su aprobación, ya que de haberlo sabido habrían avisado del peligro que conlleva. Sin embargo, solo una frase después reconocen que el atacante fue capaz de encontrar y modificar este fichero en su infraestructura.
Según las declaraciones del CEO de Inbenta, Jordi Torras, a ZDNet a través de email, el atacante pudo acceder a los servidores frontendde Inbenta a través de la explotación de varias vulnerabilidades, y abusar de la característica de subida de ficheros a la plataforma para sustituir el fichero por uno con el código malicioso.
ACTO III: En el que descubrimos que Monzo ya habían avisado
Monzo es un banco que opera a través de Internet bastante popular en Reino Unido. A partir del día 6 de abril, empezó a ver como las quejas desde estos países por fraude en tarjetas de crédito se multiplicaban hasta llegar a tener que reemplazar 6000 tarjetas de forma preventiva.
Cruzando los datos de los clientes afectados por fraude con sus transacciones, se dieron cuenta que el 70% de últimos fraudes afectaban a clientes que usaban TicketMaster. Lo raro es que estos representaban solo un 0,8% de su base de clientes, un porcentaje demasiado bajo para tanto fraude. Algo ocurría. El 12 de abril, miembros del equipo de seguridad de TicketMaster visitaron las oficinas de Monzo para estudiar el caso y afirmaron en que se iba a investigar internamente.
Más información:
https://security.ticketmaster.co.uk/
Comments are closed.