El pasado 14 de diciembre se celebró en la Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga (UMA) la tercera edición de DevFest Málaga, un encuentro organizado por Google Developers Group (GDG) Málaga. Hispasec Sistemas no faltó a la cita, y además de una amplia presencia de la empresa entre los asistentes, también aportó dos ponentes: Fernando Denis Ramírez, CEO de Hispasec, y Dani Púa, analista y figura reconocida del mundo de los CTF. Otros ponentes venían de empresas como Virustotal, Eleven Paths o Entelgy Innotec Security.
Diciembre comenzó con problemas heredados de noviembre, que fue cuando Squid publicó en su boletín de seguridad múltiples vulnerabilidades entre las que se encontraba un buffer overflow que permitiría ejecutar código remoto (CVE-2019-12526). Desde Hispasec Sistemas recomendamos actualizar a la versión 4.9 o superior, donde se corrigen todas estas vulnerabilidades.
El analista de malware ‘MalwrHunterTeam‘ descubrió un nuevo troyano dedicado al robo de credenciales almacenadas en Chrome, que las enviaba a un servidor Mongo para almacenarlas. Es curioso el hecho de que este malware no haga uso de un servidor de control intermedio que reciba las credenciales, y que en su lugar realice directamente la conexión a la base de datos para almacenar las contraseñas robadas de los dispositivos infectados.
Android sufrió en diciembre, cuando se supo de una vulnerabilidad explotada por docenas de aplicaciones maliciosas para espiar a los usuarios. Apodada como Strandhogg, la vulnerabilidad reside en el área del sistema encargada de la multitarea del dispositivo. Una aplicación maliciosa puede hacerse pasar por cualquier otra, incluyendo aplicaciones del sistema. Cuando el usuario accede a una aplicación legítima, el malware que explota Strandhogg puede interceptar dicha aplicación y mostrar una interfaz falsa al usuario en lugar de lanzar la aplicación legítima. Promon se dio cuenta de la vulnerabilidad después de analizar una muestra de un troyano bancario que se hizo con el control de un gran número de usuarios de la República Checa y logró sustraerles sus fondos.
Una campaña de malware denominada RevengeHotels ha infectado con éxito los sistemas de recepción de más de 20 hoteles en varios países, con el objetivo de robar los datos de la tarjeta de crédito a los clientes y poder hacer después compras con ellas. Que el malware haya permanecido cerca de 4 años sin ser detectado, confirma los escasos niveles de seguridad que algunos sectores ofrecen, facilitando el trabajo a los ciberdelincuentes. Hispasec Sistemas ofrece servicios de Auditoría y Antifraude para fortalecer la seguridad.
Se ha revelado una nueva vulnerabilidad grave que afecta a la mayoría de los sistemas operativos similares a Linux y Unix, incluidos FreeBSD, OpenBSD, macOS, iOS y Android, que podría permitir espiar y manipular las conexiones VPN encriptadas a los ‘atacantes adyacentes de red’. Hasta la fecha, se ha confirmado que esta vulnerabilidad puede ser explotada con una gran cantidad de distribuciones Linux, especialmente en aquellas que usan la versión de systemd posterior al 28 de noviembre de 2018 (momento en el que se desactivó el filtrado de ruta inversa).
Snacht no es un ransomware nuevo en la escena del cibercimen, de hecho se conocen ataques de este malware desde verano de 2018. Sin embargo, en diciembre pasado volvió a la actualidad debido a una nueva variante capaz de reiniciar equipos Windows en modo seguro con la finalidad de no ser detectado por los antivirus. Desde Hispasec Sistemas, aconsejamos mantener los servicios y puertos críticos sin exponer a redes públicas y realizar las correspondientes auditorías de seguridad que detecten cualquier vulnerabilidad que pueda ser eventualmente explotada por ciberdelincuentes.
TP-Link lanzó en diciembre una actualización que venía a arreglar un fallo de seguridad que permitiría el inicio de sesión en la web de administración del router sin necesidad de indicar la contraseña. Esta vulnerabilidad es especialmente peligrosa, ya que incluso los usuarios de la red de invitados podrían explotarla y tomar control del router. Esto significa que en un entorno empresarial, los usuarios invitados podrían explotar la vulnerabilidad y comprometer la red de la empresa.
WhatsApp parcheó un bug de software que permitía a cualquier miembro malicioso de un grupo, hacer que la aplicación de WhatsApp de todos los miembros del grupo se detuviera. Tan simple como enviar un mensaje creado de forma malintencionada a un grupo y un atacante puede crear «un bucle de destrucción» que sufrirán todos los miembros de ese grupo. La única solución es eliminar la app, reinstalarla y eliminar ese grupo para el funcionamiento normal, puesto que si se intenta abrir sin desinstalar, el bucle seguirá corriendo y la aplicación se detendría nuevamente.
El pasado 18 de diciembre el equipo de desarrollo de Drupal lanzó actualizaciones de seguridad importantes para su herramienta de administración de contenido de código abierto. Estas actualizaciones corrigen una vulnerabilidad crítica y otras tres «de criticidad leve».
Citrix Application Delivery Controller (ADC), anteriormente conocido como (NetScaler ADC, Citrix Gateway o NetScaler Gateway), sufría una vulnerabilidad que podría permitir a un atacante no autenticado llevar a cabo ejecución de código arbitrario. La vulnerabilidad ha sido descubierta por Mikhail Klyuchnikov de la empresa Positive Technologies, que estima que 80.000 compañías en 158 países están en riesgo, la mayoría de ellas en EEUU (38%), seguidas por Reino Unido, Alemania, los Países Bajos y Australia.
Los terminales de los usuarios de Twitter en Android eran vulnerables a un bug que permitiría a hackers acceder a información privada de sus cuentas, así como enviar tweets y mensajes en nombre del dueño de la misma. La aplicación de Twitter para Android permitía a un usuario malicioso ver información privada de la cuenta además de enviar tweets y mensajes. Según Twitter, no hay pruebas de que esta vulnerabilidad haya sido explotada, y dicen que para solucionar este problema basta con actualizar la aplicación.
Y como cada año, siempre es posible sonreír con nuestra ingenuidad al conocer el informe que recoge las peores contraseñas utilizadas por los usuarios a lo largo de estos últimos 12 meses. En el primer puesto y repitiendo posición por un año más, se encuentra la contraseña ‘123456’. En el top 25 se pueden encontrar palabras y códigos numéricos simples como ‘admin’, ‘princess’, ‘dragon’ o el ya citado ‘123456’, y combinaciones de teclas que siguen el orden determinado por su ubicación en el teclado como ‘qwerty’, ‘1q2w3e4r’, o ‘123qwe’. Avanzando en la clasificación aparecen también nombres propios como ‘michael’, ‘donald’ o ‘charlie’. Desde Hispasec sistemas rogamos el uso de gestores de contraseñas con los que se puede generar contraseñas seguras de forma sencilla y almacenarlas en local en un dispositivo independiente (por ejemplo un pendrive o memoria USB). Aunque también agradecemos poder sonreír al tratar de temas de ciberseguridad. Pero en serio, si alguien que lea este resumen usa la contraseña ‘123456’ que la cambie de inmediato, por favor. Y Feliz Año Nuevo a todos.
blog.hispasec.com 