Desde casa, os enviamos los mejores deseos para todos de parte de la familia de Hispasec Sistemas. Como ya sabéis, la pandemia del COVID-19 es global, aunque en España está azotando con una fuerza particular. Hispasec está tan activa como siempre, y por fortuna todos seguimos con buena salud. El trabajo en remoto, o teletrabajo, es algo que implementamos desde los primeros momentos de la alerta en la que vive nuestro país. Y es una práctica que recomendamos, pero de forma segura. Por ello hemos creado un decálogo de buenas prácticas que hemos difundido en estas semanas y que os volvemos a compartir. Porque con el COVID-19 han surgido nuevas amenazas que no deben ser desdeñadas. Por supuesto, la actualidad en ciberseguridad también sigue siendo frenética.
En marzo supimos de GhostCat, una vulnerabilidad que afecta a todas las versiones de Tomcat y que permanece activa desde hace 13 años. Si actualmente utiliza en su servidor web el servicio Apache Tomcat es importante que actualice a la última versión disponible para evitar que alguien tome el control de su servidor sin autorización. El fallo permite la lectura de ficheros arbitrarios en el servidor a un usuario no autentificado, de esta manera se podrían leer ficheros de configuración o el código de la aplicación hospedada en el servidor web. Incluso en el caso de existir un uploader en la web, sería posible ejecutar código remoto.
Let’s Encrypt, la popular autoridad en firma de certificados que es responsable de la emisión de 116 millones de ellos, ha decidido revocarcerca del 2,6% de sus certificados emitidos, lo que supone aproximadamente unos 3 millones de certificados -alrededor de un millón estarían duplicados-. La decisión se ha debido a un fallo en el software encargado de verificar la autenticidad de los sitios. El fallo fue confirmado por la propia Let’s Encrypt el 29 de Febrero y arreglado tan sólo dos horas después. Se ha facilitado, además de una lista descargable con los números de serie afectados, una herramienta online para comprobar si el certificado de un host necesita ser reemplazado: https://checkhost.unboundtest.com/
Una vulnerabilidad crítica de hace 17 años afecta a múltiples distribuciones de Linux. El servicio ‘pppd‘, desde su versión 2.4.2 hasta la 2.4.8, presenta un fallo en las rutinas que procesan los paquetes EAP (Extensible Authentication Protocol) que podría ser aprovechado por un atacante remoto no autenticado para provocar un desbordamiento de la memoria basada en pila y ejecutar código arbitrario en el sistema afectado. La lista de fabricantes que han confirmado la vulnerabilidad asciende a diez hasta la fecha: Cisco, Debian GNU/Linux, Fedora Project, NetBSD, OpenWRT, Red Hat, Inc., SUSE Linux, Synology, TP-LINK y Ubuntu. Desde Hispasec recomendamos instalar los parches y actualizaciones proporcionados por los fabricantes lo antes posible.
Una nueva vulnerabilidad ha sido descubierta por investigadores de Positive Technologies, y puede ser encontrada en todos los procesadores Intel que han sido puestos en venta en los últimos cinco años. Lo más relevantes de esta vulnerabilidad es que no es posible crear un parche para solventarla, por lo que la única solución sería cambiar de procesador. Este fallo afecta al CSME (Converged Security and Management Engine), el motor de seguridad del procesador, y se produce durante el arranque de la memoria ROM.
Microsoft emitió un comunicado advirtiendo de una vulnerabilidad crítica, sin parche, que afecta al protocolo de red SMBv3 (Server Message Block), tanto en modo cliente como servidor. Según parece, Microsoft tenía planeado incluir el parche en su paquete de actualizaciones mensual, habitualmente el segundo martes de cada mes, pero finalmente no fue así. Esto no evitó que detalles sobre esta vulnerabilidad salieran a la luz, dejando a millones de usuarios en riesgo, aunque de momento no hay constancia de que se esté explotando activamente. Una explotación efectiva de dicha vulnerabilidad permitiría al atacante la ejecución remota de código en el servidor o cliente SMB. Para un ataque a un servidor, un usuario previamente autenticado podría enviar un paquete especialmente preparado. Mientras se espera la distribución de una solución definitiva, Microsoft recomienda en su comunicado deshabilitar la compresión en el protocolo SMBv3 en los servidores, a través del siguiente comando de PowerShell: Set-ItemProperty – Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters».
El ecosistema WordPress nunca se ha caracterizado por su robusta seguridad. Sin embargo, en marzo nos ha impresionado el número de fallos que se pueden encontrar en una sola investigación. Así, investigadores españoles han descubierto 5.000 fallos de seguridad en complementos después de realizar un análisis de 84.508 complementos de WordPress. “Hemos encontrado hasta 250 vulnerabilidades diferentes en el mismo complemento”, explicó uno de los investigadores.
| Cada vez que existe una noticia de interés mundial, esta es usada por los ciberdelincuentes como cebo para inducir a sus víctimas a clickar en los enlaces que sirven como vectores de infección del malware. En este caso, el cebo es el COVID-19. El equipo de investigación de Check Point hizo público el hallazgo de la primera campaña y lo ha bautizado como «Vicious Panda» y está especialmente dirigido al sector público Mongol. El grupo al que se le ha vinculado el ataque, según indicaciones de Check Point, parece tratarse de un grupo chino relacionado con ataques a países como Ucrania, Rusia y Bielorrusia desde 2016. El equipo de Doyensec ha encontrado una vulnerabilidad en la popular extensión para Python de Visual Studio Code que permitiría la ejecución remota de código. La extensión de Python, con aproximadamente 16.5 millones de instalaciones, cuenta con un fallo de diseño que permite ejecutar el código encontrado en el ‘virtualenv‘ de un proyecto sin notificar al usuario. Este comportamiento es utilizado para tareas como reestructuración de código, autocompletado, etcétera. Sin embargo, el diseño inseguro de esta extensión permitiría a un atacante ejecutar código arbitrario en el sistema de una víctima que clone un repositorio malicioso basado en Python. Se ha descubierto un nuevo ‘zero-day’ siendo explotado activamente en sistemas Windows. La vulnerabilidad permite a los atacantes ejecutar código arbitrario y tomar el control de la máquina. Según ha publicado Microsoft en su boletín, la librería ‘Adobe Type Manager’ (atmfd.dll) procesa de forma insegura ciertos tipos de fuentes en formato Adobe Type 1 PostScript, lo que permitiría a un atacante ejecutar código en el contexto del usuario actual utilizando un documento que contenga fuentes especialmente manipuladas. Todas las versiones de Windows y Windows Server con soporte son vulnerables a este fallo. Incluida la versión 7 de Windows a la que se ha dejado de dar soporte recientemente. Según ha comunicado Microsoft el parche no estaría disponible hasta el «Patch tuesday» del 14 de abril, por lo que recomienda a usuarios y empresas tomar las siguientes contramedidas. Un investigador de ciberseguridad reveló en marzo detalles técnicos y PoC de una vulnerabilidad crítica de ejecución remota de código que afecta a OpenWrt, un sistema operativo basado en Linux ampliamente utilizado para enrutadores y dispositivos integrados que trabajan con el tráfico de red. Catalogado como CVE-2020-7982 , la vulnerabilidad reside en el administrador de paquetes OPKG de OpenWrt. Para solucionar este problema, desde Hispasec recomienda a los usuarios afectados que actualicen el firmware de su dispositivo a las últimas versiones de OpenWrt 18.06.7 y 19.07.1, que se lanzaron el mes pasado. Ryuk, DoppelPaymer, Dharma y otros tipos de ransomware «operados por humanos» aparecen cada vez más y de forma más sofisticada, advierte Microsoft. Los rescates «auto-distribuidos» – como WannaCry y NotPetya – llegan a los titulares debido a los tiempos de bloqueo que estos ataques causan. Sin embargo, los rescates «operados por humanos» – como REvil, Bitpaymer y Ryuk – están adoptando nuevas técnicas que les permiten operar sin restricciones en las redes. El futuro ya está aquí. Desde la presentación en 2017 de la técnica DolphinAttack, sabemos que es posible inyectar comandos por ultrasonido a través de asistentes inteligentes como Siri o Google Assistant. Existe un efecto de «no linealidad» en los micrófonos de los teléfonos inteligentes y en los altavoces conectados: la señal eléctrica que generan a partir de un ultrasonido no sólo incluirá altas frecuencias, sino también bajas frecuencias que pueden ser interpretadas por el asistente. Este fenómeno fue interesante, pero no muy explotable en la realidad. El DolphinAttack sólo era posible si el hacker tenía un altavoz a menos de un metro del dispositivo objetivo. Pero un grupo de cinco investigadores ha ideado un método llamado SurfingAttack, que puede extender la distancia a más de nueve metros y hacer el ataque más discreto. ¿Cómo? Emitiendo el ultrasonido a través de la superficie en la que se coloca el objeto. Una forma sencilla de protegerse contra este tipo de ataque es colocar el smartphone sobre un trozo de tela ligeramente gruesa o sobre un pequeño cojín. Las vibraciones ultrasónicas serán entonces totalmente absorbidas y no llegarán al micrófono. |
blog.hispasec.com 