Paul Villanueva Munoz

Resultado de imagen de phpmyadmin

El proyecto phpMyAdmin, uno de los sistemas de administración de bases de datos MySQL más populares, dio un aviso el pasado domingo en su blog avisando sobre la última actualización de seguridad, algo que no habían hecho antes.

“Nos inspiramos en el flujo de trabajo de otros proyectos que a menudo anuncian con anticipación cualquier lanzamiento de seguridad para permitir que los encargados de paquetes y proveedores de alojamiento se preparen. Estamos experimentando si dicho flujo de trabajo es adecuado para nuestro proyecto”, explicaba el gerente de lanzamiento de phpMyAdmin, Isaac Bennetch.

Además de la típica corrección de errores, esta versión corrige tres vulnerabilidades críticas de seguridad.

Vulnerabilidades corregidas en la versión 4.8.4:

  1. LFI (CVE-2018-19968):
    Las versiones de phpMyAdmin de entre 4.0 y 4.8.3 incluyen un error de inclusión de archivos locales que podría permitir la lectura de archivos locales del servidor a un atacante remoto.Para explotar esta vulnerabilidad, el atacante debe tener acceso a las tablas de almacenamiento de configuración de phpMyAdmin, aunque puede crearse fácilmente en cualquier base de datos a la que tenga acceso el atacante.
  2. CSRF/XSRF (CVE-2018-19969):
    Las versiones de 4.7.0 a 4.7.6 y de 4.8.0 a 4.8.3 incluyen un defecto de Cross-site Request Forgery que de ser explotado, permitiría a los atacantes realizar operaciones SQL malintencionadas.Para explotar esto únicamente deberían de convencer a las víctimas de que abran enlaces especialmente diseñados.
  3. XSS (CVE-2018-19970):
    Hay un fallo de Cross-site Scripting entre las versiones 4.0 y 4.8.3 con el que un atacante puede inyectar código a través de un nombre de tabla/base de datos especialmente diseñado.

Se recomienda a todos los usuarios de este software que actualicen a la última versión cuanto antes.

Mas información:

Descarga de la versión 4.8.4:
https://www.phpmyadmin.net/files/4.8.4/

Comunicado de pre-lanzamiento:
https://www.phpmyadmin.net/news/2018/12/9/upcoming-security-release-pre-announcement/

Bancos atacados mediante conexiones locales

Al menos ocho bancos de Europa del Este han sido atacados usando el mismo modus operandi, bautizado por Karspersky como DarkVishnya, causando más de diez millones de dólares en pérdidas.

181204-vishnya

 

Durante el año 2017 y también durante este mismo año, especialistas de la compañía antivirus Kaspersky investigaron varios incidentes de robo en al menos ocho bancos europeos.

Todos ellos compartían el mismo patrón de actuación; un dispositivo conectado diréctamente a la red local de la organización. En ocasiones en alguna oficina central, en otras, en una oficina regional o incluso, en otro país distinto.

El ataque comprende 3 fases bien definidas:

En una primera fase, se consigue acceso físico con la excusa de entregar un paquete, buscar un empleo en la compañía, etc. Una vez dentro de las instalaciones, se conecta un dispositivo a un PC o a alguna regleta con conexiones RJ45 (en alguna sala de reuniones o en lugares apartados sin llamar mucho la atención).

Éste dispositivo comunmente puede ser un netbook o un portátil barato, una Raspberry Pi o un Bash Bunny. Una vez conectado, el acceso a la red se conseguía mediante una conexión GPRS/3G/LTE presente en el dispositivo.

Más tarde, en una segunda fase, los atacantes comienzan a ganar acceso a directorios compartidos, servidores web y cualquier otro recurso abiertamiente disponible con el objetivo de obtener la mayor cantidad de información sobre la red. También usaban fuerza bruta o esnifaban conexiones de red para moverse lateralmente hasta llegar finalmente a las máquinas responsables de hacer pagos.

En la tercera y última fase, se mantenía el acceso a las máquinas de la organización mediante técnicas habituales para poder acceder en cualquier otro momento, tales como la habilitación de puertas traseras, escritorios remotos, etc.

DarkVishnya: Banks attacked through direct connection to local network

 

 

Nueva versión del troyano bancario ‘Marcher’ para Android

Una nueva versión del troyano bancario ‘Marcher’ ha sido detectada recientemente en Koodous, nuestro antivirus colaborativo

android

‘Marcher’ es un troyano bancario destinado, principalmente, a robar datos bancarios, incluyendo datos de tarjetas de créditos y credenciales de acceso al sistema bancario. Para llevar a cabo el robo de datos, este malware actúa de forma similar a otras familias de malware para Android, comprobando en segundo plano las aplicaciones activas en cada momentoSi se abre una aplicación bancaria o cualquier otra aplicación afectada, el troyano muestra una ventana falsa con la imagen del banco afectado y solicitando los datos de acceso, simulando a la aplicación real para engañar al usuario y obtener las credenciales.

El equipo de análisis de malware de Hispasec ha analizado la nueva muestra, y como resultado del análisis podemos apreciar que esta nueva versión del malware introduce algunos cambios con respecto a versiones anteriores del mismo.

En primer lugar, la aplicación conecta al servidor de control a través del protocolo HTTP. Realiza una petición a las URLs hxxp://aperdosali.top/get_key y hxxp://aperdosali.top/get_file, para descargar un fichero cifrado y la clave de descifrado. Dicho fichero es un fichero APK, es decir, una nueva aplicación. Pero esta no se instalará en el dispositivo, sino que se utilizará para cargar dinámicamente el código malicioso que se encarga de mostrar y ocultar las inyecciones (ventanas falsas para robar los credenciales).

Una vez descargado el código del inyector, la aplicación envía información sobre el dispositivo (imei, número de teléfono, aplicaciones instaladas, etc.).

Captura de pantalla de 2018-12-08 03-29-31Envío de información del dispositivo cifrada Captura de pantalla de 2018-12-08 02-00-28Información del dispositivo que se envíaComo podemos apreciar en la imágenes, todo el envío de información al servidor de control se hace cifrando la información e indicando el identificador del ‘bot’ (dispositivo infectado).

Esta versión de ‘Marcher’ incluye la lista de bancos y aplicaciones afectadas cifrada, por lo que no es posible acceder a ella directamente. La lista de aplicaciones afectadas y el resto de la configuración del troyano se encuentran entre los ‘assets’ de la aplicación cifrados con algoritmo DES y usando la clave 6b34f4f6.

Captura de pantalla de 2018-12-08 03-44-12Parte de la lista de aplicaciones afectadasAdemás de la posibilidad de mostrar una ventana falsa con una versión web para el robo de credenciales, esta versión incluye inyectores nativos específicos. Para estos inyectores, se realiza una petición a la URL hxxp://aperdosali.top/inj_pkg/BASE64_PACKAGE_ID , donde BASE64_PACKAGE_ID es el identificador del paquete codificado en Base64. Como respuesta, el servidor devuelve un fichero ZIP que contiene los datos necesarios para mostrar la ventana falsa (logos de la entidad afectada y texto en el idioma que corresponda).

Captura de pantalla de 2018-12-08 03-56-38Datos descargados para la inyección de EurobankY una vez descargados los datos necesarios para realizar la inyección, la aplicación espera a que el usuario abra la aplicación afectada para mostrar la ventana falsa.

Captura de pantalla de 2018-12-08 01-30-17Ventana falsa para la aplicación de EurobankUna vez que el usuario rellena los datos y los envía, la aplicación oculta la ventana falsa y muestra la aplicación legítima mientras envía los datos al servidor de control a través de la URL hxxp://aperdosali.top/api/form. En el caso de las inyecciones que solicitan datos de tarjetas de credito, estos se envían al servidor de control a través de la URL hxxp://aperdosali.top/api/cards.

La muestra analizada afecta a aplicaciones de entidades bancarias Europeas (Austria, Alemania, Francia, Polonia, Turquía), de Estados Unidos, China, Singapure y Taiwan.

Como siempre, desde Hispasec recomendamos instalar aplicaciones de plataformas reconocidas como Google Play y nunca de lugares desconocidos. Y aunque se descarguen de plataformas reconocidas, siempre deben tener cuidado porque incluso en estas plataformas podemos encontrar de vez en cuando alguna aplicación maliciosa, como ya se hemos visto en otras ocasiones.

IoCs:
C2
aperdosali.top
comedirtad.top
47.74.70.68

SHA256 de la muestra
2f748905818f8385f3d43212a60f9ee113d59b6b7bf3fd195a2c790ccca92a07

SHA256 del Inyector
a203d33154941f03ed43f9ff3688dba176554cf157aed2b9a65eef176720aaa3

Más información:

Información sobre la evolución del troyano Marcher/Exobot:
https://www.threatfabric.com/blogs/exobot_android_banking_trojan_on_the_rise.html

Acceso root en Polkit para usuarios con uid mayor a INT_MAX

Screenshot_20181205_103550

El fallo, que aún no está solucionado, es reproducible ejecutando cualquier aplicación que utilice PolicyKit

PolicyKit, comúnmente llamado Polkit, es un componente para los sistemas Unix que permite a procesos no privilegiados ejecutar funciones que requieren permisos de superusuario, sin que estos tengan que ejecutarse como root. A diferencia de sudo, no requiere que todo el proceso sea ejecutado con privilegios del sistema, dando un mayor control sobre los permisos.

Este componente, empleado en la mayoría de distribuciones GNU/Linux y utilizado por múltiples programas, no controla correctamente los permisoscuando el usuario tiene un número de identificación (UID) superior al de INT_MAX (2147483647), pudiendo utilizar Polkit sin ninguna restricción y sin que se pida ninguna contraseña.

Screenshot_20181205_104333Ejemplo de explotación con un usuario con uid 4000000000. El usuario es capaz de parar un servicio, sin que este tenga permisos para ello.

Un ejemplo de programa que utiliza Polkit es Systemctl: cuando no son necesarios permisos, por ejemplo para ejecutar ‘systemctl status nginx’, se ejecuta el comando sin restricciones. No obstante, para ejecutar ‘systemctl stop nginx’ (parar un servicio), aparece una ventana de confirmación solicitando la contraseña del usuario, y sólo si éste estuviese autorizado podrá realizar la acción. Con esta vulnerabilidad, el comando se ejecuta sin necesidad de estar autorizado y sin que aparezca la ventana de confirmación.

La vulnerabilidad, con identificador CVE-2018-19788, todavía no se encuentra solucionada, aunque su explotación es complicada salvo que exista ya un usuario con un uid superior a 2147483647, algo de por sí difícil, y que probablemente sea la razón por la que ha pasado el fallo tanto tiempo desapercibido. Para probar la vulnerabilidad, basta con crear un nuevo usuario del sistema y modificar el uid, pudiendo ejecutar cualquiera de los comandos anteriores.

Más información:

CVE-2018-19788:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19788

unprivileged users with UID > INT_MAX can successfully execute any systemctl command:
https://github.com/systemd/systemd/issues/11026

Freedesktop issue:
https://gitlab.freedesktop.org/polkit/polkit/issues/74

Elevación de privilegios en Kubernetes

Una vulnerabilidad en el sistema de orquestación de Google permitiría a un atacante sin autenticar, conseguir privilegios de administrador en cualquier nodo de un cluster basado en Kubernetes.

kubernets-logo

Kubernetes es un sistema de orquestación open-source para gestionar aplicaciones en contenedores Docker, entre otros.

La vulnerabilidad, considerada de gravedad crítica, se encuentra en el componente OpenShift Container Platform 3.x y permitiría comprometer los “pods” en ejecución de un determinado nodo. Los “pods” son las unidades mínimas que puede manejar Kubernetes, y se componen de uno o más contenedores y volúmenes.

El fallo reside en una conexión TCP vulnerable, a través de la cuál un atacante remoto podría enviar peticiones especialmente manipuladas al servidor de API de Kubernetes y establecer una conexión con el “backend” utilizando las credenciales TLS de dicho servicio. De esta forma, podría acceder a cualquier “pod” en ejecución y acceder a información secreta, variables de entorno, procesos en ejecución, volúmenes, etc. Así como acceder a contenedores privilegiados. Adicionalmente, en versiones 3.6 y superiores de OpenShift Container Platform, la vulnerabilidad permitiría acceder con permisos de “administrador de cluster” a cualquier API del servidor de API de OpenShift, como por ejemplo los servicios ‘metrics-service’ y ‘servicecatalog’.

Un atacante con privilegios de administrador de cluster podría desplegar código malicioso o alterar alguno de estos servicios en ejecución.

Decir, que el servidor de API de OpenShift está incluido por defecto en todas las instalaciones de Kubernetes.

La vulnerabilidad ya se ha corregido y se recomienda actualizar cuanto antes.

Versiones seguras de OpenShift Container Platform:

  • v3.11.43-1
  • v3.10.72-1
  • v3.9.51-1
  • v3.8.44-1
  • v3.7.72-1
  • v3.6.173.0.140-1
  • v3.5.5.31.80-1
  • v3.4.1.44.57-1
  • v3.3.1.46.45-1
  • v3.2.1.34-2

 

Más información:

CVE-2018-1002105: proxy request handling in kube-apiserver can leave vulnerable TCP connections
https://github.com/kubernetes/kubernetes/issues/71411

Kubernetes Security Announcement – v1.10.11, v1.11.5, v1.12.3 released to address CVE-2018-1002105
https://groups.google.com/forum/#!forum/kubernetes-announce

Kubernetes privilege escalation and access to sensitive information in OpenShift products and services – CVE-2018-1002105
https://access.redhat.com/security/vulnerabilities/3716411

Nuevo ransomware se difunde rápidamente en China

Nuevo ransomware se difunde rápidamente en China

Un nuevo y característico ransomware se está propagando por China. De momento, ha infectado más de 100.000 equipos y va en aumento.

¿Por qué es diferente al resto de ransomwares vistos?

Lo característico de este malware es que, a diferencia del resto de ransomwares conocidos, no pide como rescate un pago en Bitcoin, sino 110 yuanes (alrededor de 14€) que se deben enviar a través de la aplicación WeChat Pay, la función de pago que ofrece la aplicación de mensajería más popular de China.

¿Cómo funciona el ransomware?

Propagación:

Según los investigadores de Velvet Security, los atacantes agregaron código malicioso al software de programación “EasyLanguage” utilizado por un gran número de desarrolladores de aplicaciones.

El software modificado fue diseñado para inyectar el código del ransomware en cada aplicación y producto de software compilado a través de él.

Evasión de antivirus:

Para evadir los programas de antivirus, los atacantes firmaron su código con la firma digital confiable de Tencent Technologies.

Rescate:

Una vez cifrado, el ransomware crea una nota y le pide a los usuarios que paguen la cantidad de 110 yuanes a la cuenta de WeChat de los atacantes en un plazo de tres días. Si no se paga dentro del tiempo mostrado, amenazan con eliminar automáticamente la clave de descifrado de su servidor C&C.

Robo de información y credenciales:

Una vez infectado el dispositivo, el malware recopila las credenciales de inicio de sesión de los sitios web chinos más populares y las envía a un servidor remoto.

Además, recopila información del dispositivo como: modelo de CPU, resolución de pantalla, información de la red, software instalado, etc.

¿Existen soluciones contra este malware?

Los investigadores de seguridad han descubierto que el cifrado utilizado por el ransomware es más débil de lo que parecía. Mientras que los atacantes especifican en la nota que utilizan DES para cifrar los archivos, realmente utilizan XOR y almacenan una copia de la clave de descifrado localmente.

Ruta de la clave de cifrado:
% user% \ AppData \ Roaming \ unname_1989 \ dataFile \ appCfg.cfg

Con está información, el equipo de seguridad de Velvet ha lanzado una herramienta gratuita de descifrado de este ransomware que puede desbloquear fácilmente los archivos cifrados.

 

Más información:

Información oficial:
https://www.huorong.cn/info/1543934825174.html

Posible filtración de datos de clientes en dell.com

dell-symbol

No se ha podido confirmar si el ataque tuvo éxito, aunque la compañía ya ha reseteado las contraseñas de sus usuarios

El día 9 de noviembre, el equipo de Dell detectó un acceso no autorizado a su red que pretendía robar información privada de sus clientes, limitándose a nombres, emails y hashes de contraseña. Según el anuncio oficial, no se han extraído otros datos sensibles, como pueden ser las tarjetas de crédito.

Aunque no ha podido comprobarse si los atacantes lograron extraer la información, Dell ha reseteado la contraseña de todos sus usuarios, y recomienda cambiar la clave si ésta se utilizase en otros sitios.  Además de la investigación interna, se ha solicitado a una auditoría a una empresa externa para esclarecer los hechos. En el anuncio, también se especifica que pudo haberse borrado información, aunque no se tiene constancia de ello.

La posible filtración no ha afectado a otros productos de la compañía, viéndose afectada sólo la tienda en línea y los usuarios que estuviesen registrados en el portal dell.com. Las contraseñas, al utilizar un hash (no se ha especificado cómo) no es posible descifrarlas, siendo vulnerables únicamente mediante la fuerza bruta. A pesar de esta medida de seguridad, siempre es recomendable cambiar la contraseña en una filtración, y aún más si se utilizan palabras de diccionario.

 

Más información:

Dell Announces Potential Cybersecurity Incident:
https://www.dell.com/learn/us/en/uscorp1/press-releases/2018-11-28-customer-update

Inyección de comandos en el lanzador de Epic Games

 

Se ha detectado una vulnerabilidad que podría permitir la inyección de comandos en el lanzador o ‘launcher’ de Epic Games.

Epic Games

Epic Games es una empresa de desarrollo de videojuegos estadounidense, bien conocida tanto por los motores de juegos Unreal Engine como por videojuegos de la talla de la serie de ‘shooters’ en primera persona Unreal, la saga Gears of War y Fortnite.

El problema se debe a un error de falta de comprobación al procesar una URI por parte del manejador del protocolo ‘com.epicgames.launcher’. Esto podría desencadenar la ejecución de una llamada al sistema compuesta por una cadena proporcionada por el usuario, que podría ser aprovechada para inyectar comandos en el contexto del usuario.

Esta vulnerabilidad permitiría a un atacante remoto ejecutar código arbitrario en instalaciones vulnerables de Microsoft Visual Studio con herramientas para el desarrollo de Unreal Engine instaladoEs necesaria la interacción del usuario para aprovechar exitosamente esta vulnerabilidad (lo que podría lograrse sin su conocimiento al ser engañado para visitar una página web maliciosa o abrir un archivo malicioso).

Esta vulnerabilidad, descubierta por el usuario ‘rgod’ de ‘9sg Security Team’, ha sido identificada como CVE-2018-17707 y puntuada con 8.8 sobre 10 debido a su peligrosidad. Ha sido corregida en la versión 8.2.2 del lanzador de Epic Games.

Más información:

Epic Games Launcher Protocol Command Injection Remote Code Execution Vulnerability
https://www.zerodayinitiative.com/advisories/ZDI-18-1359/

Fuga de información en la cadena hotelera Marriott

La compañía hotelera Marriott ha declarado que la base de datos de reservas de Starwood (filial de Marriott) ha sido comprometida, viéndose expuestos datos de hasta 500 millones de clientes, de los cuales 327 millones incluirían los datos de las tarjetas de crédito con la que se ha realizado el pago.

marriott-hotel-logo

El 8 de septiembre de 2018 la cadena Marriott recibió la alerta del acceso a la base de datos de reservas de la red de Starwood a través de una herramienta interna de seguridad. En ese momento, la corporación contrató un servicio externo de expertos en seguridad para investigar el caso. Durante la investigación se descubrió que ha existido un continuo acceso no autorizado desde 2014. Por el momento no se han revelado los datos exactos extraídos de la base de datos, pero se estima que hasta 500 millones de personas que hicieron una reserva podrían estar afectados por esta brecha de seguridad.

Se estima que entre los afectados, existirían unos 327 millones de registros que contendrían información sensible acerca del medio de pago utilizado (número de tarjeta de crédito, fecha de vencimiento, etc.), datos personales del usuario (nombre, dirección, teléfono, correo electrónico, fecha de nacimiento, documento de identidad / pasaporte, etc.), información de la reserva (Check-in y Check-out), preferencias de comunicación y el identificador Starwood Preferred Guest (“SPG”).

La información referente a los medios de pago utilizados por los usuarios se encontraría cifrada con el algoritmo AES-128 y se necesitarían dos componentes para descifrarla, aunque aun no se ha confirmado si estos habrían sido conseguidos por los atacantes.

La cadena hotelera ha declarado que esta brecha de seguridad ha afectado únicamente a la red de Starwood, no habiendo sufrido ninguna modificación ni filtración la base de datos de Marriott.

Marriott International adquirió Starwood Hotels and Resorts Worldwide por 13 billones de dólares en 2016, Incluyendo las siguientes propiedades potencialmente afectadas: St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels & Resorts, Aloft Hotels, Tribute Portfolio, Element Hotels, Le Méridien Hotels & Resorts, The Luxury Collection, Four Points by Sheraton y Design Hotels.

Se han establecido diversos números de teléfono para que aquellos usuarios que hayan realizado una reserva en alguno de los hoteles mencionados en fechas comprendidas entre el año 2014 y el pasado 10 de septiembre de 2018 puede comunicarse con la compañía y recibir información al respecto.

Más información:
Starwood Guest Reservation Database Security Incident
https://answers.kroll.com/

500 Million Marriott Guest Records Stolen in Starwood Data Breach
https://thehackernews.com/2018/11/marriott-starwood-data-breach.html

Denegación de servicio en el kernel de Linux

Se han encontrado dos vulnerabilidades que podrían provocar una denegación de servicios en versiones del kernel de Linux 4.19.2 y anteriores.

DoS en el kernel Linux

Las vulnerabilidades, de gravedad media, se deben a desreferencias a punteros nulos, y podrían ser aprovechadas por un atacante local para provocar una denegación de servicio.

La primera vulnerabilidad, etiquetada con el código CVE-2018-19406, se encuentra en la función ‘kvm_pv_send_ipi‘ en el módulo ‘arch/x86/kvm/lapic.c‘. Un atacante podría provocar una situación en la que no se inicialice ‘apic map’ y provocar una denegación de servicio a través de llamadas al sistema especialmente manipuladas para provocar la desreferencia del puntero ‘kvm->arch.apic_map‘.

La segunda vulnerabilidad, etiquetada con el código CVE-2018-19407, reside en la función ‘vcpu_scan_ioapic‘ del módulo ‘arch/x86/kvm/x86.c‘ y se debe a una inicialización incorrecta del controlador I/O APIC (Advance Programmable Interrupt Controller). De forma similar a la anterior, un atacante local podría provocar una situación en la que ‘ioapic‘ no se inicialice correctamente y provocar el DoS. Como se muestra en la siguiente prueba de concepto publicada por el investigador Wanpeng Li.

poc-linux-kernel-dos

Se han publicado dos parches provisionales que solucionan ambas vulnerabilidades.

Más información:

KVM: LAPIC: Fix pv ipis use-before-initialization
https://lkml.org/lkml/2018/11/20/411

KVM: X86: Fix scan ioapic use-before-initialization
https://lkml.org/lkml/2018/11/20/580