Boletín mensual de Hispasec – Marzo

Dar un repaso al ecosistema de la seguridad informática una vez al mes aporta una visión en perspectiva de las tendencias que acontecen en nuestro sector. El objetivo de este boletín mensual es sintetizar las noticias, plasmando aquellas que han sido de mayor relevancia y intentar añadir a nuestro boletín de noticias diarias (que por cierto en octubre cumplirá 20 años) un valor añadido que sirva como complemento.

El mes de febrero ha venido acompañado de viejos conocidos ( Nuevo 0-day en Flash Player ), un ‘déjà vu’ a tiempos pasados que no hace otra cosa que engordar la lista de vulnerabilidades publicadas para esta plataforma. Haciendo una búsqueda en nuestro servicio SANA encontramos 1.050 vulnerabilidades publicadas para Adobe Flash Player, de las cuales, 938 son de riesgo elevado, lo que representa un 89,3 % de las alertas.

SANA es el Servicio de Análisis, Notificación y Alertas, forma parte de la historia de Hispasec como uno de los servicios más longevos y mejor considerados por nuestros clientes. SANA proporciona un sistema completo de alertas sobre vulnerabilidades, actualizaciones y parches de software en términos de seguridad informática, permitiendo saber en todo momento las posibles vulnerabilidades que puedan afectar a los productos que su entidad o empresa usan a diario.

Deseo información sobre SANA
Este mes de febrero también hemos tenido noticias relacionadas con temáticas que están cobrando protagonismo dentro de la seguridad informática. Éstas no son otras que el minado de criptomonedas a través del uso de librerías JavaScript y las vulnerabilidades en dispositivos IoT.

La primera de ellas es debida al incremento de sitios vulnerados que integran capacidad de minado mediante el uso de librerías en JavaScript que aprovechan los minutos que navegamos para minar criptomonedas. Lo cierto es que no siempre la inclusión del JavaScript tiene que ir acompañada de una explotación, ya que muchas webs están incluyendo esta funcionalidad como método alternativo a la publicidad, y puede que en un futuro llegue a ser visto como una opción lícita. Dentro de las noticias que han hecho uso de esta funcionalidad a través de vectores no apropiados, nos encontramos con:

Más de 2,7 millones de euros en criptomonedas desde instalaciones de Jenkins comprometidas.

Miles de sitios webs de los gobiernos hackeados para minar criptomonedas.

Estas dos noticias representan el uso que los ciberdelicuentes están dándole al criptominado.

Respecto a las vulnerabilidades en dispositivos IoT, no solo podemos ver cómo semana tras semana las noticias relacionadas con este segmento dentro de la seguridad cobran un mayor protagonismo, sino que en las conferencias de seguridad, cada vez más, esta temática copa un mayor protagonismo. Buen ejemplo de ello ha sido la última edición de la Rooted, que ha contado con 3 charlas y 2 talleres relacionados con seguridad en IoT. Al hilo de la Rooteddesde Hispasec agradecemos a la organización el haber creado el premio Antonio Ropero como reconocimiento a toda una carrera en la seguridad de la información.

Os invitamos a descargar nuestro dossier de servicios a través de este enlace y solicitarnos más informaciónsobre cualquiera servicio.
Dossier de servicios

Resumen de las UAD más leídas en febrero

Resumen de las UAD más leídas en febrero

Riesgos de usar WhatsApp Web en entornos corporativos

El lunes negro de WordPress: actualizaciones con fallos y vulnerabilidades que no se solucionan

Las 10 mejores viñetas de Dilbert de seguridad informática

Vulnerabilidades en software de gasolineras

Descubiertos dispositivos Android con troyano de la familia “Triada” instalado de fábrica

Se han detectado un total de 42 modelos de teléfonos Android los cuales tienen un troyano bancario de la familia ‘Triada’ instalado de fábrica.

Extraída de wccftech.com

El troyano bancario es un malware que tiene como finalidad robar credenciales bancarias, pero no solo eso, sino también conseguir los datos necesarios para realizar estas transacciones, como por ejemplo códigos de seguridad enviados por SMS desde la entidad bancaria al terminal.

Investigadores de la empresa rusa Dr.Web afirman haber encontrado dispositivos con un troyano de la familia “Triada” instalado de fábrica, y que los paises afectados van más allá de Rusia. La muestra también ha sido encontrada en Polonia, Indonesia, China, República Checa, México, Kazajstán y Serbia.

La muestra en cuestión, identificada como ‘Android.Triada.231’, fue detectada por primera vez en 2016, y cuyo funcionamiento principal es la infección de ‘Zygote’, proceso utilizado por el sistema operativo para arrancar todas las aplicaciones, y así poder obtener control total de las mismas. Para eliminar la muestra del sistema es obligatorio realizar una reinstalación completa del sistema operativo.


Actualmente la lista de los terminales detectados con la muestra son los siguientes:

  • Leagoo M5
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

No es la primera vez que se detecta malware preinstalado en estos dispositivos. Aunque la firma antivirus no culpa directamente a los fabricantes de smartphones, puesto que la infección suele venir en aplicaciones de terceros, sí lamenta la falta de control de las aplicaciones de terceros instaladas en los dispositivos antes de ponerlos en el mercado.

Más información:

Doctor Web: over 40 models of Android devices delivered already infected from the manufacturershttps://news.drweb.com/show/?i=11749&c=5&lng=en&p=0

Filtración de 23000 certificados HTTPS

Se ha publicado la noticia de que han sido filtrados un total de 23000 certificados HTTPS. Una filtración que pone en riesgo las comunicaciones de cualquier usuario de la red con cualquier sitio web de la filtración.

Extraída de Hispasec Sistemas

HTTPS es un protocolo por el cual las comunicaciones (conexiones) entre usuario y sitio web son cifradas a través de un certificado que certifica que la entidad con la que estás estableciendo las comunicaciones es la que es, impidiendo que estas comunicaciones puedan ser leídas por agentes externos o intermediarios en la comunicación. Simplificado, HTTPS no es más que HTTP al cual se le añade una capa seguridad (cifrado) SSL/TLS. 

La filtración parece haberse producido a través de un correo electrónico por un CEO de “Trustico” a un vicepresidente de “Digicert”. Al parecer este correo venía con un adjunto que contenía hasta 23000 claves privadas de dichos certificados.



Trustico es una empresa que revende y gestiona certificados TLS de sitios web con sede en Reino Unido. Una empresa que ya rompió relaciones con Symantec por evitar algunas prácticas de seguridad similares, y que ahora ha vuelto ha hacer lo mismo



Si ya de por sí, es una mala práctica de seguridad el enviar claves privadas por correo electrónico, a esta se le suma el almacenaje de las claves privadas de los certificados. Una práctica que no debe realizar ninguna entidad certificadora, práctica que justificó la empresa por motivos de revocación



‘Trustico allows customers to generate a Certificate Signing Request and Private Key during the ordering process,” the statement read. “These Private Keys are stored in cold storage, for the purpose of revocation.’

 

Este hecho que traerá trabajo para los navegadores de Internet, deja en entredicho la seguridad de muchos sitios web y comercios electrónicos que pudieran estar gestionados por esta compañía, y que seguro que nos traerá noticias en los próximos días.

El mayor ataque DDoS de la historia mitigado en minutos

El 28 de Febrero, GitHub recibió el mayor ataque de denegación de servicio hasta la fecha y logró resolverlo en 8 minutos.

Es increible pero cierto, a pesar de nadie darse cuenta, GitHub fue atacada el pasado Miércoles. Sorprendentemente, la plataforma fue capaz de mitigarlo en minutos sin que los usuarios tuvieran afectación alguna.

Como vemos en la imagen, el pico de tráfico de este ataque llegó a los 1,35Tbpsenviados a través de 126,9 millones de paquetes por segundo.

A diferencia del resto de ataques DDoS que solemos ver, este no utilizó ninguna botnet para realizarse, sino que hizo uso de los servidores memcached para aumentar la fuerza del ataque original.

Los servidores memcached son utilizados para el almacenamiento en caché de datos u objetos en la memoria RAM, reduciendo así la necesidad de acceso a un origen de datos externo, y con ello aumentando la velocidad de trabajo usual.

Estos servidores no están preparados para estar expuestos en línea. Según la empresaWIRED, hay alrededor de 100.000 servidores memcached accesibles en internet los cuáles no requieren de autenticación. Cualquier atacante puede acceder a ellos, enviar un paquete y el servidor responderá con una respuesta mucho mayor.

Una de las maneras más sencillas de mitigar el abuso de estos servidores es mediantefirewall, limitando la velocidad de los paquetes UDP de salida.

La empresa encargada de mitigar el ataque a GitHub fue Akamai ProlexicProlexicse hizo cargo como intermediario enrutando todo el tráfico que entraba y salía de GitHub, y enviaba los datos a través de sus centros de depuración para eliminar y bloquear los paquetes maliciosos. A los 8 minutos los atacantes cedieron y pararon el DDoS.

A pesar de no haber habido un gran destrozo, este ataque muestra los peligros que implican los servidores memcached expuestos. Esperemos que los dueños de este tipo de servidores tomen conciencia y apliquen las medidas necesarias para que no vuelva a ocurrir.

Denegación de servicio en ISC BIND y DHCP

ISC ha liberado nuevas versiones del cliente y servidor DHCP, así como del servidor BIND, destinadas a solucionar vulnerabilidades que abren la puerta a ataques de denegación de servicio.

Internet Systems Consortium es una organización dedicada al desarrollo de software y consultoría orientada al soporte de la infraestructura de Internet. Entre otros, es conocida por el desarrollo de BIND, un servidor de nombres de dominio (DNS) y DHCP, una implementación cliente-servidor del protocolo con el mismo nombre. Ambos productos son muy usados en sistemas de todo el mundo y presentan vulnerabilidades que comentamos a continuación, todas ellas permitiendo denegación de servicio. Afortunadamente, a estas alturasno se tiene constancia de que estas vulnerabilidades se estén explotandoen la red.

La primera de ellas, con identificador CVE-2018-5732, se produce en el cliente de DHCP, conocido como dhclient. Concretamente, tiene lugar al procesar una respuesta de un servidor DHCP, que si tiene una sección de opciones especialmente diseñada, puede ocasionar un desbordamiento de memoria y el consiguiente cierre inesperado del cliente. No se descarta la posiblidad deejecutar código arbitrario en algunas circunstancias. Esta vulnerabilidad fue reportada por Felix Wilhelm, del equipo de seguridad de Google, y afecta a las versiones 4.1-ESV-R15-P14.3.6-P1 4.4.1.

En segundo lugar, identificada como CVE-2018-5733, tenemos una vulnerabilidad en el servidor de DHCP, llamado dhcpd. Básicamente consiste en que el servidor tiene un contador en memoria almacenado en 32 bits, que tras recibir una gran cantidad de paquetes de un cilente (del orden de miles de millones) puede desbordarse, con la posiblidad de cierre inesperado del servidor. Esta vulnerabilidad también fue reportada por Felix Wilhelm, y afecta a las versiones que afecta CVE-2018-5732.

Por último, la vulnerabilidad con identificador CVE-2018-5734 se produce en el servidor BIND al procesar una petición malformada. Específicamente,BIND al recibir un tipo concreto de paquete malformado selecciona como código de respuesta SERVFAIL, en vez de FORMERROR (que es la respuesta que indica que la petición DNS está malformada). Eso provoca que la aplicación ejecute una parte del código diferente (la parte que maneja las respuestas con SERVFAIL), y si se encuentra habilitada la caché de esta funcionalidad, se termina produciendo un fallo que ocasiona un cierre inesperado. La buena noticia es que este fallo no ha salido en ninguna versión pública del producto, sino en versiones con soporte de pago.

Todas las vulnerabilidades han sido corregidas a la hora de escribir este artículo, y se pueden corregir descargando la última version del software correspondiente en la sección de descargas de la página oficial del ISC:

https://www.isc.org/downloads/

Más información:

A specially constructed response from a malicious server can cause a buffer overflow in dhclient
https://kb.isc.org/article/AA-01565/75/CVE-2018-5732

A malicious client can overflow a reference counter in ISC dhcpd
https://kb.isc.org/article/AA-01567/75/CVE-2018-5733

A malformed request can trigger an assertion failure in badcache.c
https://kb.isc.org/article/AA-01562/74/CVE-2018-5734

Ejecución remota de código en Adobe Acrobat DC

Un reciente reporte de Cisco Talos alerta de la vulnerabilidad corregida en Adobe Acrobat DC, que permitiría ejecutar código de manera remota al procesar Javascript embebido en un PDF malicioso.
Talos ha publicado los detalles de la vulnerabilidad descubierta por el analista Aleksandar Nikolic. En su reporte, aclaraba que, aun existiendo una correcta gestión del campo “document ID” cuando éste excedía determinada longitud:

trailer <<  /Root 1 0 R  /ID   <AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA><a>  >>

Si se referenciaba mediante código Javascript embebido a ese anterior ID, se podría generar un desbordamiento de pila debido a una incorrecta comprobación de límites (CVE-2018-4901). Una simple llamada como “this.docID” podría generar el desbordamiento de memoria:

41 0 obj <<
>>
stream
this.docID;
endstream
endobj

Un atacante sólo tendría que distribuir o facilitar una web con un PDF especialmente manipulado con código Javascript para conseguir ejecutar código de manera arbitraria.
Aunque no existen reportes de explotación previos de esta vulnerabilidad, clasificada como crítica, se recomienda actualizar a las últimas versiones de Acrobat y Reader lo antes posible.
Más información:
Adobe Acrobat Reader DC Document ID Remote Code Execution Vulnerabilityhttps://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0505
Security updates available for Adobe Acrobat and Reader | APSB18-02
https://helpx.adobe.com/security/products/acrobat/apsb18-02.html