Millones de routers fibra GPON, nuevos objetivos de Mirai y Muhstik

Una reciente vulnerabilidad descubierta en los gateway GPON, del fabricante Dasan, ponen en peligro millones de routers, tras publicarse diferentes pruebas de concepto. En España, por el momento, solo se verían afectados los operadores Adamo e IngerTV, entre otros.
A principios de este mes, los investigadores de vpnMentor publicaron los CVE (CVE-2018-10561 y CVE-2018-10562) sobre dos vulnerabilidades de salto de restricciones e inyección de comandos en routers de fibra GPON, de la firma Dasan Zhone Solution (DZS) de origen surcoreano. Tras su reporte, que incluía una prueba de concepto totalmente operativa, los diferentes “exploits” no se han hecho esperar, aumentando la peligrosidad de esta nueva vulnerabilidad:
La vulnerabilidades estarían presentes tanto en el mecanismo de autenticación, que sería evadido por el atacante mediante peticiones del estilo “?images/” a cualquier recurso del router:
 /GponForm/diag_FORM?images/
Como por la inyección de comandos, dado que los routers llaman directamente a “ping” y “traceroute” sin aplicar un correcto filtrado de los parámetros, por lo que se pueden inyectar cualquier tipo de comandos a través de dest_host, aplicando los filtros adecuados en función del router:
XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host= <comando> &ipv=0
Nivel de afectados
Según los investigadores y los propios datos almacenados en Shodan, existen cerca de un millón de routers activos y potencialmente vulnerables. Los países más afectados son: Mexico (Telmex y Axtel) con más de 400.000 dispositivos, Kazakhstan (JSC Kazakhtelecom) con más de 300.000 y Vietnam con 160.000 dispositivos (FPT Telecom).

Si nos centramos en España, existe un bajo volumen de routers afectados (sobre 2000), relacionados con los operadores de fibra Adamo e IngerTV.

 

Desde nuestro laboratorio hemos podido comprobar que la vulnerabilidad está presente en muchos de ellos, demostrando la sencillez y peligrosidad de este ataque y que lo hace muy apetecible para cualquier tipo de botnet:


Los routers afectados son, principalmente, la familia Zhone 25xx (como el Zhone ZNID GPON 2516) y la serie GPON H640:

Objetivo de botnets: Muhstik y Mirai

Como comentábamos, esta vulnerabilidad bastante sencilla de explotar, ya está siendo activamente utilizada por las botnets Muhstik, Mirai y variantes. Los investigadores de Netlab 360, han demostrado la gran actividad relacionada con estos dispositivos y su uso en este tipo de botnets, publicando varios IOCs y características de la botnet Muhstik, en concreto.
Aunque comentan la ineficiencia, por el momento, del exploit utilizado que impide la infección de manera efectiva:

Fortunately, the current attack payloads from muhstik, mirai, hajime, and satori, have been tested to be broken and will not implant malicious code.

Soluciones o contramedidas

Para corregir esta vulnerabilidad y dado que la mayoría de estos dispositivos son bastantes antiguos, como comenta DZS, es necesario contactar con nuestro operador para que, o bien sustituya el modelo, o lo pueda actualizar remotamente.

The DZS ZNID-GPON-25xx and certain H640-series ONTs, including the software that introduced this vulnerability, were developed by an OEM supplier and resold by DZS. While designed and released more than 9 years ago, most of these products are now well past their sustainable service life. Because software support contracts are no longer offered for most of these products, we do not have direct insight to the total number of units that are still actively used in the field.

Existe una contramedida facilitada por vpnMentor que permite corregir la vulnerabilidad de manera remota, aprovechándose de la misma para impedir futuros ataques, aunque puede que ya se encontrara infectado el equipo:
GPON Router Vulnerability Antidote


Critical RCE Vulnerability Found in Over a Million GPON Home Routers
GPON Exploit in the Wild (I) – Muhstik Botnet Among Others
https://blog.netlab.360.com/gpon-exploit-in-the-wild-i-muhstik-botnet-among-others-en/

Las URL’s con capacidad de minado no paran de crecer

Cada vez son más las webs que integran capacidad de minado en segundo plano. Este proceso ocurre de forma paralela a la navegación, siendo transparente para el usuario, pero no tanto para la CPU…

 

Hoy en día el más famoso y popular es CoinHive,  una empresa que suministra un código JavaScript con capacidad de minado de la cryptomoneda Monero y añade trazabilidad de los resultados a través de un panel web. Siguiendo a CoinHive se encuentran muy de lejos proyectos como CoinIMP y SocketMiner, pero en este momento, juntando ambos no representan ni un 1% de los casos de minado detectados.

Desde el mes de Enero hemos introducido reglas en nuestra red de visitadoras para detectar casos de minería en webs. En Hispasec analizamos más de tres millones de urls diariamente dentro de nuestro servicio Antifraude, en busca de cualquier amenaza que pueda comprometer la seguridad de nuestros clientes.

Número de URL’s analizadas que presentan minado:

  • Enero: 33451
  • Febrero: 41182
  • Marzo: 47471
  • Abril: 49324
  • Mayo: 66294 estimadas (del día 1 al 10 se detectaron 22098)

Los datos confirman una tendencia al alza de este tipo de técnicas, aunque cruzando los resultados obtenidos con el top 1000 de Alexa no se han encontrado cruces relevantes que confirmen que esta técnica esté siendo utilizada como forma de financiación. Las webs analizadas en su mayoría eran o bien urls de publicidad o páginas de descarga de contenido multimedia.

Desde Una al día hemos hablado en varias ocasiones sobre este tipo de técnicas, tal y como pueden ver en las siguientes noticias ordenados de forma cronológica:

El Csirt de la Comunidad Valenciana ha publicado un documento en el que se describen las distintas técnicas utilizadas por los atacantes para llevar a cabo el minado. Es recomendable su lectura para comprender como el minado web es solo una de las plataformas utilizadas por estos ciberdelincuentes.

Cryptomining malware:

Disponible el informe anual del CCN-CERT sobre amenazas y vulnerabilidades en dispositivos móviles

El CCN-CERT (Centro Criptológico Nacional) ha publicado el informe anual sobre las amenazas y vulnerabilidades en dispositivos móviles.

El informe, nos muestra un recorrido por todo lo acontecido a lo largo de 2017 en materia de seguridad en dispositivos móviles. Sin lugar a dudas, y tal y como refleja el propio informe en su introducción, estos sistemas poseen una amplia adopción tanto en el mundo profesional como en el personal. Esto se refleja también en la orientación o tendencias del malware, cada vez más enfocado en el mundo móvil.

Un hecho destacable es la predominancia del sistema operativo Android y la casi completa desaparición del malogrado Windows Phone. Respecto a Android se vuelve a confirmar algo que ya sabíamos y que hemos repetido varias veces desde Una-al-día: la fragmentación de Android. Un fenómeno que no solo fastidia a los desarrolladores de la plataforma de Google, sino que también significa que una larga porción de usuarios podría estar exponiéndose a vulnerabilidades que afectan a versiones sin soporte.

No obstante, respecto a la fragmentación de Android, el informe recoge una interesante iniciativa que intentará paliar los efectos de este fenómeno. Básicamente, se trataría de separar la capa de personalización de los fabricantes del sistema base. Esto, facilitaría que el gigante del buscador pueda ofrecer actualizaciones de forma más rápida a los usuarios, sin tener que esperar meses o de manera indefinida a un parche producido por el fabricante del terminal.

El informe, también dedica un capítulo a explorar las diferentes medidas se seguridad biométrica, como el sistema FaceID de Apple, el escaneo del iris y reconocimiento facial de Samsung o el Intelligent Scan que estrenaron los dispositivos S9 y S9+ del mismo fabricante.

Otros aspectos destacables del informe son la adopción paulatina de formas adaptadas de inteligencia artificial en estos dispositivos y los sistemas de protección frente a desbloqueos y extracción forense de datos en caso de sustracción o pérdida del terminal. Recordemos la importancia de estas plataformas hace que sean un objetivo muy apetecible para el robo de información sensible, sobre todo en el ámbito de las organizaciones y gobiernos.

A destacar la parte de análisis de las amenazas más destacadas en el sentido del malware que afecta a sistemas operativos móviles, en la que vuelve a ser el protagonista Android, así como la orientación de los objetivos del código malicioso a explotar las capacidades computaciones de estos sistemas para minar criptomoneda.

En resumen, una interesante lectura que glosa lo acontecido en seguridad de sistemas y plataformas móviles durante el pasado año y marca, a su vez, las lineas de tendencia que podría seguir el presente año.

 

Informe Anual 2017 Dispositivos y comunicaciones móviles
https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/2826-ccn-cert-ia-10-18-informe-ciberamenazas-2017-y-tendencias-2018-dispositivos-moviles-dispositivos-y-comunicaciones-moviles/file.html

Detectado backdoor en el módulo Python SSH Decorate / Decorator

Ayer se hizo público en diversos foros de seguridad la presencia de una “backdoor” en el módulo Python, SSH Decorate, lo que ha provocado que finalmente el autor cierre sus repositorios al detectarse que su cuenta fue comprometida.

El módulo SSH Decorate era un decorador de Paramiko para Python, que ofrecía funcionalidades de cliente SSH, desarrollado por el programador israelí Uri Goren,colaborador del proyecto SciPy. Aunque no era muy popular (cerca de 4000 descargas lo corroboran), ejemplifica cómo puede darse este tipo de incidencias de la manera más sencilla, por lo que fue un objetivo fácil de utilizar para propagar este backdoor.
Según los avisos recibidos en su cuenta de GitHub, Uri fue alertado de la presencia de código modificado que capturaba los credenciales, como se puede observar en la imagen:

Fuente: beurcni
El desarrollador avisó que su cuenta había sido comprometida, cambiando su código para incluir esta backdoor. Tomó la decisión de cambiar la contraseña y renombrar el proyecto como “ssh-decorator“, pero, finalmente y tras todo este revuelo, ha decido borrar la presencia de su código en todas sus cuentas de Github y PyPi:

https://pypi.org/project/ssh-decorate/
https://pypi.org/project/ssh-decorator/
https://github.com/urigoren/ssh_decorator/

Lo que en un principio podría ser un ataque viable con paciencia y mediante el uso de diccionarios, se vuelve más sencillo, si cabe, tras analizar las versiones anteriores del código. En su versión 0.2 se pueden encontrar credenciales por defecto de una cuenta en Bluehost, por lo que, probablemente, los atacantes hayan reutilizado esta misma contraseña en su cuenta de Pypi para poder distribuir la versión modificada:
Fuente: Hispasec
Esta vulneración tan evidente de un módulo, junto con los recientes incidentes publicados sobre otros módulos y repositorios, pone el foco en el esquema de seguridad presente en repositorios como Pypi, donde, a día de hoy, no hay un modo rápido ni claro de poder reportar estos incidentes de módulos maliciosos o vulnerados, ni existe un método de verificación de los mismos mediante firma, por ejemplo.

José Mesa
@jsmesa
Más información:

Report projects that damage other packages, don’t adhere to guidelines, or are malicious

Elevación de privilegios y otras vulnerabilidades en TP-Link EAP Controller

Se han hecho públicos varios fallos de seguridad que afectan a EAP Controller y que podrían permitir elevar privilegios, descargar, modificar y restaurar una copia de seguridad, y realizar ataques Cross-Site Request Forgery (CSRF) y Cross Site Scripting (XSS).

EAP Controller es un software de gestión para dispositivos TP-Link EAP que permite la administración y supervisión de forma centralizada utilizando un navegador web. En las nuevas versiones, TP-Link ha cambiado el nombre de este software a Omada Controller.

Las vulnerabilidades, descubiertas por Julián Muñoz de Core Security Exploits QA, son las siguientes:

* CVE-2018-10168: la falta de control de privilegios en el uso de la API web permitiría a un usuario limitado realizar cualquier solicitud como administrador.

Se propone la siguiente prueba de concepto para crear un nuevo usuario administrador simplemente con la‘cookie’ de sesión de un usuario de tipo ‘observador’ (el usuario de privilegios más bajos en este software):

PoC para CVE-2018-10168

El parámetro ‘roleId’ utilizado en el script puede ser recuperado del fichero de backup utilizando la siguiente vulnerabilidad.

* CVE-2018-10167: la clave utilizada para encriptar el fichero de respaldo de la aplicación web se encuentra incrustada en el software, lo cual podría comprometer su confidencialidad e integridad.

La PoC siguiente muestra como un usuario sin privilegios puede obtener, desencriptar, modificar y restaurar una copia de seguridad de la aplicación:

PoC para CVE-2018-10167

* CVE-2018-10166: falta de protección ante falsificación de solicitudes entre sitios. Al no haber tokens ‘anti-CSRF’ en los formularios de la interfaz web, un atacante podría enviar solicitudes autenticadas engañando o convenciendo a un usuario con sesión activa para que visite una página web especialmente manipulada desde la que se realizará la petición HTTP no autorizada y sin conocimiento del usuario legítimo.

Por ejemplo, se podría enviar una petición para crear un usuario administrador, como demuestra la PoC:

PoC para CVE-2018-10166

* CVE-2018-10165: el parámetro ‘userName’ en ‘/hotspot/localUser/saveUser’ es vulnerable a un XSSpersistente.

PoC para CVE-2018-10165

* CVE-2018-10164: la implementación de ‘portalPictureUpload’ es vulnerable a un XSS persistente.

Como prueba de concepto se aprovecha información obtenida del fichero de backup –gracias a la vulnerabilidad CVE-2018-10167– que muestra que la imagen de fondo del portal se carga en base64 y se almacena en la base de datos. De esta forma, basta con modificar el valor de ‘fileData’ con el código a ejecutar (en este caso “<script>alert(1)</script>” codificado en base64) y restaurar la copia de respaldo para obtener un XSS persistente.

Extracto del fichero de backup

Para ejecutar el código es necesario visitar la página https://<EAP_CONTROLER_IP>:8043/globalsetting/portalPictureLoad?fileId=<FILE_ID>

Las versiones TP-Link EAP Controller V2.5.4s y TP-Link Omada Controller V2.6.0 son vulnerables.

TP-Link ha liberado una nueva versión de Omada Controller V2.6.1 (Omada Controller es el nuevo nombre para las últimas versiones) que corrige los anteriores fallos de seguridad.

 
TP-Link EAP Controller Multiple Vulnerabilities:

Vulnerabilidades remotas en vehículos de Audi y Volkswagen

Investigadores holandeses han encontrado vulnerabilidades explotables remotamente en los sistemas de información de ciertos modelos de vehículos de la marca Audi y Volkswagen.

Dan Keuper y Thisj Alkemade, investigadores de la empresa Computest, han hallado varias vulnerabilidades en el sistema de información de los vehículos Audi A3 Sportback e-tron y Volkswagen Golf GTE fabricados en 2015. Las vulnerabilidades encontradas podrían causar que un atacante pueda escuchar por el micrófono del vehículo, acceder a los contactos de la agenda o acceder al histórico del sistema de navegación del vehículo.

Una vez conectados a la red wifi que ofrece el vehículo, mediante un exploit creado por ellos, consiguieron acceder al sistema de información de estos vehículos, fabricado por Harman. Una vez dentro, observaron que no podían enviar mensajes CAN (el protocolo de intercambio de mensajes entre módulos del vehículo) de forma directa, aunque si podían acceder a ciertas funcionalidades e información del sistema de información.

Un segundo vector fue encontrado a través de USB. En concreto, si el sistema detecta un dispositivo USB-to-Ethernet (una tarjeta de red USB), levanta una nueva interfaz donde expone el servicio vulnerable. Este vector a diferencia del primero requiere de la manipulación física del vehículo.

El problema añadido es que el software de estos vehículos no puede ser actualizado de forma remota, siendo necesario que el vehículo sea actualizado en un centro autorizado. Por parte de Volkswagen se han reconocido y corregido las vulnerabilidades halladas; que fueron reportadas de forma responsable por la compañía holandesa.

El paper publicado desgrana los detalles (hasta cierto punto) de la investigación realizada. Como podemos ver, cada vez que los vehículos se llenan de funcionalidades informáticas aumenta su superficie de exposición.

Desde hace años, este tipo de sistemas son objeto de más y más investigaciones en las que podemos ver como no se libran de fallos que pueden comprometer seriamente la seguridad tanto lógica como física de los automóviles.

https://www.computest.nl/wp-content/uploads/2018/04/connected-car-rapport.pdf

Vulnerabilidad crítica: usuarios de PGP deben desactivar de inmediato plugins de descifrado de emails

Acaba de anunciarse el descubrimiento de una vulnerabilidad que podría comprometer las comunicaciones futuras y pasadas a través de email que usan PGP

El descubrimiento de una vulnerabilidad por un grupo europeo de investigación, entre los que se encuentran miembros de DROWN Attack, obliga a desactivar de inmediato los plugins para el descifrado de emails mediante PGP y S/MIME. Se especifican en concreto los siguientes plugins:

  • Thunderbird con GPGTools
  • Apple Mail con GPGTools
  • Outlook con Gpg4Win
Aunque todavía no se han dado detalles sobre el funcionamiento de esta vulnerabilidad, se sabe que su explotación puede realizarse mediante un email especialmente manipulado. Además, esta vulnerabilidad no sólo afectaría a los futuros emails, sino también a los pasados.
Es necesario aclarar, que el fallo no se encontraría en GPG, el cual sigue siendo seguro tal y como ha asegurado GnuPG en Twitter, sino en el parseador que utilizan los plugins para detectar errores en el descifrado.
La vulnerabilidad a día de hoy no tiene solución, según ha dicho Sebastian Schinzel a través de Twitter, por lo que deben mantenerse deshabilitados o desinstalar los plugins que permitan el descifrado hasta entonces. Mañana martes, a las 07:00 UTC (08:00 en España peninsular) se mostrarán más detalles en un paper que se liberará.