Inyección SQL en RSA Web Threat Detection

Se ha hecho pública una vulnerabilidad de inyección SQL en RSA Web Threat Detection que podría comprometer el sistema afectado.



RSA Web Threat Detection es un software que analiza en tiempo real la actividad y tráfico de aplicaciones web para detectar anomalías, amenazas, fraudes, abusos y otras actividades maliciosas basándose en las diferencias de comportamientos y patrones de uso de un usuario legítimo y un atacante.

RSA Web Threat Detection es utilizado, entre otras, por empresas de comercio electrónico y entidades bancarias para obtener seguridad y protección contra el delito cibernético.

Se ha detectado una incorrecta validación de las entradas proporcionadas por el usuario en las aplicaciones ‘Administration’ y ‘Forensics’, que permitiría realizar inyecciones SQL. Esta vulnerabilidad ha sido identificada como CVE-2018-1252 y gravedad alta.

Un usuario con bajos privilegios podría explotar este fallo de seguridad para ejecutar comandos SQL en la base de datos subyacente y comprometer la confidencialidad, integridad y disponibilidad del sistema afectado, logrando acceso no autorizado a, por ejemplo, la información de usuario y la supervisión de la herramienta.

Se encuentran afectadas por esta vulnerabilidad las versiones 6.3 y anterioresLa versión 6.4 de RSA Web Threat Detection se encuentra disponible y se recomienda a los clientes de este software actualizar tan pronto como sea posible.

Más información:
 
DSA-2018-085: RSA Web Threat Detection SQL Injection Vulnerability:

Fallo de seguridad en OnePlus 6 permite iniciar cualquier imagen

Fallo de seguridad en OnePlus 6 permite iniciar cualquier imagen

Es posible iniciar imágenes incluso con el gestor de arranque bloqueado

Resultado de imagen de one plus 6

Se ha descubierto una vulnerabilidad grave en el gestor de arranque del OnePlus 6 que hace posible que alguien arranque imágenes arbitrarias o modificadas para tomar el control total de su teléfono, incluso si tenemos el gestor bloqueado.

El gestor de arranque es parte del firmware incorporado del teléfono y al bloquearlo impide que los usuarios reemplacen o modifiquen el sistema operativo del teléfono con ROM de terceros no certificadas, lo que garantiza que el sistema arranque en el sistema operativo correcto.

Este fallo ha sido descubierto por el investigador de seguridad Jason Donenfeld de Edge Security:

El gestor de arranque en OnePlus 6 no está completamente bloqueado, lo que permite a cualquier persona flashear cualquier imagen de arranque modificada en el teléfono y tomar el control total del mismo.

Además, el propio investigador demostró en vídeo como es posible que un atacante físico pueda iniciar cualquier imagen maliciosa en OnePlus 6.

 

La marca OnePlus ha reconocido el problema y ha prometido lanzar una actualización de software en breve. Hasta entonces, si tienes este modelo, te recomendamos que no lo pierdas de vista.

https://www.xda-developers.com/oneplus-6-bootloader-protection-exploit-physical-access/

InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia

InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.

 

Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.

Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.

El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia “secuestrando” una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe‘, ‘explorer.exe‘ o ‘svchost.exe‘. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas.

Los dos módulos ejecutados por el malware: ‘RC2FM‘ y ‘RC2CL‘ cumplen diferentes propósitos:


RC2FM

Introduce una puerta trasera que implementa hasta 15 comandos para realizar tareas de espionaje o hacer cambios en el sistema. Este módulo se comunica con el servidor de C&C que se encontraba hardcodeado en las muestras analizadas por el equipo de ESET.

Comunicación con el C&C. Fuente: www.welivesecurity.com

Listado de los comandos implementados (ID, descripción)

  • 0   Muestra información sobre los discos, ficheros y directorios y carpetas compartidas.
  • 2   Operaciones de creación, modificación y borrado de ficheros y directorios.
  • 4   Abre un fichero y posiciona el puntero de fichero al inicio.
  • 5   Cierra un fichero abierto anteriormente.
  • 6   Escribe un fichero abierto anteriormente.
  • 7   Cambia la fecha del fichero.
  • 8   Posiciona el puntero de fichero al final.
  • 10  Modifica la fecha del fichero/Elimina el fichero
  • 12  Busca ficheros especificando una máscara de búsqueda.
  • 13  Toma una captura de pantalla.
  • 14  Sube o modifica algún fichero con datos internos.
  • 15  Graba el sonido de los dispositivos de audio disponibles.
  • 16  Comprueba si hay algún fichero abierto.
  • 17  Actualiza la lista de servidores de C&C
  • 19  Crea, modifica o elimina el registro.

RC2CL

Este módulo también introduce otra puerta trasera que permite al operador del malware recopilar toda la información posible sobre la víctima, desde información sobre el sistema hasta listados de procesos activos, servicios en ejecución, drivers disponibles, información sobre la red, etc. No sólo eso, el malware permite deshabilitar el control de acceso a usuarios (UAC) para poder manipular ficheros protegidos sin tener permisos de administrador. Tomar capturas de la webcam o grabaciones desde el micrófono.

Para evitar ser detectado, el malware cifra todos sus strings, ficheros internos, configuraciones y comunicaciones.

Algunos IOCs:
SHA1- 5EE6E0410052029EAFA10D1669AE3AA04B508BF9
SHA1- 2FCC87AB226F4A1CC713B13A12421468C82CD586
SHA1- B6BA65A48FFEB800C29822265190B8EAEA3935B1
SHA1- C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
SHA1- A5A20BC333F22FD89C34A532680173CBCD287FF8
Más información:
 
InvisiMole: surprisingly equipped spyware, undercover since 2013
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/InvisiMole — Indicators of Compromise
https://github.com/eset/malware-ioc/tree/master/invisimole