El servicio postal de Estados Unidos expone datos de 60 millones de usuarios

El servicio postal de Estados Unidos ha corregido recientemente una vulnerabilidad crítica que exponía datos de los usuarios.

servicio_postal

La oficina de servicio postal de Estados Unidos se encarga de gestionar el servicio de correos en todo el país. Uno de sus servicios consiste en ofrece una API con la que se puede acceder a información sobre el estado de los envíos. Según especialistas en forense digital y ciberseguridad del Instituto Internacional de Seguridad Cibernética ha sido corregida, y se trataba de una vulnerabilidad en la autenticación de la API.

El fallo en la API ocurría debido a que esta permitía a cualquier usuario registrado en USPS realizar consultas al sistema utilizando “comodines” como parámetros de búsqueda. Como resultado, los usuarios podían utilizar este fallo para realizar consultas sobre cualquier envío y obtener datos de otros usuarios como: direcciones de email, números de cuenta, números de teléfono o direcciones.

Además de poder acceder a datos de otros usuarios, un fallo de autenticación en la API, permitía a cualquier usuario realizar peticiones para modificar datos de otros usuarios.

Según el Servicio Postal, por el momento no hay indicios de que esta vulnerabilidad haya sido explotada de forma maliciosa por ningún usuario. Pero continua estudiando el incidente para determinar si en algún momento la vulnerabilidad ha sido explotada.

Más información:
 

https://www.cnet.com/es/noticias/usps-corrige-bug-expuso-datos-60-millones-usuarios/

Nuevo minador en Linux capaz de cambiar la contraseña del administrador

A pesar de la continua caída del valor de las criptomonedas, siguen siendo un objetivo prioritario para los desarrolladores de malware. La empresa rusa de antivirus Dr.Web ha descubierto recientemente un sofisticado minador para la criptomoneda Monero (XMR) que afecta a los sistemas Linux.

monero mining malware
Extraído de CCN.com.

Pese a que el malware diseñado para sistemas Linux aún no está muy extendido, cada vez se está volviendo más complejo y multifuncional. Elmalware Linux.BtcMine.174, comentado en este artículo, es una prueba de ello.

El fabricante ruso de antivirus Dr.Web ha identificado a este malware con un nombre genérico de Linux.BtcMine.174. No obstante, este troyano no tiene nada de genérico. Está diseñado para realizar una serie de acciones bien planificadas para garantizar al atacante que cumple con su fin último: minar la criptomoneda Monero.

Se trata de un script de shell de más de mil líneas de código, que en primer lugar, trata de ser el primer archivo en ejecutarse al arrancar el sistemaLinux. A continuación, busca una carpeta en la que pueda copiarse para trabajar desde ella autorreplicándose y descargándose otros módulos adicionales que amplíen sus funcionalidades.

El siguiente paso que realiza este troyano es la explotación de las vulnerabilidades CVE-2016-5195 y CVE-2013-2094, para lograr una elevación de privilegios y conseguir los permisos de root con los que hacerse con el control del sistema operativo. De este modo logra configurarse como un demon local, llegando a descargarse la utilidad nohup en caso de necesitarla.

Llegados a este punto, el Linux.BtcMine.174 ya ha logrado hacerse con el control del equipo infectado. A continuación, procede con la ejecución de su función principal: la minería de criptomonedas. Para optimizar la explotación del huésped comienza escaneando el sistema para eliminar todo malware rival que pudiera estar ya operando, y luego descarga e inicia su propia infraestructura de minería de Monero.

Al mismo tiempo descarga y ejecuta en paralelo otro malware, llamado Trojan.Linux.BillGates, un troyano capaz de realizar ataques DDoS entre otras funciones típicas de la familia Backdoor. Y para evitar su detección por parte del usuario, también busca procesos asociados con soluciones antivirus basadas en Linux, deteniéndolos al igual que hiciera previamente con el malware rival. Hasta ahora, los investigadores de Dr.Web han identificado como procesos antivirus susceptibles de ser interrumpidos por este malware:safedog, aegis, yunsuo, clamd, avast, avgd, cmdmgd, drweb-configd, drweb-spider-kmod, esets y xmirrord.

La siguiente fase del ataque consiste en descargarse y ejecutar un rootkit, y agregarse como una entrada de ejecución automática a archivos como/etc/cron.hourly, /etc/rc.local, /etc/rc.d/,… Todo ello para robar las contraseñas ingresadas por el usuario con el comando su y ocultar sus archivos dentro del sistema de archivos, conexiones de red y procesos en ejecución. Además, elmalware recopilará información sobre los servidores remotos a los que el huésped se haya conectado a través de SSH con el objeto de intentar acceder a los mismos para continuar con su propagación.

Gracias a esta estrategia de robo de credenciales SSH válidas, el Linux.BtcMine.174 es capaz de autopropagarse por esta vía a la vez que dificulta la tarea de los administradores de sistema Linux para proteger adecuadamente las conexiones SSH, puesto que basta con que el malwareinfecte un host autorizado para saltarse dicha protección.

Más información:

  • New Linux crypto-miner steals your root password and disables your antivirus (ZDNet)
  • Virus Linux.BtcMine.174 (Dr Web)

Ejecución de código remoto en Mac OS a través de Safari

Se han encontrado 3 vulnerabilidades Zero-Day que permitían la ejecución de código en el sistema a través del navegador Safari.

El equipo de seguridad ofensiva de Dropbox realizó una práctica de Red Team en la que se encontraron 3 vulnerabilidades diferentes, que juntas permitieron abrir en el sistema a través de Safari una aplicación firmada para que ejecutase otra no firmada con código malicioso.

El primero de los fallos, identificado con el CVE-2017-13890, se encontraría en la asignación de los “Core-Type” para la extensión “.smi” y sus aplicaciones autorizadas. Dicha extensión es utilizada al mismo tiempo para el Core-Type com.real.smil, empleado por Real Player y que no supondría ningún riesgo, como por el Core-Type com.apple.disk-image-smi, que corresponde a Disk Image Mounter. Al ser la extensión “.smi”utilizada por Real Player, ésta se marca como segura, a pesar de que Disk Image Mounter sí puede suponer un riesgo.

Aunque la vulnerabilidad anterior permite abrir una imagen, con el inconveniente que ello supone, es la vulnerabilidad CVE-2018-4176 en la utilidad bless la que supone un auténtico problema, al permitir ejecutar una aplicación. El fallo se encuentra en el parámetro “–openfolder” de bless, que al contrario de lo que dice su descripción, en vez de abrir el directorio contenedor con el explorador de archivos (Find), ejecuta la aplicación de la ruta si ésta fuese un bundle con extensión “.bundle”.

A pesar de todo, y aunque con la anterior vulnerabilidad ya es posible ejecutar una aplicación, Mac OS incluye una medida de seguridad adicional que impide la ejecución de aplicaciones no firmadas que se hayan descargado desde Safari. En caso de abrir una aplicación no firmada, Gatekeeper, el encargado de esta medida de seguridad, muestra una advertencia e impide la ejecución. No obstante, Gatekeeper sí permite la ejecución si es una aplicación firmada, y se ha descubierto que modificando el fichero Info.plist del bundle (lo cual no invalida la firma) es posible asociar una nueva extensión para permitir la ejecución de un programa, y que Gatekeeper no controla si dicho programa está firmado o no. Se ha asignado el identificador CVE-2018-4175 a dicha vulnerabilidad, y ha podido comprobarse su funcionamiento ejecutando un script no firmado a través de un bundle modificado que ejecuta la aplicación Terminal del sistema.

Los fallos fueros corregidos en la actualización de marzo de este año. Las versiones actualizadas son MacOS High Sierra 10.13.4Security Update 2018-002 Sierra, y Security Update 2018-002 El Capitan. En caso de no haber recibido alguna de estas actualizaciones en su momento, se urge actualizar lo antes posible.

 

Más información:

Offensive testing to make Dropbox (and the world) a safer place:
https://blogs.dropbox.com/tech/2018/11/offensive-testing-to-make-dropbox-and-the-world-a-safer-place/

About the security content of macOS High Sierra 10.13.4, Security Update 2018-002 Sierra, and Security Update 2018-002 El Capitan:
https://support.apple.com/en-us/HT208692