Vulnerabilidad crítica en Cisco IOS deja a miles de dispositivos al descubierto

La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario, tomar el control total de los equipos de la red vulnerable e interceptar tráfico.

Resultado de imagen de cisco hacked

La vulnerabilidad de desbordamiento de búfer (CVE-2018-0171) reside debido a una validación incorrecta de los datos del paquete Small Install Client, el cuál es una función plug-and-play que ayuda a los administradores a implementar dispositivos de red fácilmente.

La empresa Embedi, descubridora de este fallo, ha publicado los detalles técnicos y el código de la prueba de concepto (PoC) después de que Cisco lanzara las actualizaciones pertinentes para abordar el fallo.

Como funciona la vulnerabilidad:

Un atacante debe enviar un mensaje de instalación del software antes mencionado (Small Install Client) a un dispositivo afectado en el puerto 4784, que está abierto de manera predeterminada.

Cisco comentó en un comunicado:

“Para ser más precisos, el desbordamiento de búfer se encuentra en la función ‘smi_ibc_handle_ibd_init_discovery_msg'” y “porque el tamaño de los datos copiados directamente a un búfer de tamaño fijo no son comprobados. El tamaño y los datos se toman directamente del paquete de red el cuál es controlado por el atacante.”

Demostraciones en vídeo:

En la primera demostración, los investigadores atacaron a un switch Cisco Catalyst 2960 para cambiar la contraseña y entrar en el modo EXECprivilegiado.

En la segunda, explotan el fallo para interceptar el tráfico entre otros dispositivos conectados al switch vulnerable e internet.

Dispositivos vulnerables:

  • Catalyst 4500 Supervisor Engines
  • Catalyst 3850 Series
  • Catalyst 3750 Series
  • Catalyst 3650 Series
  • Catalyst 3560 Series
  • Catalyst 2960 Series
  • Catalyst 2975 Series
  • IE 2000
  • IE 3000
  • IE 3010
  • IE 4000
  • IE 4010
  • IE 5000
  • SM-ES2 SKUs
  • SN-ES3 SKUs
  • NME-16ES-1G-P
  • SM-X-ES3 SkUs

 

Cisco publicó el parche para corregir este fallo el 28 de Marzo, por lo que se recomienda a todo el mundo que actualice sus dispositivos lo antes posible.

Ejecución remota de código en el motor de Microsoft Malware Protection

Microsoft ha actualizado urgentemente su motor Microsoft Malware Protection (mpengine.dll) para corregir una vulnerabilidad crítica que afectaría, entre otros, a Windows Defender, Security Essentials y Exchange Server.

La vulnerabilidad fue descubierta por el investigador de Google Project Zero, Thomas Dullien, y se le ha asignado el CVE-2018-0986. Según lainvestigación de Thomas, existiría una incorrecta comprobación de valores en el módulo principal “mpengine.dll”, al haber realizado una implementación de la gestión de archivos comprimidos en formato RAR, utilizando para ello un fork del código libre de unrar.
El problema reside en la modificación del código original, eliminando la comprobación de signo de los valores (signed int), que sí estaba presente inicialmente.
En base a la prueba de concepto publicada, un atacante, utilizando un fichero .RAR especialmente modificado, podría generar un desbordamiento de memoria y potencialmente ejecutar código de manera remota, como se comenta en el propio reporte:

An attacker that can set PosR to be -2, and DataSize to 1, will bypass the (PosR + 2 < DataSize) check.

A minimal sample RAR file that exhibits these traits & causes mpengine to corrupt memory and crash is attached.

Debido a que este motor está presente de serie en diversas versiones de Windows (desde la 7 hasta la 10) y herramientas específicas de correo, como Exchange server, se han publicado urgentemente paquetes de actualizaciones automáticas para corregir la vulnerabilidad.

Las versiones afectadas son:

  • Microsoft Exchange Server 2013 y 2016
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Security Essentials
  • Windows Defender (Windows 7, 8, 10, Server 2012, 2016)
  • Windows Intune Endpoint Protection

Publicada en el BOE la instrucción técnica sobre auditorías de seguridad ENS

Nos hacemos eco, vía el CCN-CERT, de la publicación en el BOE de la tercera instrucción técnica acerca de las auditorías de seguridad obligatorias, la cual, establece las condiciones en las que deberán realizarse las auditorías de seguridad obligatorias para los sistemas clasificados con categoría MEDIA o ALTA, dentro del ámbito del Esquema Nacional de Seguridad (en adelante, ENS).

¿Qué es una instrucción técnica? 

En las propias palabras del CCN-CERT:

Estas instrucciones técnicas entran a regular aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; notificación de incidentes de Seguridad; auditoría de la Seguridad; conformidad con el Esquema Nacional de Seguridad; adquisición de Productos de Seguridad; criptología de empleo en el Esquema Nacional de Seguridad; interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados, sin perjuicio de las propuestas que pueda acordar el Comité Sectorial de Administración Electrónica, según lo establecido en el citado artículo 29.

¿Ha de auditarse un sistema de información de categoría BÁSICA?

No es obligatorio, pero de forma voluntaria es recomendable. Un sistema de información con dicha categoría sólo está obligado a una autoevaluación por los administradores o en quien estos deleguen. Básicamente, un documento donde se expone que las medidas de seguridad exigidas están implementadas y son revisadas con regularidad.

¿Cuándo debo auditar los sistemas de información con categoría MEDIA o ALTA?

Las auditorías son necesarias, al menos una cada dos años, para obtener la certificación de adecuación al ENS. Además, se deberán realizar auditorías extraordinarias cada vez que el sistema reciba modificaciones cuyo alcance modifique los requerimientos de seguridad.

Independencia del auditor

Un punto interesante y a tener en cuenta es la circunscripción explícita de las tareas de auditorías al cometido o ámbito para la que están encomendadas. Esto, impide que dentro del proceso de auditoría entren funciones de consultoría, labores de implantación o la modificación lógica de las aplicaciones del propio sistema de información auditado. Incluso cierra la puerta a la realización de la documentación exigida por el ENS o los procedimientos de actuación.

Es decir, el auditor viene a auditar. Solo eso. Se respeta así la independencia de un proceso. Por lo que, ni el auditor puede ofertar arreglar los fallos que él mismo encuentra (algo, muy cuestionable éticamente) ni por tu parte puedes exigirle que implemente las modificaciones y medidas propuestas por él en su informe. Es más, se hace explícito algo que siempre hemos defendido desde HISPASEC: no recomendar ningún producto o servicio concreto. Independencia absoluta y sin intereses.

¿Cómo se clasifican los hallazgos?

En dos. “No conformidad menor” y “No conformidad mayor”. Las primeras indican fallos o controles de seguridad ausentes en uno o más requisitos del ENS. Pero ojo, dan cabida a la “duda significativa”. Es decir, cuando mediante una evidencia objetiva, el auditor plantee la posibilidad de existencia de una no conformidad en los requisitos, entonces pasa a considerarse una no conformidad de lleno.

Para que nos hagamos una idea, una no conformidad podría ser no usar criptografía en dispositivos removibles (un USB) si el sistema de información posee categoría MEDIA o ALTA; siendo necesario en ésta el uso de algoritmos aprobados por el Centro Criptológico Nacional (CCN).

Resultados de la auditoría

La auditoría posee tres finales posibles: “FAVORABLE”, en el cual el sistema no poseerá ninguna “no conformidad”. “FAVORABLE CON NO CONFORMIDADES”, en la que existen deficiencias, tanto mayores como menores. En este caso, se deberá presentar en el plazo de un mes un Plan de Acciones Correctivas sobre dichos hallazgos a la entidad certificadora. Por último, tenemos el resultado “DESFAVORABLE”. En este caso, se deberá realizar una nueva auditoría extraordinaria, en el plazo de seis meses, para comprobar que se han solucionado los hallazgos encontrados por el auditor.

La instrucción técnica se encuentra publicada aquí y entra en vigor hoy mismo, 4 de abril de 2018.


Más información:

Publicada en el BOE la Instrucción Técnica de Seguridad de Auditoría

Estado del arte del malware de minado de criptomonedas publicado por CSIRT-CV

El Centro de Respuesta ante Incidentes de la Comunitat Valenciana (CSIRT-CV) ha publicado hoy un estudio sobre el estado del arte de algunas de las variantes más extendidas de amenazas orientadas al minado de criptodivisas.

En el informe se detallan el tipo de equipos objetivo más comunes de cada una, así como sus principales víastécnicas de infección últimas tendencias que este CSIRT ha detectado.

A partir de toda la información recabada en dicho informe se puede enfatizar el considerable incremento de nuevas amenazas de tipo ‘miner’ y el hecho de que la mayoría se basan en código reutilizado de repositorios públicos. Otro hecho interesante es que se está explotando todo tipo de dispositivos para minar criptomonedas, desde equipos de usuario, servidores, smartphones y dispositivos IoT.

 

“Todo dispositivo capaz de ejecutar un conjunto de instrucciones puede servir de plataforma para minar criptomoneda”

En el informe de CSIRT-CV no solo nos hablan de los equipos de usuario o servidores como objetivos de infección sino de los dispositivos Android.

Malware como Loapi o ADB.Miner están en auge y cada vez son más las APK que intentan aprovecharse de la potencia de cómputo de los cada vez más avanzados terminales móviles o dispositivos IoT para minar criptomonedas. Un ejemplo de este hecho es el que muestran en el informe, en el que muestran cómo partiendo de nuestra plataforma Koodous y unas sencillas firmas Yara se pueden ir detectando un gran número de APK sospechosas de tener como objetivo no lícito el minado de criptomonedas.

A nivel de tendencias destacan, entre otras, en cuanto a infección de servidores, la distribución de ‘miners’ haciendo uso de vulnerabilidades en los procesos inseguros de deserialización de objetos Java para, tras explotarlas, descargar y ejecutar el ‘miner’ en el servidor comprometido, el aumento de la explotación de las vulnerabilidades CVE-2017-5638 (Apache Struts) y CVE-2017-9822 del servicio DotNetNuke para introducirse en los sistemas y dependiendo de si se trata de un servidor Windows o Linux, cuenta con diferentes Payloads en Powershell o Bash a partir de los cuales descarga el ‘miner’ en el equipo.

En el informe también se recogen una serie de mecanismos de detección para los distintos tipos de ‘miners’ mencionados tanto a nivel de red como de dispositivo y una serie de recomendaciones para protegerse ante este tipo de malware.

Si quieren descargar el informe completo pueden hacerlo desde el siguiente enlace:
https://www.csirtcv.gva.es/sites/all/files/downloads/Cryptomining_Malware.pdf

Actualización de múltiples productos Apple

Apple ha publicado 8 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, Xcode, e iTunes e iCloud para Windows. Entre todos los productos se corrigen 192 fallos de seguridad

Los boletines publicados con las actualizaciones y problemas solucionados se resumen como sigue:

  • El boletín para iOS 11.3, el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), resuelve 43 vulnerabilidades. Este es el boletín más amplio de todos y los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen‘Mail’, ‘Telephony’, ‘Clock’, ‘Find My iPhone’, el kernel ‘WebKit’ entre otros. Uno de los fallos permitiría a una persona con acceso físico al dispositivo deshabilitar la funcionalidad ‘Find My iPhone‘ sin necesidad de introducir la contraseña.
  • macOS High Sierra 10.13.4 y los Security Update 2018-002 para Sierray El Capitan. En este caso se solucionan 35 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘APFS’, ‘ATS’, ‘CoreText’, ‘IOFireWireFamily’, ‘LaunchServices’, ‘curl’ y el kernel.8 de estas vulnerabilidades podrían permitir la ejecución de código arbitrario -algunas con privilegios de ‘kernel’ o ‘system‘, y adicionalmente otras 10 permitirían elevar los privilegios del usuario.
  • Safari 11.1 representa otro boletín que soluciona 23 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador.
  • El boletín para watchOS 4.3, el sistema operativo destinado a los relojes inteligentes Apple Watch, soluciona 22 vulnerabilidades entre las que también se encuentran algunas que podrían permitir laejecución de código arbitrario y la elevación de privilegios.
  • En el sistema operativo de los televisores de la marca, tvOS 11.3, se corrigen 28 vulnerabilidades en múltiples componentes, la mayoría de ellas (18) podrían permitir la ejecución remota de código arbitrario y otras 4 elevar privilegios en el sistema.
  • Las versiones iTunes 12.7.4 e iCould 7.4 para Windows incluyen la corrección de 20 vulnerabilidades.
  • Por último Xcode 9.3 soluciona múltiples problemas en ‘llvm’.

Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así comoa través de los canales habituales de actualización.

Más información:

 
iOS 11.3:

Ejecución de código arbitrario en librelp

Se ha corregido una vulnerabilidad de desbordamiento de pila en la librería librelp que podría causar la ejecución de código arbitrario.

librelp (Reliable Event Logging Library) es una librería de registro de eventos a través de red creada por Rainer Gerhards con la idea de paliar las deficiencias de syslog, entre ellas, la de poner un énfasis en que no se pierdan mensajes durante el tránsito.

El fallo, encontrado por el equipo de seguridad de LGTM, se encuentra en un error al interpretar el valor devuelto por una llamada a la función snprintf como el número de bytes reales escritos en el búfer en vez de los que virtualmente se hubiesen escrito si el búfer hubiera sido lo suficientemente amplio.

La vulnerabilidad puede ser explotada a través de un certificado X.509 cliente con el campo “subject alt names” especialmente manipulado, causando o bien la caída del servidor o la ejecución de código arbitrario.

Las versiones de librelp vulnerables son desde la 1.1.1 hasta la 1.2.14. La vulnerabilidad posee el CVE-2018-1000140. El parche está disponible en este enlace. Ya se ha publicado la versión 1.2.15 que corrige este error.

Bug en MacOS revela contraseñas para volúmenes encriptados APFS

Se encuentra un fallo grave de programación en el sistema de archivos APFS para el SO MacOS High Sierra que expone las contraseñas de unidades encriptadas.

Para el que no lo conozca, APFS (Apple File System) es un sistema de archivos optimizado para dispositivos de almacenamiento SSD y flash que ejecutan MacOS, iOS, TVOS y WatchOS. Este sistema aseguraba tener una fuerte encriptación.

Sin embargo, la analista forense Sarah Edwards ha descubierto un fallo que deja la contraseña de cifrado de un volumen recién creado en los registros unificados en texto sin formato.

Según el informe registrado, el sistema guarda las claves de cifrado de los volúmenes APFS en el propio disco en lugar de hacerlo en un fichero de log volátil que se elimine tras utilizarlo. 

La contraseña para un volumen cifrado APFS se puede recuperar fácilmente ejecutando el siguiente comando:

Edwards también comprobó que la falla solo afecta a MacOS 10.13 y 10.13.1, mientras que en versiones posteriores del mismo sistema operativo ya han solucionado el fallo.

Cabe destacar que si el volumen fue creado en una versión vulnerable a este fallo, es posible que lo siga siendo a pesar de actualizar.

¿Cuál es el mayor problema que presenta esto? Las contraseñas almacenadas en texto plano pueden ser descubiertas por cualquier persona que tenga acceso no autorizado a su máquina, y el malware también puede recopilar archivos de registro y enviarlos a alguien con intenciones maliciosas.

MacOS High Sierra ha sido una montaña rusa para muchos usuarios debido a la gran cantidad de errores. Se rumorea por ello que la próxima versión (presumiblemente MacOS 10.14) se centrará en la corrección de errores y mejoras de la estabilidad.

Publicación de Sarah Edwards:

https://www.mac4n6.com/blog/2018/3/21/uh-oh-unified-logs-in-high-sierra-1013-show-plaintext-password-for-apfs-encrypted-external-volumes-via-disk-utilityapp

Múltiples vulnerabilidades en Dell EMC Isilon OneFS

Se ha publicado el boletín de seguridad DSA-2018-018 que resuelve 9 vulnerabilidades en Dell EMC Isilon OneFS.



OneFS es un sistema operativo diseñado para ‘big data’ que combina las capas de sistema de archivos, administrador de volúmenes y protección de datos en una capa de software unificada que abarca todos los nodos de un clúster. Es utilizado en las soluciones empresariales de almacenamiento NAS de escalamiento horizontal EMC Isilon.

Las vulnerabilidades se pueden englobar en 4 tipos:

  • Cross-Site Scripting (XSS) persistente en diferentes páginas del interfaz webde administración: el parámetro ‘description‘ en ‘Cluster Description‘ (CVE-2018-1186), la ‘Network Configuration‘ (CVE-2018-1187) y ‘Job Operations‘ (CVE-2018-1201), el parámetro ‘realm‘ en ‘Authorization Providers‘ (CVE-2018-1188), y el parámetro ‘name‘ en ‘Antivirus‘ (CVE-2018-1189) y ‘NDMP’ (CVE-2018-1202).
  • Un error al manejar los permisos podría permitir al usuario ‘compadmin‘ (el cual tiene menores privilegios que el usuario ‘root‘) elevar sus privilegios locales a través de la llamada al binario ‘tcpdump y ejecutar código arbitrario con permisos de ‘root‘ (CVE-2018-1203).
  • Ruta transversal en la aplicación ‘isi_phone_home que podría, al igual que la anterior, permitir a un usuario ‘compadmin‘ ejecutar el código Python arbitrario con privilegios de ‘root‘ (CVE-2018-1204).
  • Falsificación de petición en sitios cruzados (CVE-2018-1213). La falta de tokens ‘anti-CSRF‘ en los formularios de la interfaz web podría permitir a un atacante enviar solicitudes autenticadas (por ejemplo para para agregar nuevos usuarios con acceso SSH o reasignar directorios de almacenamiento existentes para permitir el acceso de lectura-escritura-ejecución a todos los usuarios) cuando un usuario autenticado examine un dominio controlado por un atacante.

Para esta última vulnerabilidad se propone la siguiente prueba de concepto que permite crear un nuevo usuario y asignarle suficientes privilegios para iniciar sesión a través de SSH, configurar identidades, administrar proveedores de autenticación, configurar el clúster y ejecutar las herramientas de soporte remoto.

PoC para la vulnerabilidad CVE-2018-1213

EMC ha liberado actualizaciones para todas las versiones del sistema que se encuentran afectadas: 7.1.1.11, 7.2.1.x, 8.0.0.x, 8.0.1.x y 8.1.0.x.

Más información:
 
Dell EMC Isilon OneFS Multiple Vulnerabilities: