Estado del arte del malware de minado de criptomonedas publicado por CSIRT-CV

El Centro de Respuesta ante Incidentes de la Comunitat Valenciana (CSIRT-CV) ha publicado hoy un estudio sobre el estado del arte de algunas de las variantes más extendidas de amenazas orientadas al minado de criptodivisas.

En el informe se detallan el tipo de equipos objetivo más comunes de cada una, así como sus principales víastécnicas de infección últimas tendencias que este CSIRT ha detectado.

A partir de toda la información recabada en dicho informe se puede enfatizar el considerable incremento de nuevas amenazas de tipo ‘miner’ y el hecho de que la mayoría se basan en código reutilizado de repositorios públicos. Otro hecho interesante es que se está explotando todo tipo de dispositivos para minar criptomonedas, desde equipos de usuario, servidores, smartphones y dispositivos IoT.

 

“Todo dispositivo capaz de ejecutar un conjunto de instrucciones puede servir de plataforma para minar criptomoneda”

En el informe de CSIRT-CV no solo nos hablan de los equipos de usuario o servidores como objetivos de infección sino de los dispositivos Android.

Malware como Loapi o ADB.Miner están en auge y cada vez son más las APK que intentan aprovecharse de la potencia de cómputo de los cada vez más avanzados terminales móviles o dispositivos IoT para minar criptomonedas. Un ejemplo de este hecho es el que muestran en el informe, en el que muestran cómo partiendo de nuestra plataforma Koodous y unas sencillas firmas Yara se pueden ir detectando un gran número de APK sospechosas de tener como objetivo no lícito el minado de criptomonedas.

A nivel de tendencias destacan, entre otras, en cuanto a infección de servidores, la distribución de ‘miners’ haciendo uso de vulnerabilidades en los procesos inseguros de deserialización de objetos Java para, tras explotarlas, descargar y ejecutar el ‘miner’ en el servidor comprometido, el aumento de la explotación de las vulnerabilidades CVE-2017-5638 (Apache Struts) y CVE-2017-9822 del servicio DotNetNuke para introducirse en los sistemas y dependiendo de si se trata de un servidor Windows o Linux, cuenta con diferentes Payloads en Powershell o Bash a partir de los cuales descarga el ‘miner’ en el equipo.

En el informe también se recogen una serie de mecanismos de detección para los distintos tipos de ‘miners’ mencionados tanto a nivel de red como de dispositivo y una serie de recomendaciones para protegerse ante este tipo de malware.

Si quieren descargar el informe completo pueden hacerlo desde el siguiente enlace:
https://www.csirtcv.gva.es/sites/all/files/downloads/Cryptomining_Malware.pdf

Actualización de múltiples productos Apple

Apple ha publicado 8 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, Xcode, e iTunes e iCloud para Windows. Entre todos los productos se corrigen 192 fallos de seguridad

Los boletines publicados con las actualizaciones y problemas solucionados se resumen como sigue:

  • El boletín para iOS 11.3, el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), resuelve 43 vulnerabilidades. Este es el boletín más amplio de todos y los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen‘Mail’, ‘Telephony’, ‘Clock’, ‘Find My iPhone’, el kernel ‘WebKit’ entre otros. Uno de los fallos permitiría a una persona con acceso físico al dispositivo deshabilitar la funcionalidad ‘Find My iPhone‘ sin necesidad de introducir la contraseña.
  • macOS High Sierra 10.13.4 y los Security Update 2018-002 para Sierray El Capitan. En este caso se solucionan 35 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘APFS’, ‘ATS’, ‘CoreText’, ‘IOFireWireFamily’, ‘LaunchServices’, ‘curl’ y el kernel.8 de estas vulnerabilidades podrían permitir la ejecución de código arbitrario -algunas con privilegios de ‘kernel’ o ‘system‘, y adicionalmente otras 10 permitirían elevar los privilegios del usuario.
  • Safari 11.1 representa otro boletín que soluciona 23 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador.
  • El boletín para watchOS 4.3, el sistema operativo destinado a los relojes inteligentes Apple Watch, soluciona 22 vulnerabilidades entre las que también se encuentran algunas que podrían permitir laejecución de código arbitrario y la elevación de privilegios.
  • En el sistema operativo de los televisores de la marca, tvOS 11.3, se corrigen 28 vulnerabilidades en múltiples componentes, la mayoría de ellas (18) podrían permitir la ejecución remota de código arbitrario y otras 4 elevar privilegios en el sistema.
  • Las versiones iTunes 12.7.4 e iCould 7.4 para Windows incluyen la corrección de 20 vulnerabilidades.
  • Por último Xcode 9.3 soluciona múltiples problemas en ‘llvm’.

Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así comoa través de los canales habituales de actualización.

Más información:

 
iOS 11.3:

Ejecución de código arbitrario en librelp

Se ha corregido una vulnerabilidad de desbordamiento de pila en la librería librelp que podría causar la ejecución de código arbitrario.

librelp (Reliable Event Logging Library) es una librería de registro de eventos a través de red creada por Rainer Gerhards con la idea de paliar las deficiencias de syslog, entre ellas, la de poner un énfasis en que no se pierdan mensajes durante el tránsito.

El fallo, encontrado por el equipo de seguridad de LGTM, se encuentra en un error al interpretar el valor devuelto por una llamada a la función snprintf como el número de bytes reales escritos en el búfer en vez de los que virtualmente se hubiesen escrito si el búfer hubiera sido lo suficientemente amplio.

La vulnerabilidad puede ser explotada a través de un certificado X.509 cliente con el campo “subject alt names” especialmente manipulado, causando o bien la caída del servidor o la ejecución de código arbitrario.

Las versiones de librelp vulnerables son desde la 1.1.1 hasta la 1.2.14. La vulnerabilidad posee el CVE-2018-1000140. El parche está disponible en este enlace. Ya se ha publicado la versión 1.2.15 que corrige este error.

Bug en MacOS revela contraseñas para volúmenes encriptados APFS

Se encuentra un fallo grave de programación en el sistema de archivos APFS para el SO MacOS High Sierra que expone las contraseñas de unidades encriptadas.

Para el que no lo conozca, APFS (Apple File System) es un sistema de archivos optimizado para dispositivos de almacenamiento SSD y flash que ejecutan MacOS, iOS, TVOS y WatchOS. Este sistema aseguraba tener una fuerte encriptación.

Sin embargo, la analista forense Sarah Edwards ha descubierto un fallo que deja la contraseña de cifrado de un volumen recién creado en los registros unificados en texto sin formato.

Según el informe registrado, el sistema guarda las claves de cifrado de los volúmenes APFS en el propio disco en lugar de hacerlo en un fichero de log volátil que se elimine tras utilizarlo. 

La contraseña para un volumen cifrado APFS se puede recuperar fácilmente ejecutando el siguiente comando:

Edwards también comprobó que la falla solo afecta a MacOS 10.13 y 10.13.1, mientras que en versiones posteriores del mismo sistema operativo ya han solucionado el fallo.

Cabe destacar que si el volumen fue creado en una versión vulnerable a este fallo, es posible que lo siga siendo a pesar de actualizar.

¿Cuál es el mayor problema que presenta esto? Las contraseñas almacenadas en texto plano pueden ser descubiertas por cualquier persona que tenga acceso no autorizado a su máquina, y el malware también puede recopilar archivos de registro y enviarlos a alguien con intenciones maliciosas.

MacOS High Sierra ha sido una montaña rusa para muchos usuarios debido a la gran cantidad de errores. Se rumorea por ello que la próxima versión (presumiblemente MacOS 10.14) se centrará en la corrección de errores y mejoras de la estabilidad.

Publicación de Sarah Edwards:

https://www.mac4n6.com/blog/2018/3/21/uh-oh-unified-logs-in-high-sierra-1013-show-plaintext-password-for-apfs-encrypted-external-volumes-via-disk-utilityapp

Múltiples vulnerabilidades en Dell EMC Isilon OneFS

Se ha publicado el boletín de seguridad DSA-2018-018 que resuelve 9 vulnerabilidades en Dell EMC Isilon OneFS.



OneFS es un sistema operativo diseñado para ‘big data’ que combina las capas de sistema de archivos, administrador de volúmenes y protección de datos en una capa de software unificada que abarca todos los nodos de un clúster. Es utilizado en las soluciones empresariales de almacenamiento NAS de escalamiento horizontal EMC Isilon.

Las vulnerabilidades se pueden englobar en 4 tipos:

  • Cross-Site Scripting (XSS) persistente en diferentes páginas del interfaz webde administración: el parámetro ‘description‘ en ‘Cluster Description‘ (CVE-2018-1186), la ‘Network Configuration‘ (CVE-2018-1187) y ‘Job Operations‘ (CVE-2018-1201), el parámetro ‘realm‘ en ‘Authorization Providers‘ (CVE-2018-1188), y el parámetro ‘name‘ en ‘Antivirus‘ (CVE-2018-1189) y ‘NDMP’ (CVE-2018-1202).
  • Un error al manejar los permisos podría permitir al usuario ‘compadmin‘ (el cual tiene menores privilegios que el usuario ‘root‘) elevar sus privilegios locales a través de la llamada al binario ‘tcpdump y ejecutar código arbitrario con permisos de ‘root‘ (CVE-2018-1203).
  • Ruta transversal en la aplicación ‘isi_phone_home que podría, al igual que la anterior, permitir a un usuario ‘compadmin‘ ejecutar el código Python arbitrario con privilegios de ‘root‘ (CVE-2018-1204).
  • Falsificación de petición en sitios cruzados (CVE-2018-1213). La falta de tokens ‘anti-CSRF‘ en los formularios de la interfaz web podría permitir a un atacante enviar solicitudes autenticadas (por ejemplo para para agregar nuevos usuarios con acceso SSH o reasignar directorios de almacenamiento existentes para permitir el acceso de lectura-escritura-ejecución a todos los usuarios) cuando un usuario autenticado examine un dominio controlado por un atacante.

Para esta última vulnerabilidad se propone la siguiente prueba de concepto que permite crear un nuevo usuario y asignarle suficientes privilegios para iniciar sesión a través de SSH, configurar identidades, administrar proveedores de autenticación, configurar el clúster y ejecutar las herramientas de soporte remoto.

PoC para la vulnerabilidad CVE-2018-1213

EMC ha liberado actualizaciones para todas las versiones del sistema que se encuentran afectadas: 7.1.1.11, 7.2.1.x, 8.0.0.x, 8.0.1.x y 8.1.0.x.

Más información:
 
Dell EMC Isilon OneFS Multiple Vulnerabilities:

Arrestado el líder detrás de Cobalt y Carbanak.

El líder de la banda detrás de Carbanak y Cobalt, malwares que tenían como objetivo cerca de 100 instituciones financieras alrededor del mundo, ha sido detenido en Alicante, España. La detención se ha producido gracias a la colaboración de las autoridades españolas, en colaboración con la Europol, el FBI y autoridades rumanas, bielorrusas y taiwanesas.

 

Desde 2013, la banda ha intentado atacar distintas entidades bancarias, concretamente los sistemas de pago electrónico usando distintas piezas de malware diseñados por ellos. Esta banda logró afectar a bancos de más de 40 paises y provocado pérdidas cercanas a mil millones en la industria. La magnitud de las pérdidas es enorme, ya que permitió a los atacantes robar cerca de 10 millones de euros por ataque.

El modus operandi del grupo criminal comenzó a finales de 2013, lanzando el malwareAnunak dirigido a cajeros automáticos de distintas instituciones bancarias alrededor del mundo. Al año siguiente, los autores de Anunak mejoraron el código del malware a una versión más sofisticada llamada Carbanak, usado hasta finales de 2016. A partir de entonces, los autores dedicaron sus esfuerzos a desarrollar unas oleadas de ataques más sofisticadas usando Cobalt Strike, un software de pentesting.

Flujo de negocio del malware. Extraído de europol.europa.eu.


En todos estos ataques se utilizaba un modus operandi similar, los criminales enviarían a empleados de la banca correos cuyo contenido era spear-phishing (phishing dirigido a usuarios concretos) con un archivo adjunto malicioso. Al ser descargado, el software permitía a los criminales controlar remotamente las máquinas de las víctimas, y obtener acceso a la red interna del banco para poder infectar los servidores que controlan los cajeros automáticos. Gracias a esto, los atacantes poseían la información suficiente para poder extraer dinero de los cajeros.

Para poder sacar dinero, los atacantes enviaban órdenes a los cajeros de manera remota. El dinero era recolectado por grupos criminales organizados, que daban soporte al sindicato criminal principal. Al enviarse la orden, un miembro del grupo estaba esperando cerca de la máquina para extraer el dinero del cajero. La red de pagos electrónicos se utilizaba para transferir el dinero a otras cuentas de la organización o de distintas entidades bancarias. Las bases de datos también eran manipuladas, para aumentar las cantidades de dinero que luego eran extraidas por las mulas. Finalmente, el dinero se lavaba a través de criptomonedas, utilizadas para comprar casas y coches de lujo.

La Europol facilitó el intercambio de información entre las distintas partes de la investigación, quienes de la misma manera afirma: “El arresto de la figura clave en este caso confirma que los cibercriminales no pueden continuar escondiendose detrás de la anonimidad internacional.”

Más información:
 

XSS en WordPress Plugin Duplicator

Permite que código arbitrario JavaScript pueda ser ejecutado en el lado del cliente si un atacante persuade a la víctima para que pulse sobre la URL bajo el control de éste.

El plugin Duplicator realiza la migración de datos al vuelo entre hosts que tengan instalado el CMS WordPress. Permite tanto backups completos del sitio como partes del mismo.

Simplemente con instalarlo y a golpe de ratón, los usuarios que tengan su blog u ofrezcan algún tipo de servicio pueden utilizarlo para por ejemplo, mover su sitio a otro hosting que le ofrezca un mejor precio.

Como has podido deducir, un gran número de sitios tienen este tipo de plugins. En este caso el Plugin Duplicator tiene según el autor +1 millón de instalaciones. La versión afectada es la 1.2.32 (aunque es probable que las anteriores también lo sean).

Según en las instrucciones de la web del autor, la ruta de instalación se encuentra en:
/wp-content/plugins/duplicator

Vamos a investigar qué nos cuenta Google indicando la ruta de instalación:

Se puede acotar la búsqueda para localizar el fichero “Readme” que contiene información útil como puede ser la versión actual del plugin. Ampliamos la búsqueda para que nos muestre el contenido del “Index Of” del directorio en cuestión:

Comprobamos la versión actualmente instalada:

Para explotar esta vulnerabilidad XSS el atacante debe enviar la siguiente petición POST al servidor:

POST /wp-content/plugins/duplicator/installer/build/view.step4.php

Finalmente se obtendría la respuesta donde se ve la cadena inyectada:

Esta vulnerabilidad se puede explotar si el instalador no ha sido eliminado por el administrador del sitio.
Se recomienda actualizar este plugin a la última versión disponible. En este caso a la 1.2.34.

Más información:

WordPress Plugin Duplicator 1.2.32 – Cross-Site Scripting
https://www.exploit-db.com/exploits/44288/

Duplicator – WordPress Migration Plugin
https://wordpress.org/plugins/duplicator/#description

SQL Injection en componente MilestoneFinder de Gitlab CE/EE

Clasificada como crítica, esta vulnerabilidad fue encontrada en GitLab Community Edition y Enterprise Edition 10.1/10.2/10.2.4.

Seguramente conozcais GitHub, sistema de control de versiones en git. GitLab es básicamente GitHub en vuestros servidores, con sus ventajas y desventajas. Entre las desventajas podemos destacar mantener al día las actualizaciones de seguridad tanto del servidor como de GitLab.

Una función que aún se desconoce del componente MilestoneFinder es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa unavulnerabilidad de clase SQL Injection. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.

Existe un error en el componente MilestoneFinder que podría ser aprovechado por un atacante remoto para realizar ataques de inyección SQL y afectar a la confidencialidad, la integridad y a la disponibilidad.

No hay información respecto a posibles contramedidas. Se recomienda actualizar a las últimas versiones disponibles.
Mas información

Gitlab CE and EE version 10.1, 10.2, and 10.2.4 are vulnerable to a SQL injection in the MilestoneFinder component.
https://www.cvedetails.com/cve/CVE-2017-0914/

GitLab Security Release: 10.3.4, 10.2.6, and 10.1.6
https://about.gitlab.com/2018/01/16/gitlab-10-dot-3-dot-4-released/

Fallo en la función de Asistencia Remota de Windows permite robar información

Se descubre vulnerabilidad crítica que afecta a todas las versiones de Windows.

Resultado de imagen de windows vulnerability

La Asistencia Remota de Windows es una herramienta preinstalada que permite que alguien de confianza tome el control de tu PC. Usualmente se utiliza para prestar ayuda sin necesidad de desplazamiento.

Esta herramienta está basada en RDP (Remote Desktop Protocol) para establecer las conexiones de manera segura. Sin embargo, el investigador de Trend Micro “Nabeel Ahmed ha descubierto una vulnerabilidad de fuga de información (Windows )que podría permitir a los atacantes obtener información para comprometer el sistema.El fallo de seguridad reside en la forma que Windows procesa las Entidades Externas XML (XXE).

Microsoft corrigió la vulnerabilidad este mismo mes. Por ello, el investigador ha lanzado los detalles técnicos y el código de la prueba de concepto.

El ataque se basa en la inclusión de carga maliciosa en la invitación de acceso. Al configurar la asistencia remota, Windows ofrece dos opciones: invitar a alguien o responder. Al escoger la opción invitar a alguien, se genera un archivo de invitación que contiene una serie de parámetros XML. Como el analizador no valida el contenido, se puede modificar este archivo para que envíe el contenido malicioso a través del mismo.

Por tanto se recomienda a todos los usuarios que actualicen Windows a la última versión.