Ethereum Classic sufre un ataque 51%

La popular serie de atresmedia “La casa de papel” en la que una banda organizada entra en la casa de moneda y timbre con el objetivo de robar millones de euros parece cobrar vida en la red. A grandes rasgos, un supuesto grupo organizado ha robado 1,5 millones de dólares haciéndose con el 63% de la tasa total de hash de la red de Ethereum.

El ataque

¿Qué es un ataque 51%?
Las criptomonedas están basadas en redes distribuidas y descentralizadas con la intención de que cualquiera pueda acceder a ellas de manera más o menos sencilla, o lo que es lo mismo, una democracia digital en la que 100 hipotéticos usuarios controlan las transacciones. Si alguien pudiese controlar 51 de esos 100 usuarios con derecho a voto, tendría el control total de la red, lo que daría lugar a la posibilidad de crear una bifurcación de la red o incluso bloques falsos.

Ethereum Classic ha sido, supuestamente, víctima de este tipo de ataque. El pasado día 6 de enero la empresa china SlowMist hacía pitar las alarmas, al poco tiempo, un analista de CoinNess que investigaba el suceso descubrió que un grupo privado había logrado aumentar su poder de hash a 3.263GH/s (300GH/s de tasa normal), logrando ser el grupo minero más poderoso durante un breve período de tiempo en el que podría haberles dado tiempo a robar 88.500 Ethereum Classic (ETC), el equivalente a 460.000 dólares. Pero no acabó ahí, unas 10 horas más tarde volvía a aumentar su tasa de hash.

Coinbase, una de las webs más reconocida para el intercambio, compra y venta de criptomonedas, detuvo todas las transacciones de Ethereum Classic. El exchange descubrió otros 12 ataques que tenían relación con Ethereum y los gastos dobles, ascendiendo la cantidad a 219.500 ETC o 1,1 millones de dólares al cambio.

La empresa

Para la sorpresa de muchos, los desarrolladores de la criptomoneda afirman que el blockchain no ha sido objetivo de ningún ataque, además de negar la noticia del doble gasto. Todo el revuelo lo achacan a una “reorganización profunda de la cadena de bloques”, tal y como dicen en su twitter.

On 1/5/2019, Coinbase detected a deep chain reorganization of the Ethereum Classic blockchain that included a double spend. In order to protect customer funds, we immediately paused movements of these funds on the ETC blockchain. Read more here: https://t.co/vCx89dz44m

— Coinbase (@coinbase) 7 de enero de 2019

Los desarrolladores de ETC respondieron rápidamente a las acusaciones afirmando que un grupo de mineros estaban siendo “poco honestos” ejerciendo una minería egoísta. Además explicaron que el fabricante linzhi estaba en proceso de probar nuevas máquinas Ethash, lo que resultó en una subida de más del 50% en la tasa de hash, no teniendo nada que ver esto con un ataque 51%. También dieron respuesta al tema de los gastos dobles alegando no haberlos detectado.

A pesar de la respuesta por parte del equipo de Ethereum Classics, Coinbase sigue bloqueando las transacciones de ETC y está monitorizando la moneda para determinar la actividad en el futuro.

Contramedidas de las casas de cambio

Pocas son las casa de cambio que han emitido algún tipo de comunicado que tenga relación al supuesto ataque 51%, pero alguna de ellas han detenido el retiro y depósito de la criptomoneda.

Coinbase comunicó que sus fondos no fueron afectados ya que detuvieron las transacciones a tiempo

Poloniex tiene bloqueadas las transacciones hasta el día 9 o nuevo aviso a la espera de que la red de Ethereum se estabilice, tal y como dijo por twitter, y aseguran que los fondos de los usuarios se encuentran a salvo.

Due to a potential 51% attack, ETC wallets have been disabled and will not be re-enabled until tomorrow (at the very earliest). We will update this thread when we have a firmer timeline for re-enabling deposits and withdrawals. Poloniex was not affected, and your fund are safe.

— Poloniex Exchange (@Poloniex) 7 de enero de 2019

Kraken han detenido las transacciones hasta nuevo aviso, aquí podemos consultar el estado y las noticias.

OKEx, casa de cambio china, aseguran que sus clientes no se ven afectados y mantienen el depósito y retirada de ETC habilitado. Para el depósito de ETC será necesario un mínimo de 100 confirmaciones, y para la retirada serán necesarias 400. Además continúan monitorizando la situación por si hubiera que tomar otro tipo de medidas.

Binance y Bitfly también han aumentado el número de confirmaciones.

Gate.io confirmó que el doble gasto afectó a sus fondos, la plataforma detectó 7 transacciones relativas al ataque. El atacante transfirió un total de 54.200 ETC a través de 4 direcciones. La casa de cambio bloqueó el ataque al poco de producirse pero generó una pérdida total de 40.000 ETC para la plataforma, unos 199.600 dólares.

El ataque de 51% a Ethereum Classic sigue en desarrollo y sus representantes no han brindado mayores detalles desde el pasado lunes. Por esta razón, es posible que otras casas de cambio tomen medidas o reporten pérdidas de fondos en ETC.

Más información
Definición de blockchain
Blog coinbase

Fuentes
https://www.criptonoticias.com/seguridad/casas-cambio-toman-medidas-ataque-51-porciento-ethereum-classic/
https://bitcoin.es/actualidad/los-hackers-de-ethereum-classic-roban-1-5-millones-con-un-ataque-51/
https://criptoinforme.com/los-desarrolladores-de-ethereum-classic-etc-niegan-un-ataque-del-51/

La NSA lanzará su herramienta de ingeniería inversa GHIDRA

La Agencia de Seguridad Nacional de los Estados Unidos (NSA) planea lanzar gratuitamente su herramienta de ingeniería inversa (de aquí en adelante reversing) desarrollada internamente en la próxima conferencia de seguridad RSA 2019, que tendrá lugar en San Francisco durante el mes de marzo.

La existencia de este software fue revelada públicamente por primera vez en las filtraciones de la CIA Vault 7, pero ha pasado desapercibida hasta que Robert Joyce anunció su lanzamiento público en su descripción de la sesión de la conferencia RSA.

¿Qué es GHIDRA?

GHIDRA es un marco de trabajo de reversing desarrollado por NSA y utilizado por la misma durante más de una década.

La herramienta está escrita en Java y desde que salió a la luz se han hecho numerosas comparaciones con el conocido software IDA. Incluso hay varios hilos de Reddit como este en el que aparecen ex-empleados de la agencia que dan su opinión junto con algunos detalles del funcionamiento del programa.

¿Va a ser de código abierto?

Se está hablando mucho de la posibilidad de que la herramienta sea de código abierto. De ser así, el mantenimiento y mejora de la misma sería más cómodo, pero la NSA no suele ser partidaria de compartir su conocimiento (como bien sabemos…).

A día de hoy no hay comunicado oficial de si será publicado el código o no, pero nos mantendremos a la espera para comprobar que ocurre el día 5 de marzo y si veremos el código publicado en el Github de la NSA.

Más información:

Enlace a Vault 7:
https://wikileaks.org/ciav7p1/cms/page_9536070.htm

Enlace a descripción de Robert Joyce:
https://www.rsaconference.com/events/us19/agenda/sessions/16608-come-get-your-free-nsa-reverse-engineering-tool

Gestor de contraseñas online, expone información de sus usuarios y avisa casi un año después

blur

La filtración en este gestor de contraseñas online incluye correos electrónicos, nombres y apellidos, direcciones IP, hashes de contraseña y recordatorios de contraseña

El día 13 de diciembre del pasado año, el equipo de seguridad de Abine descubrió que información sensible de sus usuarios podría haberse visto expuesta hasta el día 6 de enero del mismo año. Los datos incluidos son:

  • Todas las direcciones de email de las cuentas de usuario.
  • Nombres y apellidos de algunos de los usuarios.
  • Recordatorios de contraseña, aunque sólo de aquellos que siguiesen usando este servicio a través de un antiguo producto de la compañía.
  • Última y penúltima dirección IP con la que accedieron todos sus usuarios.
  • Hashes de contraseña de la cuenta de Blur utilizando Bcrypt de forma segura.

La filtración no afecta a los datos almacenados en la cartera de contraseñas, así como a la información de pago por el servicio. Tampoco se han visto afectados los usuarios que hayan creado su cuenta tras el día 6 de enero del 2018, fecha de la que data la filtración. No obstante, al haberse revelado los hashes de contraseña, desde la empresa ya han recomendado a sus usuarios cambiar su clave de acceso.

Aunque en el comunicado no se ha descrito en qué ha consistido la filtración, ni quién ha podido tener acceso a la misma, sorprende la diferencia de tiempo entre que se realizó (6 de enero) y se descubrió (13 de diciembre). Al no haber información adicional, sólo cabe elucubrar sobre si la filtración fue debida a un descuido de un empleado, un trabajador descontento, o si se debe a una vulnerabilidad ya resuelta o aún disponible.

Fuente:

Blur Security Update:
https://www.abine.com/blog/2018/blur-security-update/

Ransomware paraliza la producción de los principales periódicos de EEUU

El pasado fin de semana, Tribune Publishing Co, empresa que produce los principales periódicos de Estados Unidos, fue víctima de unainfección por ransomware de la familia Ryuk que paralizó la impresión y las entregas de varios periódicos importantes del país. Entre los periódicos afectados se encuentran Los Angeles Times y Wall Street Journal.

El malware Ryuk comparte bastante similitud con la familia de ransomware Hermes. Está asociado al Grupo Lazarus y se suele distribuir mediante ataques APT, a diferencia de la gran mayoría de este tipo de ataques que basan su propagación en spam o explotación masiva de vulnerabilidades.

Este malware crea dos notas de rescate, según información publicada por la empresa Checkpoint y pide como rescate entre 15 y 50 BTC.

Ryuk asocia a cada infección un ‘wallet’ único, lo que hace altamente complicado seguir el flujo del dinero y estimar el volumen de infecciones. Como es normal en estos casos, una vez el dinero es obtenido se mueve entre varias cuentas para dificultar el seguimiento del mismo.

Desde Hispasec trabajamos con empresas de todo el mundo para tratar de mitigar su exposición a este tipo de amenazas.  Dotamos a nuestros clientes de elevados niveles de protección a través de planes de seguridad. Estos planes cubren la infraestructura interna y externa, procesos formativos y de concienciación a empleados y proporcionan servicios globales de consultoría y auditoría de sistemas, así como simulación de ataques de ransomware.

Ejecución de código remoto en Cscape de Horner Automation

Cscape es un software libre destinado a la programación de controladores lógicos programables o PLC (Programmable Logic Controller) desarrollado por la empresa Horner Automation. Los PLCs son muy utilizados en la industria para automatizar procesos electromecánicos tales como controlar la lógica de funcionamiento de máquinas, plantas y procesos industriales.

Se ha publicado una vulnerabilidad que podría permitir la ejecución remota de código arbitrario en el software de programación Cscape. El error de seguridad se debe a una falta de comprobación de las entradas suministradas por el usuario que podría provocar una escritura fuera de los limites del ‘buffer’ asignado al procesar un fichero CSP especialmente manipulado. Para lograr explotar la vulnerabilidad con éxito es necesaria la interacción del usuario, que podría ser engañado para visitar una página o abrir un archivo malicioso.

La vulnerabilidad, a la que se ha asignado el identificador CVE-2018-19005, fue descubierta por los investigadores de seguridad ‘rgod’ y ‘mdm’ del equipo ‘9SG Security Team’ de ‘Trend Micro’s Zero Day Initiative’ el pasado mes de Julio pero no ha sido hecha pública hasta el inicio del nuevo año para permitir a la empresa desarrolladora solventar el fallo.

Más Información:

Horner Automation Cscape CSP File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability:
https://www.zerodayinitiative.com/advisories/ZDI-19-1434/

Revelación de información sensible en Guardzilla GZ501W

El popular sistema IoT de video-vigilancia permitía acceder a las grabaciones de otros usuarios almacenadas en la nube.

Guardzilla es una solución “todo en uno” para sistemas de vigilancia que incorpora cámara de vídeo y alarma.

Una vulnerabilidad en la forma en la que se accedía a los vídeos almacenados, permitía a un usuario cualquiera visionar las grabaciones de otro usuario que estuviesen almacenadas en la nube.

Una de las características del sistema de vigilancia permite a los usuarios acceder a grabaciones desde su teléfono móvil u ordenador de forma remota. El sistema utilizaba para ello unas credenciales ‘hardcodeadas’ para acceder al servicio de almacenamiento de Amazon S3 donde se guarda toda la información. Los investigadores de seguridad consiguieron extraer del firmware la contraseña de root:

root:MvynOwD449PkM:0:0:99999:7:::

una vez desencriptada (GMANCIPC) pudo utilizarse para conseguir las credenciales del servicio de Amazon.

AccessKeyIdG

secretAccessKeyG

hostName

bucket

AKIAJQDP34RKL7GGV7OQ

igH8yFmmpMbnkcUaCqXJIRIozKVaXaRhE7PWHAYa

s3.amazonaws.com

motion-detection

Pudo comprobarse que no se aplicaba ninguna política ni restricción, y que la clave permitía acceder a los siguientes almacenes utilizados por el fabricante:

  • elasticbeanstalk-us-west-2-036770821135
  • facial-detection
  • free-video-storage
  • free-video-storage-persist
  • gz-rds-backups
  • gz-test-bucket
  • motion-detection
  • premium-video-storage
  • premium-video-storage-persist
  • rekognition-video-console-demo-cmh-guardzilla-2918n05v5rvh
  • setup-videos
  • wowza-test-bucket

La vulnerabilidad se ha etiquetado como CVE-2018-5560 y aún no dispone de parche. Los usuarios de estos dispositivos deberían deshabilitar cuanto antes la funcionalidad de almacenamiento en la nube para mantener protegida su privacidad.

El fallo ha sido probado en los modelos GZ501W, se desconoce si otras versiones están afectadas.

Más información

Guardzilla IoT Video Camera Hard-Coded Credentials (CVE-2018-5560)
https://www.0dayallday.org/guardzilla-video-camera-hard-coded-aws-credentials/

Un nuevo ransomware infecta servidores Linux a través de IPMI

Se ha detectado un nuevo malware de tipo ransomware utilizado para infectar servidores Linux a través IPMI

junglesec-ransom-note

Este nuevo ransomware, que recibe el nombre de ‘JungleSec‘, fue detectado en Noviembre y esta diseñado para infectar servidores Linux con IPMI (Intelligent Platform Management Interface) no securizado.

IPMI es un conjunto de especificaciones de interfaces que proporcionan capacidades de administración y monitorización en un ordenador independientemente de la CPU, firmware y sistema operativo. Esta incluido en las placa base de los servidores, aunque también puede instalarse como una tarjeta adicional si no la incluye la placa base.

Una interfaz IPMI no configurada, puede dar acceso remoto al sistema a los atacantes, lo que les daría control total sobre el servidor.

Investigadores de BleepingComputer que detectaron este malware, afirman que descubrieron que los atacantes habían usado una interfaz IPMI para acceder a los servidores y posteriormente instalar el malware. En algunos casos, la interfaz IPMI estaba configurada con la contraseña por defecto. En otros casos, las víctimas afirman que el usuario ‘Admin’ de la interfaz estaba desactivado, por lo que se sospecha que los atacantes pudiesen acceder usando alguna vulnerabilidad en el sistema IPMI.

Los atacantes, una vez accedían al sistema a través de la interfaz IPMI, descargaban y compilaban ccrypt, que finalmente usaban para cifrar todos los ficheros del servidor. Una vez cifrados los archivos, los atacantes dejaban un fichero llamado ‘ENCRYPTED.md’ con las instrucciones para realizar el pago del rescate.

IoCs
Nombres de Ficheros:
ENCRYPTED.md
key.txt

Direcciones de correo electrónico:
junglesec@anonymousspeech.com

Más información:

Ejecución remota de código a través de Microsoft Edge

El pasado 11 de diciembre, Microsoft hacía pública una vulnerabilidad en Microsoft Edge que permitía a un atacante ejecutar código arbitrario de forma remota.

La vulnerabilidad, etiquetada con CVE-2018-8629, se encuentra en el componente “Chakra”, el interprete de JScript utilizado por el navegador. Y se debe a un fallo a la hora de gestionar los objetos en memoria que podría ser aprovechado por un atacante para corromper dicha memoria y ejecutar código arbitrario en el contexto y con los permisos del usuario actual. Pudiendo así instalar programas, ver, modificar o eliminar información o crear nuevas cuentas de usuario.

En un posible escenario, el atacante podría utilizar una web especialmente diseñada o vulnerada para explotar el fallo en el sistema de la víctima que visite la página.

El equipo de investigadores de @phoenhex ha publicado una prueba de concepto que, en a penas 70 líneas, permite leer información de la memoria.

I published the PoC for CVE-2018-8629: a JIT bug in Chakra fixed in the latest security updates. It resulted in an (almost) unbounded relative R/W https://t.co/47TIYtVB8f

— Bruno @ C3 (@bkth_) December 27, 2018

Se recomienda instalar cuanto antes el parche publicado por Microsoft para solucionar esta vulnerabilidad.

Más información

OOB read leak by bkth from phoenhex for ChakraCore https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js

Cibercriminales chinos atacan las redes de HP e IBM y luego atacan a sus clientes

Cibercriminales que trabajan presuntamente para el Ministerio de Seguridad del Estado de China han perpetrado un ataque contra HP e IBM y posteriormente atacaron a sus clientes con el objetivo de robar información sensible.

Como ya sabemos, en la época en la que vivimos, la información es poder, y no dejaremos de leer noticias como ésta en la que dos gigantes se enfrentan para obtener información que deje entrever los trapos sucios de unas u otras empresas.

Tal es así que Estados Unidos, a través de su secretario de estado Mike Pompeo y la responsable de Seguridad Nacional Kirstjen Nielsen, afirman estar recibiendo una amplia campaña de ciberataques por parte de China contra su propiedad intelectual y con motivo de la obtención de datos comerciales. Estados Unidos afirma que la campaña china no solo afecta a sus infraestructuras sino que Europa y Asia también pueden verse involucrados.

IBM declara que no tiene pruebas de que sus datos confidenciales se hayan visto comprometidos, mientras que HP declara que no puede hacer comentarios al respecto.

China niega todo lo relacionado con los ciberataques pero vuelven a tensarse las comunicaciones con EEUU. Ha calificado las denuncias como difamatorias y ha presentado una nueva queja formal contra Estados Unidos, que se suma a la presentada hace apenas dos semanas por el denominado caso Huawei.

Dos ciudadanos chinos, Zhu Hua y Zhang Jianguo, supuestamente vinculados a una agencia de espionaje, han sido acusados de robar datos confidenciales de agencias gubernamentales del país y de empresas de todo el mundo. Empresas como la NASA, la Marina o el Departamento de Energía pudieron ser el objetivo de estos cibercriminales.

Estos piratas informáticos han sido acusados de conspirar para cometer intrusiones en empresas de Estados Unidos y de todo el mundo y los relacionarían con la agencia de inteligencia del Ministerio de Seguridad del Estado de China.

“Ningún país representa una amenaza más amplia y severa a largo plazo para la economía y la infraestructura informática de nuestro país que China” Afirmó el director del FBI, Chris Wray, en una rueda de prensa.

Según el responsable de la oficina federal de investigación la intención de China es ocupar el lugar de estados unidos como “Potencia líder en el mundo”

¿Qué opináis vosotros?

Fuentes:

https://thehackernews.com/2018/12/chinese-hacker-wanted-by-fbi.html

Revisión de las CVE del 2018

A pocos días de acabar el año 2018 quedan bastante claras las tendencias en las CVE a lo largo del mismo. Por ejemplo, los productos de los que se han reportado más vulnerabilidades han sido DebianAndroid y Ubuntu; mientras que las empresas de las que se han reportado más han sido DebianGoogleOracle; o los tipos de CVE más comunes han sido las ejecuciones de código indeseado, el desbordamiento y los ataques DoS.

Extraído de cerounosoftware.com.mx

La explotacion de vulnerabilidades es una de las estrategias preferidas por los atacantes, siendo las CVE un objetivo clave para muchas familias de malware. Por lo que el incremento de las detecciones de las mismas permite subsanarlas con mayor rapidez para evitar que esas brechas de seguridad sigan disponibles.

El promedio de CVE publicadas en 2018 está en torno a las 46 diarias, casi 6 más que el año pasado. Puede resultar sorprendente que el producto con más CVE reportadas sea precisamente Debian, aunque no hay que olvidar que cuenta con una gran comunidad de respaldo que vigila continuamente cualquier fallo de seguridad para su subsanación. No obstante, los fabricantes con más vulnerabilidades en 2018 fueron Debian (890), Google (712), Oracle (690) y Microsoft (673), mientras que los productos más reportados fueron Debian Linux (889), Android (549) y Ubuntu Linux (451). Por otro lado, los tipos de CVE que más se reportaron en 2018 fueron la ejecución de código no deseado (22%), los ataques por desbordamiento (18%) y los ataques DoS (11%); mientras que los menos reportados fueron por su parte la división de respuesta HTTP (0,1%), la inserción de archivos (0,2%) y la elevación de privilegios (2,5%).

Respecto a la gravedad de las CVE reportadas, el promedio del año no ha alcanzado el nivel 6, siendo menos del 10% superior al nivel 8 y poco más del 41% inferior al nivel 5.

Luciano Miguel Tobaria

lmiguel@hispasec.com

Más información: