sábado, 20 de diciembre de 2014

La galleta de la desgracia ataca a millones de routers

Investigadores de Check Point han descubierto una vulnerabilidad en al menos 12 millones de routers domésticos que podría permitir a un atacante remoto tomar el control de los dispositivos afectados.

La vulnerabilidad, con CVE-2014-9222, ha sido bautizada como "misfortune cookie" ("galleta de la desgracia"), debido a un error en el mecanismo de gestión de cookies HHTP existente en servidor web RomPager de AllegroSoft. Este software de servidor web es posiblemente uno de los más extendidos en todo el mundo dado que son varios los fabricantes que lo incluyen.

Según el aviso de CheckPoint se han detectado hasta 200 modelos diferentes de routers afectados de diferentes marcas que incluyen a D-Link, Edimax, Huawei, TP-Link, ZTE y ZyXEL entre otras.

El ataque podría permitir a un atacante remoto tomar el control del router, con lo que podría realizar ataques de hombre en el medio, redirigir el tráfico, robar credenciales, infectar sistemas o acceder a cualquier máquina conectada a la red a través del router atacado.

La información de Check Point no ofrece detalles sobre el problema, sin embargo todo indica que el problema es bastante fácil de explotar

"Lo único que necesitan los atacantes para explotar la galleta de la desgracia es enviar un solo paquete a su dirección IP pública. No se requieren herramientas de hacking, solo un simple navegador moderno." ("All an attacker needs in order to exploit Misfortune Cookie is to send a single packet to your public IP address. No hacking tools required, just a simple modern browser.")

Todo indica que este es uno de esos problemas corregidos desde hace tiempo, pero que por diversas causas nunca llega a ser parcheado adecuadamente. La vulnerabilidad se introdujo en el código base en 2002, pero AllegroSoft ya había publicado y ofrecido a los fabricantes versiones actualizadas del software en el año 2005. Sin embargo todo indica que muchos dispositivos actuales aun incluyen una versión vulnerable. AllegroSoft ha confirmado que el problema afecta a las versiones de RomPager inferiores a la 4.34.

Ahora, es cuestión de que los fabricantes obtengan una versión actualizada de RomPager, la integren en el firmware actual de todos los modelos afectados, publiquen la nueva versión y los usuarios y/o los proveedores de servicio deberán instalar la actualización en los routers vulnerables.

Más información:

Misfortune Cookie

Check Point Misfortune cookie – Suspected vulnerable model list

Check Point protecting against misfortune cookie and TR-069 ACS vulnerabilities

Allegro Software Urges ManufacturersTo Maintain Firmware for Highest Level of Embedded Device Security

Vulnerability Note VU#561444
Multiple broadband routers use vulnerable versions of Allegro RomPager



Antonio Ropero

Twitter: @aropero

viernes, 19 de diciembre de 2014

¿Espionaje a los países de América Latina?

Hace una semana, la empresa de seguridad Blue Coat ha revelado un importante APT (Advanced Persistent Threat, Amenazas Persistentes Avanzadas) que ha afectado a entidades petroleras, financieras, embajadas y gobiernos. Gracias al tipo de infección y los idiomas usados, sabemos que se ha empleado para atacar a países como Rusia, Rumania, Venezuela, Paraguay, etc. El atacante ha podido recoger datos confidenciales a través de malware diseñados para la plataforma Windows y plataformas móviles como Android, IOS, y Blackberry. 

El ataque ha sido bautizado por Blue Coat como "The inception Framework". Kaspersky en cambio le ha dado el nombre de "Cloud Atlas", esta compañía ha destacado su gran parecido con un viejo conocido: Red October (Octubre Rojo). Realmente el formato de determinados correos de phishing empleados o de ciertas partes de código es muy semejante a aquel malware de hace dos años.

Sin embargo en esta ocasión lo que destaca especialmente es el uso de malware dirigido a dispositivos móviles. Nos han parecido especialmente interesantes los ataques realizados a plataformas Android, por lo que vamos a mostrar un análisis más detallado del malware empleado.

Infección

Los atacantes han usado el correo para llegar a sus víctimas. Abajo se muestra un ejemplo de un correo destinado al gobierno de Paraguay (".gov.py"). Al acceder desde un móvil Android sobre el enlace "http://bit.ly/1v7", el usuario descargaba la aplicación "WhatsAppUpdate.apk" que hacía crear al usuario que se trataba de una actualización para WhatsApp.



Análisis del malware

La siguiente imagen muestra la lista de permisos requeridos por la aplicación. A primera vista, vemos que el atacante está muy interesado por las comunicaciones de la victima (llamadas y registros de llamadas), los SMS recibidos, su ubicación, su calendario, su lista de contactos, los favoritos de su navegador y archivos. 


Según la fechas de los archivos contenidos dentro del malware fue programado el 13 de octubre 2014 (hace 3 meses que está activo). Además, la aplicación parece estar desarrollada por indios, por la presencia de comentarios en hindú. ¿Los indios estarían interesados en la recogida de información confidencial de países de América Latina?


Además, el malware tiene un servicio para grabar las conversaciones durante las llamadas telefónicas:

Iniciar la grabación

Finalizar la grabación

Recoger los comandos y enviar los datos robados

El atacante ha atacado y modificado tres blogs donde ha dispuesto un "payload" conteniendo el servidor donde recoger los comandos y enviar los datos robados. Ha infectado los 3 blogs siguientes para diseminar el payload:

Podemos ver un ejemplo del contenido de un blog con el payload:



El payload contiene una UrlTask ("http:// www.zlotelany. diecezja.bielsko.pl /components / indexxe.php") y las configuraciones de un proxy (ProxyData). El malware usa esa URL para recibir nuevas tareas como por ejemplo las actualizaciones del malware, pero también para enviar los datos robados (registros de llamadas, etc.). El servidor proxy detrás del servidor “www.zlotelany.diecezja.bielsko.pl” permite al atacante esconder el C&C que contiene las actualizaciones del malware, los datos robados, etc.

Mostramos un ejemplo de payload descifrado con las configuraciones del proxy contenidas dentro del ProxyData cifrado. Cada vez que la victima hace una petición al servidor “www.zlotelany.diecezja.bielsko.pl”, transmite también el ProxyData y la clave correspondiente. Pensamos que el atacante no ha incluido la configuración del proxy codificada dentro de la pagina "indexxe.php" para que sea mas difícil identificar el servidor proxy.

UrlTask: http://www.zlotelany.diecezja.bielsko.pl/components/indexxe.php
ProxyData: 05ItUyVvS/Um6PtAgZhMgQAE0GWQJ97wKaUSrgcYr4B1uYwqm...
ProxyKey: f522b4be764450ee

Cifrado de los datos

Cada vez que el malware roba datos (llamadas, etc.), los cifra antes de escribirlos en la carpeta personal de la aplicación. Es una manera de proteger los datos en caso de que se realice un análisis forense. El atacante usa el algoritmo simétrico AES "PBEWITHSHA256AND128BITAES-CBC-BC" con la contraseña
"hfsdvccnbn,klkufc czdgr332hgngcbgfgjjmjj,kkl;popi,jlkl...hk,hkj,nfjy,jjjyyjhmmhfjoiligmhgjhkik,jkgmhhfttfbvvczccxzsaaaaqqznmg" y la semilla "nhnfcfafssbgf,,hlou87766gfdsfdsvd" para inicializar el algoritmo.

Conclusión

Ese malware avanzado está destinado a grabar las llamadas telefónicas. El malware fue enviado directamente a empleados del gobierno de Paraguay, lo que nos sugiere que existe una entidad gubernamental detrás. Para evitar ser identificado, el atacante usa por lo menos un proxy para esconderse y así no revelar su existencia, identidad y el C&C donde guarda los datos robados.

Más información:

Blue Coat Exposes “The Inception Framework”; Very Sophisticated, Layered Malware Attack Targeted at Military, Diplomats, and Business Execs, https://www.bluecoat.com/security-blog/2014-12-09/blue-coat-exposes-%E2%80%9C-inception-framework%E2%80%9D-very-sophisticated-layered-malware

SHA256 de la muestra analizada:
una-al-dia (13/08/2013) Ataques dirigidos, un modelo de éxito

una-al-dia (17/01/2013) Operación octubre rojo: un malware muy "personal" (I)

una-al-dia (18/01/2013) Operación octubre rojo: un malware muy "personal" (y II)




Laurent Delosières