domingo, 31 de diciembre de 2017

Un repaso del 2017 en la seguridad

2017 será recordado como el año de Wannacry en España y otros países del mundo, pero también por filtraciones como la de Equifax o el exploit en Apache Struts que la provocó




Cada vez se valora más el sector de la seguridad entre gobiernos y empresas, siendo este año el detonante en el ámbito nacional la aparición del randomware Wannacry. Éste afectó a múltiples empresas como Telefónica, Gas Natural o Iberdrola. Los estragos causados de este malware sólo evidencia lo que lleva desde hace tiempo advirtiéndose desde el sector. Cabe recordar, que este Wannacry se aprovechaba de la vulnerabilidad EternalBlue, que ya había sido parcheada en el momento de la propagación.



Malware

Pero Wannacry no ha sido el único ransomware de este año: también hemos visto a NotPetya, que afectó en especial a Ucrania y Rusia, haciendo uso de las vulnerabilidades EternalBlue (también usada por Wannacry) y EternalRomance. Además hemos visto a Locky, una variación de este último. Sin duda, este año ha sido el año del ransomware, siendo un denominador común de la mayoría de estos la solicitud de un rescate en Bitcoins.



WannaCry ha sido uno de los ransomware más destacados del presente año

En relación con los rescates en Bitcoins, hemos visto cómo su precio se elevaba hasta los 15.000 dólares, y en el sector de la seguridad nos ha afectado con una nueva tendencia en los malware: el minado de criptomonedas. Uno de estos troyanos fue reportado para Android por Kaspersky, con nombre LoapiNo sólo lo hemos visto en troyanos, sino también al acceder sitios web, como el caso de The Pirate BayAunque este nuevo tipo de ataques acaba de comenzar, podría convertirse en una tendencia en 2018 debido al alza de las monedas digitales.



Vulnerabilidades

En cuanto a las vulnerabilidades que han sido aprovechadas y descubiertas este 2017, tenemos a las ya mencionadas EternalBlue y EternalRomance, vulnerabilidades encontradas en el protocolo SMB. Estas dos vulnerabilidades pertenecerían a la supuesta vulneración que sufrió la NSA en 2016 de un ingente número de troyanos supuestamente desarrollados por ellos, y por los que el grupo The Shadow Brokers buscaba recaudar 1 millón de Bitcoins en una puja pública.

Mientras tanto en Android, hemos podido ver el ataque Toast Overlay, que podría haber sido utilizado para adquirir permisos sin conocimiento del usuario. Y en Intel, hemos visto de nuevo cómo Intel Management Engine (Intel ME) suscita las críticas de los consumidores, al encontrarse nuevos fallos graves en este módulo incluido en sus procesadores desde 2008, que permitiría tomar el control de la máquina independientemente de su sistema operativo.



BlueBorne y Krack han sido de las vulnerabilidades más graves en protocolos

También se han anunciado vulnerabilidades en los protocolos Bluetooth y WPA2, con los nombres de BlueBorne y KRACKs respectivamente. La primera de estas permitiría la infección de los dispositivos de forma remota y su autopropagación. La segunda, la modificación de las conexiones seguras realizadas con WPA. Estas dos vulnerabilidades, las dos muy graves, ya han estado siendo parcheadas a lo largo de los meses desde su anuncio.

Las vulnerabilidades también han sido aprovechadas para la filtración de datos, como el fallo en Apache Strusts que permitía la ejecución de código remoto, y que fue utilizada para la filtración de Equifax. También se encontraría CloudBleed, encontrada por Google Project Zero Team, y que explotaría un fallo en el proxy inverso de Cloudflare, utilizado por miles de sitios como Uber, OKCupid o FitBit. No se conoce de momento de ningún atacante que haya aprovechado dicha vulnerabilidad.



Filtraciones

Sin duda la mayor filtración de este año ha sido la de Equifax, con 143 millones de Estadounidenses afectados. Teniendo en cuenta que en EEUU hay 324 millones de personas, hablamos de un 44% de la población expuesta. Equifax, como entidad financiera, disponía de información de sus clientes como nombres, números de la seguridad social o los datos de la licencia de conducir. También se habrían expuesto 209.000 tarjetas de crédito y documentación de 182.000 personas.




La filtración de Equifax ha sido una de las más grave de la historia


La filtración en Uber de 52 millones de usuarios, también ha dado mucho que hablar, no solo por la cantidad de usuarios afectados sino también por los intentos de la compañía de ocultar lo ocurrido. Los datos de la filtración en realidad no son de este año, sino del 2016: Uber habría pagado 100.000$ al hacker por no decir nada y borrar la información.

Otras filtraciones han sido las de 235GiB de documentación militar confidencial en Corea del Sur, 2.5GiB de documentación de seguridad del aeropuerto de Londres Heathrow en un pendrive perdido, más de 28 millones de cuentas de Taringa, o 711 millones de emails junto con sus contraseñas que se encontraron a través de un spam. Y por si supiese a poco, hace pocos días se descubrió la mayor base de datos de usuarios y contraseñas conocida, con 1,4 millardos. De esta última filtración muchas eran conocidas, pero algunas eran nuevas y de algunas hasta ahora sólo se conocía su hash.



Conclusión

Este año 2017 ha sido sin duda el año del ransomware, una tendencia que tristemente parece haber llegado para quedarse, volviendo a demostrar lo importante que es la seguridad para las empresas privadas, particulares e instituciones. Una tendencia que seguiremos viendo este 2018, junto con algunas nuevas, como el minado de criptomonedas.

También hemos visto nuevas vulnerabilidades en la misma línea que años anteriores, sobresaliendo el culebrón que ya comenzó en 2016 con The Shadow Brokers y del que salieron vulnerabilidades como EternalBlue y EternalRomance, que han sido aprovechados por múltiples troyanos. Además, este ha sido con diferencia el año en que se han descubierto más vulnerabilidades como puede verse en Vuldb, al casi doblarse el número de entradas respecto el año anterior. Esta cifra sí que se dobla en Cvedetails.



Las vulnerabilidades este 2017 se han disparado respecto años anteriores


Y en cuanto a filtraciones, este parece haber sido por fortuna un año más tranquilo que los anteriores. Ha habido filtraciones muy graves, pero cada vez parecen quedar más lejos esos 3 millardos de cuentas de Yahoo! de 2013, o los 412.2 millones de Adult Friend Finder del año pasado.


Hace años la seguridad informática apenas era tenida en cuenta por los legisladores, las empresas y las personas de a pie. Y justamente por eso, estos últimos años hemos podido ver cada vez más casos de filtraciones, explotaciones y usuarios afectados en la portada de los periódicos, demostrando que no podemos despreocuparnos y evidenciando que existe un problema. La tendencia no obstante parece estar cambiando, y este año que entra parece que será parte de este cambio.



El equipo de Hispasec y de la Una Al Día os desea a todos un muy feliz año 2018.


Juan José Oyague
joyague@hispasec.com

Más información:

Malware ataca múltiple compañías (Wannacry):
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

Precio Bitcoin:
http://www.lavanguardia.com/economia/20171226/433891489800/bitcoin-precio-compra.html

Kaspersky Loapi:
https://www.kaspersky.es/blog/loapi-trojan/15024/

The Pirate Bay runs a cryptocurrency miner:
https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/

Android Toast Overlay Attack:
https://www.paloaltonetworks.com/cyberpedia/android-toast-overlay-attack

Vulnerabilidades en Intel Management:
http://unaaldia.hispasec.com/2017/11/vulnerabilidades-en-intel-management.html

The Shadow Group libera el resto del arsenal robado a la NSA:
http://unaaldia.hispasec.com/2017/04/the-shadow-group-libera-el-resto-del.html

Vulnerabilidad crítica en Apache Struts:
http://unaaldia.hispasec.com/2017/03/vulnerabilidad-critica-en-apache-struts.html

BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación:
http://unaaldia.hispasec.com/2017/09/blueborne-una-vulnerabilidad-en.html

KRACKs: grave vulnerabilidad en el protocolo WPA2:
http://unaaldia.hispasec.com/2017/10/kracks-grave-vulnerabilidad-en-el.html

Equifax Data Breach Impacts 143 Million Americans:
https://www.forbes.com/sites/leemathews/2017/09/07/equifax-data-breach-impacts-143-million-americans/#3af477b9356f



Uber data hack cyber attack:
https://www.theguardian.com/technology/2017/nov/21/uber-data-hack-cyber-attack

North Korea hackers stole South Korea-U.S. military plans to wipe out North Korea leadership: lawmaker:
https://www.reuters.com/article/us-northkorea-cybercrime-southkorea/north-korea-hackers-stole-south-korea-u-s-military-plans-to-wipe-out-north-korea-leadership-lawmaker-idUSKBN1CF1WT

La brecha en Taringa expone a 28 millones de usuarios:
http://unaaldia.hispasec.com/2017/09/la-brecha-en-taringa-expone-28-millones.html

711 millones de correos electronicos expuestos:
http://unaaldia.hispasec.com/2017/09/711-millones-de-correos-electronicos.html

La mayor base de datos de usuarios y contraseñas jamás descubierta, otra vez:
http://unaaldia.hispasec.com/2017/12/la-mayor-base-de-datos-de-usuarios-y.html

Vuldb archive:
https://vuldb.com/?archive

Cvedetails browse by date:
https://www.cvedetails.com/browse-by-date.php

Yahoo says all three billion accounts hacked in 2013 data theft:
https://www.reuters.com/article/us-yahoo-cyber/yahoo-says-all-three-billion-accounts-hacked-in-2013-data-theft-idUSKCN1C82O1

Adult Friend Finder confirms data breach 3.5 million records exposed:
https://www.csoonline.com/article/2925833/data-breach/adult-friend-finder-confirms-data-breach-3-5-million-records-exposed.html

sábado, 30 de diciembre de 2017

Variante de Cryptomix ransomware

Una variante del ransomware Cryptomix fue descubierta por el investigador Michael Gillespie. Este ransomware de extensión .tasytlock cifra los archivos y cambia los emails de contacto utilizados por el ransomware.

Los métodos de cifrado se mantienen en esta variante, con algunas pequeñas diferencias. 

Encontramos que la nota del ransomware tiene como nombre "__HELP_INSTRUCTION.TXT". Sin embargo, a pesar de ser la misma nota el e-mail de contacto es modificado por t_tasty@aol.com - Permitiendo así a las víctimas poder contactar con los atacantes al estar deshabilitados los medios anteriores. 


Extensión de los archivos cifrados: .tastylock


Otra de las novedades es la extensión de los archivos cifrados. Con esta versión, cuando un archivo ha sido cifrado por el ransomware se modificará el archivo y posteriormente agregará la extensión .tastylock al nombre.


Modificación del correo electrónico en la nota del ransomware.  

Actualmente, no se puede descifrar el ransomware. Los investigadores que han recibido el programa para descifrar los archivos se encuentran analizándolo para encontrar posibles vulnerabilidades. Mientras tanto, no queda más remedio que esperar a una posible vulnerabilidad en la implementación del cifrado.

Recordamos que pagar la cantidad exigida por los atacantes no es signo de garantía de recuperar los datos. Para evitar este tipo de ataques, es recomendable contar con soluciones antivirus actualizada y evitar abrir documentos adjuntos de destinatarios de dudosa procedencia. 

Fernando Díaz
fdiaz@hispasec.com

Más información:

Tastylock cryptomax ransomware:






viernes, 29 de diciembre de 2017

Loapi: el malware para Android que puede freír tu batería

Loapi es un malware multipropósito que permitiría a los atacantes minar la criptodivisa 'Monero', lanzar ataques DDoS o suscribir a las víctimas a servicios de pago.


Esta nueva familia fue descubierta por 'Kaspersky Lab' distribuido en forma de aplicaciones legítimas: 

Muestras de Loapi falseando aplicaciones legítimas. Fuente: https://securelist.com

Mediante campañas de mensajes SMS, publicidad y otras técnicas de spam el virus consiguió distribuirse entre un gran número de víctimas.


Características


La arquitectura modular de este malware hace que sea muy versátil y permita realizar todo tipo de acciones fraudulentas:

  • Minar cripto-monedas.
  • Mostrar publicidad.
  • Enviar/Recibir SMS.
  • Lanzar ataques DDoS.
  • Navegar por la web, y suscribir a la víctima a servicios de pago.


Proceso de infección


Tras instalar la aplicación fraudulenta el malware trata de escalar permisos en el dispositivo, pidiendo permisos de administrador en bucle hasta que el usuario los acepta. Posteriormente, 'Trojan.AndroidOS.Loapi', comprueba si el dispositivo está 'rooteado' (aunque esta versión no hace uso en ningún momento de estos privilegios).

Después de obtener los permisos necesarios se esconde en el sistema, bien ocultando el icono en el menú o simulando ser una aplicación de antivirus como la que vemos a continuación:

Capturas de la aplicación fraudulenta. Fuente: https://securelist.com

El troyano además implementa mecanismos para protegerse y evitar ser desinstalado: puede actualizar de forma remota una lista negra de aplicaciones que podrían suponer una amenaza y engañar al usuario para que sean desinstaladas. Además de cerrar la ventana de ajustes para evitar que el usuario pueda revocar los permisos.
Mensaje fraudulento para desinstalar un AV legítimo. Fuente: https://securelist.com

Entre las diferentes acciones que se pueden llevar a cabo con este malware, cabe destacar la opción de minado de cripto-monedas, que podría dejar nuestro dispositivo Android inutilizado debido al uso tan intensivo de CPU.

Estado de la batería tras 48h de funcionamiento. Fuente: https://securelist.com

Para evitar este tipo de amenazas se recomienda siempre instalar las aplicaciones del repositorio oficial de Google Play.

Francisco Salido
fsalido@hispasec.com

Más información:

Jack of all trades






jueves, 28 de diciembre de 2017

Mozilla corrige vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 52.5.2, su popular cliente de correo, en la que corrigen una vulnerabilidad crítica que podría provocar un desbordamiento de la memoria intermedia. El parche publicado para solucionar esta vulnerabilidad soluciona además otras cuatro vulnerabilidades (dos de gravedad alta, una moderada y otra baja).


Como decíamos antes, la vulnerabilidad más grave, etiquetada con CVE-2017-7845, podría provocar un desbordamiento de buffer debido a un error de validación en la librería gráfica ANGLE a la hora de utilizar Direct 3D 9 para renderizar contenido WebGL. Esta vulnerabilidad también ha sido corregida en Firefox en su versión 57.0.2 publicada el pasado 7 de diciembre.

Las vulnerabilidades consideradas de gravedad alta permitirían ejecutar código JavaScript en un 'feed RSS' cuando se utiliza el visor integrado (CVE-2017-7846) y revelar información sensible sobre 'paths' locales que podrían contener el nombre del usuario (CVE-2017-7847).

Las vulnerabilidades de gravedad moderada y baja podrían manipular ligeramente la estructura de un correo inyectando nuevas lineas al cuerpo del mensaje a través del 'feed RSS' (CVE-2017-7848) y suplantar la dirección del remitente si se inserta un carácter nulo al principio (CVE-2017-7829).

La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:
https://www.mozilla.org/thunderbird/ o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.


Francisco Salido
fsalido@hispasec.com

Más información:

Security vulnerabilities fixed in Thunderbird 52.5.2
https://www.mozilla.org/en-US/security/advisories/mfsa2017-30/

miércoles, 27 de diciembre de 2017

Plugins vulnerables de WordPress de 2014 aún presentes en instalaciones

Tras más de un año después de que se descubriera la presencia intencionada de código malicioso dentro de 14 plugins de WordPress, todo indica a que cientos de sitios siguen haciendo uso de dichos componentes.





En este post figuran los 14 plugins que comparten el mismo código malicioso descubierto por el desarrollador Thomas Hambach.

Hambach mencionó que los atacantes estaban utilizando código malicioso para insertar enlaces de SEO en los sitios comprometidos. Este descubrimiento fue advertido por el equipo de WordPress que inmediatamente eliminó los 14 plugins maliciosos detectados del repositorio oficial.
A pesar de las acciones tomadas por parte del equipo de WordPress, se continuan detectando peticiones a lo largo de distintas IPs que intentan acceder al código malicioso, específico a los plugins con backdoor. 

Este asunto volvió a llamar la atención recientemente cuando WordPress modificó el repositorio de plugins de manera que los plugins antiguos que se cerraron pueden verse aún. Anteriormente no eran visibles al público.

La nueva versión del repositorio cuenta con la posibilidad de observar las instalaciones activas del plugin y a pesar de que los plugins fueron eliminaros para ser descargados por el público, cientos de sitios aún cuentan con ellos.

Podemos encontrar una lista de los plugins vulnerables de los que estamos hablando en este enlace. Entre ellos, encontramos 5 plugins de 2014 que siguen instalados en cientos de sitios.
Todos los sitios que estén haciendo uso de estos plugins pueden ser hackeados por un atacante que sepa lo que debe buscar y probablemente pertenezcan a proyectos abandonados desde hace un largo tiempo.




Expertos sugirieron avisar a los administradores de los sitios cuando existen actualizaciones de seguridad o tienen instalados plugins que son vulnerables o bien han sido eliminados del repositorio por incumplir la política. 
Según palabras de Mika Epstein, miembro del equipo de WordPress: "Si hacemos publica la vulnerabilidad sin un parche existente, ponemos a los usuarios en mayor riesgo. Si los atacantes conocen que existe un exploit, estos intentarán aprovecharlo lo más rápidamente posible." Por supuesto, los expertos no estaban alegres con esta contestación.

Un año después de estas declaraciones, el equipo de WordPress decidió tomar un camino diferente. Para combatir graves amenazas de seguridad, WordPress hará un rollback del plugin a la última versión segura que será instalada a la fuerza; afectando (presumiblemente) mínimamente a la funcionalidad del sitio pero manteniéndolo seguro.
Sin embargo, estas acciones son particulares del equipo de WordPress y solo se llevan a cabo con graves amenazas. 

Mientras tanto, los usuarios pueden instalar alguno de los muchos plugins de seguridad para detectar plugins antiguos con fallos de seguridad disponibles en el repositorio.


Fernando Díaz
fdiaz@hispasec.com

Más información:
Unfixed WordPress plugin vulnerabilities:

martes, 26 de diciembre de 2017

Digmine se propaga a través de Facebook Messenger para minar cripto-monedas a tu costa

Utilizar los recursos de tu máquina para minar cripto-monedas está siendo una técnica cada vez más habitual entre los ciber delincuentes. A diferencia de los ya conocidos "ransomwares", que utilizan técnicas más agresivas, secuestrando literalmente los archivos de tu máquina. Los troyanos de minado de cripto-monedas utilizan la capacidad de procesado del dispositivo infectado para obtener las criptodivisas sin que la víctima se entere.


El pasado 21 de diciembre el equipo de Trend Micro publicó en su blog el análisis sobre una nueva familia: Digmine.

Digmine está programado en 'AutoIt', un lenguaje de programación utilizado para automatizar procesos en Windows. Tiene la característica de se propaga a través de Facebook Messenger, utilizando como cebo un supuesto vídeo que en realidad contiene el ejecutable de AutoIt. Cuando la víctima abre el archivo queda infectada y reenvía el mensaje malicioso a sus contactos.

Mensaje-cebo enviado a través de Facebook Messenger.
Fuente: http://blog.trendmicro.com/

El proceso de infección ocurre de la siguiente forma:
  1. La víctima ejecuta el malware, que se conecta al C&C para descargar su configuración y otros componentes al directorio %appdata%\<username> de la víctima.
  2. Posteriormente modificará el registro de Windows para ejecutarse al iniciar el ordenador.
  3. A continuación ejecutará Chrome e instalará una extensión que se utilizará para mostrar un servicio fraudulento de streaming de vídeo mientras se comunica con el C&C para descargar más configuraciones y manipular Facebook Messenger para propagar el virus.

Captura del servicio fraudulento de streaming.
Fuente: http://blog.trendmicro.com/


El componente usado para minar las cripto-monedas es XMRig, un software open-source utilizado para minar 'Monero'.

Fichero de configuración de XMRig.
Fuente: http://blog.trendmicro.com/


Tanto el 'downloader' como el 'miner' usan el protocolo HTTP para comunicarse con el C&C. Utilizando el 'User-Agent: Miner' para prevenir en cierta medida conexiones no autorizadas.

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>

Como medida de seguridad se recomienda bloquear los mensajes de desconocidos o que no hayamos solicitado, así como asegurar nuestra cuenta de Facebook para evitar accesos no autorizados.

Trend Micro ha compartido además algunos indicadores de compromiso con los que actualizar nuestro IDS:

TROJ_DIGMINEIN.A
beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

BREX_DIGMINEEX.A
5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

TROJ_DIGMINE.A
f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909




Francisco Salido

Más información:


Digmine Cryptocurrency Miner Spreading via Facebook Messenger:
http://blog.trendmicro.com/trendlabs-security-intelligence/digmine-cryptocurrency-miner-spreading-via-facebook-messenger/

lunes, 25 de diciembre de 2017

Vulnerabilidad en GoAhead afecta a miles de dispositivos IoT

Se trata de una vulnerabilidad en un pequeño servidor web que se encuentra incluido en cientos de dispositivos IoT. Afecta a GoAhead, un paquete creado por Embedthis Software.


Numero de dispositivos IoT utilizando el servidor GoAhead.

Este servidor es muy popular en la industria ya que requiere de muy pocos recursos para ejecutarse, por lo que es un punto muy atractivo para aquellos dispositivos con recursos limitados como routers, impresoras y otros equipos IoT con conectividad. 

Según el sitio oficial de GoAhead, este producto se encuentra desplegado en distintos productos de marcas muy conocidas: Comcast, D-Link, ZTE, Oracle, Canon, Siemens... Por lo que puede encontrarse en una amplia gama de dispositivos. 

Esta semana investigadores de la firma australiana Elttam, descubrieron una manera de ejecutar código remoto malicioso en aquellos dispositivos que hicieran uso del paquete web de GoAhead. No es la primera vez, en marzo investigadores independientes descubrieron otro fallo de seguridad en dicho paquete; mientras que Cyberreason encontró otra vulnerabilidad en 2014.

La vulnerabilidad tiene asignado el código CVE-2017-17562. Elttam, ha publicado los detalles técnicos en esta entrada. Los atacantes pueden explotar este fallo de seguridad si CGI se encuentra habilitado y un programa está dinámicamente enlazado con CGI lo cual es una opción de configuración común.
También se puede encontrar una prueba de concepto que otros investigadores pueden utilizar para comprobar si los dispositivos a examinar son vulnerables a dicha vulnerabilidad. 

Tras reportar el fallo de seguridad a EmbedThis, se publicó un parche para solventar la vulnerabilidad. Todas las versiones de GoAhead anteriores a 3.6.5 son aparentemente vulnerables, aunque los investigadores únicamente verificaron la vulnerabilidad hasta las versiones 2.5.0.

Se estima que se han podido infectar entre 500.000 y 700.000 dispositivos IoT. Un par de búsquedas básicas en Shodan revelan estas cantidades, aunque varían segun el numero de dispositivos online en el momento. 

Embedthis ha cumplido con su papel en esta vulnerabilidad, ahora es el momento de que los usuarios actualicen sus dispositivos a las versiones más recientes. Sin embargo, este proceso puede llevar meses, o incluso años ya que algunos dispositivos han acabado su ciclo de vida y no tienen soporte para futuras actualizaciones. 



Fernando Díaz
fdiaz@hispasec.com

Más información:


domingo, 24 de diciembre de 2017

Grave vulnerabilidad en routers Huawei utilizada de nuevo por la botnet Mirai

A finales del mes de noviembre, la firma en seguridad Checkpoint advirtió de una grave vulnerabilidad remota en routers Huawei HG532, pero no ha sido hasta esta semana, cuando se ha hecho público el análisis de la vulnerabilidad y su uso en el despliegue de una nueva botnet basada en Mirai.
El abuso de routers domésticos se ha vuelto una gran mina para los atacantes, ya que existen millones de dispositivos sin actualizar y gravemente expuestos. Es por ello que los creadores de botnets suelen centrarse en grandes fabricantes, como Huawei.

La vulnerabilidad (CVE-2017-17215) se presentaría por unas incorrectas políticas de seguridad en la implementación del protocolo de administración remota TR-064. Un atacante podría, a través de peticiones especialmente manipuladas al puerto 37215, ejecutar comandos en el dispositivo y tomar control del mismo.

En concreto, el servicio vulnerable comentado por los investigadores de Checkpoint, sería el "DeviceUpgrade", encargado de actualizar el dispositivo. Mediante peticiones a este servicio y la inclusión de comandos bajo los apartados 'NewStatusURL' y 'NewDownloadURL', se podría descargar y ejecutar código arbitrario, como se puede apreciar en la captura:

Petición de ejecución de comandos - Fuente: Checkpoint

Una vez infectado el dispositivo, pasaría a formar parte de esta nueva variante de botnet Mirai, denominada por Checkpoint como OKIRU/SATORI. Según sus análisis, existirá una alta actividad de la misma en países como EEUU, Alemania, Italia o Egipto, entre otros.

Por su parte, Huawei ha publicado las contramedidas necesarias para bloquear este tipo de ataques, principalmente, activando el cortafuegos del dispositivo.


José Mesa
@jsmesa

Más información:

Security Notice - Statement on Remote Code Execution Vulnerability in Huawei HG532 Product
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en


Huawei Home Routers in Botnet Recruitment
https://research.checkpoint.com/good-zero-day-skiddie/

Huawei Routers Exploited to Create New Botnet
https://blog.checkpoint.com/2017/12/21/huawei-routers-exploited-create-new-botnet/


Huawei HG532 Router Remote Code Execution
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-1016.html

sábado, 23 de diciembre de 2017

Ejecución remota de código en PaloAlto Networks Firewall

Un reciente reporte del investigador en seguridad Philip Pettersson, alerta sobre una grave vulnerabilidad en los routers del fabricante Palo Alto Networks, capaz de ser explotada remotamente y sin autenticación a través de la interfaz Web de administración, permitiendo el control total del dispositivo.
El análisis realizado por Petterson, determina que los routers se verían afectados por un conjunto de fallos que permitirían a un atacante ejecutar código remoto con permisos de ROOT. Esta vulnerabilidad, que ha recibido el CVE-2017-15944, se basaría, concretamente, en tres fallos por salto de restricciones en el servidor:

- Autenticación parcial en el servidor:
Existe una incorrecta comprobación por parte del 'parser' encargado de procesar las cookies de sesión, debido a que no utiliza los métodos oficiales propios de PHP para gestionar este procedimiento. Esto permitiría manipular la cookie de sesión y realizar una autenticación parcial.

- Creación de directorios arbitrarios:
Debido a unas incorrectas políticas de seguridad en '/php/utils/router.php', el portal de administración se vería afectado, también, por una vulnerabilidad de inyección de peticiones XML y, en conjunción con la anterior vulnerabilidad, se podrían crear directorios en el propio servidor de manera arbitraria, definiendo rutas especialmente manipuladas para ser utilizadas en posteriores vulnerabilidades.

- Inyección de comandos en el cron del sistema:
Existe una inyección de comandos en el cron que utiliza el sistema "/usr/local/bin/genindex.sh" para crear indices de las bases de datos, ya que es vulnerable en el modo de interpretar los nombres de ficheros.
Dado que, con las anteriores vulnerabilidades, tendríamos control de los directorios creados y, por tanto, las rutas a interpretar por este cron se podría inyectar comandos para así poder crear, por ejemplo, una shell remota, como se puede ver en el output publicado por Petterson.


Además, ya se han publicado exploits que comprueban la viabilidad de esta vulnerabilidad, confirmándose que existe un porcentaje importante de dispositivos que tienen la interfaz web accesible vía WAN y no han sido actualizados, siendo vulnerables.

El fabricante ha publicado los parches necesarios para actualizar PAN-OS en todas sus versiones disponibles:

  • PAN-OS 6.1.19, PAN-OS 7.0.19, PAN-OS 7.1.14, PAN-OS 8.0.6 y superiores.

Como siempre, recomendamos actualizar lo antes posible los dispositivos afectados y/o aplicar las medidas oportunas para no dejar accesible paneles de administración a accesos indebidos.



José Mesa
@jsmesa

Más información:


Vulnerability in PAN-OS on Management Interface (PAN-SA-2017-0027)
https://securityadvisories.paloaltonetworks.com/(X(1)S(crnl4olccpsmox0zi5ocw3nc))/Home/Detail/102

CVE-2017-15944: Palo Alto Networks firewalls remote root code execution
http://seclists.org/fulldisclosure/2017/Dec/38