El foro dedicado al
producto de seguridad ZoneAlarm de Check Point parece haber sido hackeado tras
aprovechar una vulnerabilidad parcheada a finales de septiembre y los detalles
de los miembros del foro se han hecho públicos.
CheckPoint dice que
su producto ZoneAlarm ha sido utilizado por casi 100 millones de usuarios en
todo el mundo, pero el incidente solo parece afectar a unos pocos miles de
usuarios. El foro ZoneAlarm tiene aproximadamente 4.500 miembros, pero Breach
Report afirma haber encontrado un archivo que contiene 5.175 registros
filtrados.
El archivo contiene
direcciones de correo electrónico, valores hash de contraseña, fechas de
nacimiento y direcciones IP de usuarios. El foro ZoneAlarm funciona con el
software del foro vBulletin y Breach Report sugirió que los piratas
informáticos pueden haber obtenido los datos después de aprovechar la
vulnerabilidad CVE-2019-16759, una vulnerabilidad de vBulletin que se parcheó a
finales de septiembre.
La falla habría sido
explotada antes del lanzamiento de un parche y algunos afirmaron que su
existencia se conocía desde hacía años.
Los representantes de
Check Point aseguran que el equipo de ZoneAlarm contactó a las personas
afectadas dentro de las 24 horas posteriores a la detección de la bracha de
seguridad. La compañía llevó a cabo una investigación sobre el incidente y no
confirmó que se tratara de la explotación de una vulnerabilidad de vBulletin.
Además la compañía
aseguró que las contraseñas «permanecen encriptadas«, pero aconsejó a los
usuarios que las cambien «como medida de seguridad».
«Es importante
destacar que este sitio web está aislado de cualquier otro sitio web de Check
Point y fue utilizado solo por los suscriptores registrados del foro ZoneAlarm.
ZoneAlarm es una de nuestras líneas de productos más pequeñas ”, dijo Check
Point a SecurityWeek por correo electrónico.
El foro ZoneAlarm no
se encuentra disponible actualmente. Por otro lado, desde Hispasec recomendamos
que se cambien periódicamente las contraseñas de los sitios webs en los que
tengamos cuenta y recordamos la necesidad de que estos sitios webs implementen
mecanismos de segundo factor de autentificación.
Más información:
- Parche de septiembre en vBulletin https://www.securityweek.com/vbulletin-patches-vulnerability-exploited-wild
- Explotación de vBulletin https://seclists.org/fulldisclosure/2019/Sep/31
Fuente: Hispasec