17 de julio de 2019

Ataque dirigido explota vulnerabilidad en Windows

El grupo Buhtrap aprovechó un exploit zero-day en Microsoft Windows para realizar operaciones de espionaje en Europa.
Investigadores de ESET, compañía dedicada a la detección proactiva de amenazas, informaron sobre un ataque dirigido que se aprovechaba de una vulnerabilidad para la que no existía solución (zero-day) en Microsoft Windows. ESET identificó como autores al grupo Buhtrap APT que se centra en operaciones de espionaje en Europa del Este y Asia Central.
El grupo Buhtrap es conocido por dirigir sus ataques y operaciones tanto a instituciones financieras como a empresas en Rusia. Sin embargo, desde finales de 2015, se identificó un cambio en el perfil de sus objetivos tradicionales evolucionando de un grupo criminal puro que cometía delitos cibernéticos con fines de lucro, al desarrollo de un conjunto de herramientas de malware utilizado para realizar espionaje.
“Siempre es difícil atribuir una campaña a un actor en particular cuando el código fuente de sus herramientas está disponible gratuitamente en la web. Sin embargo, como el cambio en el objetivo se produjo antes de que se filtrara el código fuente, hemos descubierto con bastante fiabilidad que las mismas personas que están detrás de los primeros ataques de malware Buhtrap contra empresas y bancos ahora también participan en los ataques a instituciones gubernamentales”, explica Jean-Ian Boutin, investigador de ESET. “No está claro si uno o varios miembros de este grupo decidieron cambiar de enfoque y por qué razones, pero definitivamente es una tendencia que es probable que sigamos observando más en el futuro”, agregó.
En relación a esta campaña específica, ESET confirma que el malware permitía robar contraseñas de clientes de correo y navegadores, entre otros, y enviarlas a un servidor de mando y control. El malware también otorgaba a sus operadores el acceso total al sistema comprometido.
Como menciona la investigación de ESET, aunque se agregaron nuevas herramientas y se aplicaron actualizaciones a las antiguas, las tácticas, técnicas y procedimientos utilizados en las diferentes campañas y ataques de Buhtrap no se modificaron demasiado en los últimos años. Los documentos empleados para distribuir el malware a menudo están acompañados de documentos trampa aparentemente benignos para evitar levantar sospechas en la víctima. El análisis de estos documentos proporcionó pistas a los investigadores sobre quiénes podrían ser los objetivos, las herramientas utilizadas en las campañas de espionaje fueron muy similares a las implementadas contra empresas e instituciones financieras en el pasado.
ESET informó sobre esta vulnerabilidad al Centro de Respuesta de Seguridad de Microsoft, que corrigió la vulnerabilidad y lanzó un parche.
Fuente: Diarioti.com

CIBERSEGURIDAD. Duplicación de beneficios en dos años

En 2018 la ciberdelincuencia marcó un nuevo hito: más de 9 millones de URL fraudulentas bloqueadas y más de 2,4 millones de ficheros de malware (software maligno) detectados al mes, según los datos de PandaLabs. Unas cifras que seguirán aumentando debido a que cada vez habrá más usuarios conectados a Internet, así como dispositivos.
De hecho, desde IHS Markit creen que "la cantidad de dispositivos IoT (Internet de las Cosas) instalados alcanzará los 40.000 millones en 2020 (actualmente hay más 7.700 millones de personas en el mundo). Este enorme crecimiento también conlleva riesgos de seguridad adicionales. Teniendo en cuenta la rápida adopción y el gran volumen de dispositivos IoT conectados disponibles, el panorama de amenazas de ciberseguridad está creciendo de manera exponencial".
Hace unos meses Anurag Rana y Mandeep Singh, analistas de la industria de Bloomberg, alertaban de que "los ciberataques son potencialmente el mayor riesgo para el crecimiento mundial, dada su capacidad para infligir grandes daños económicos en todas las industrias".
Por su parte, Ricardo Barrasa, presidente de ISACA Madrid Chapter (expertos en ciberseduridad y protección de datos) incide en que "los principales problemas de robo de información se dan desde el interior de la empresa y el robo de información es cada vez más importante porque hay quien está dispuesto a pagar por ella. Todas las empresas, grandes y pequeñas deberían tener sistemas de ciberseguridad acorde a sus necesidades, si bien las pymes siguen percibiendo que este es un problema que solo afecta a las grandes corporaciones, lo que es un error".
En este contexto, la adopción de medidas para protegerse de los ataques encontrará en las compañías de ciberseguridad las principales beneficiadas. Según las previsiones del consenso de mercado que recoge FactSet, las principales empresas del sector lograrán más que duplicar su beneficio en apenas dos años, hasta superar los 5.200 millones de dólares conjuntos.
Adicionalmente, desde IHS Mar- kit indican que "el mercado de seguridad de datos de IoT se convertirá en el segmento de más rápido crecimiento en el mercado de seguridad cibernética de IoT, con ingresos que van de 3.000 millones en 2019 a 7.000 millones en 2022". Se trata de firmas cuyo negocio principal o único es la ciberseguridad, ya que los grandes tecnológicos como Microsoft u Oracle también tienen participación en esta industria, pero el impacto en sus cuentas no es tan representativo. A este respecto, desde Cybersecurity Ventures predicen que el gasto mundial en ciberseguridad superará el billón de dólares en 2021, cuando en 2004 valía apenas 3.500 millones.
Cómo 'atacar' en bolsa
En este espectacular crecimiento, hay empresas que cuentan con el respaldo de los expertos en forma de recomendación de compra. Es el caso de Proofpoint. La estadounidense, que entre otras cosas proporciona servicios de ciberseguridad para correos electrónicos, ha escalado en bolsa más de un 47% en el año y los analistas creen que puede anotarse otro 12,8% en los próximos meses. Desde que salió a bolsa en 2012 ha subido más de un 800 por ciento.
Si se cumplen los pronósticos, este año saldrá de pérdidas por primera vez y logrará un beneficio cercano a los 90 millones de dólares. Para Needham el cambio que ha hecho la compañía ofertando hasta 17 servicios diferentes ha sido más que positivo, ya que está generando "ciclos de venta más rápidos", al tiempo que esperan que mejore la productividad.
Otro de los nombres que no puede faltar cuando se habla de ciberseguridad y atractivo es Palo Alto, que ofrece firewalls (cortafuegos, es decir dispositivos de seguridad que deciden si debe permitir o bloquear un tráfico específico). Al igual que Proofpoint, se prevé que en 2019 comience a generar beneficio, logrando algo más de 530 millones de dólares.
"Palo Alto podría mantener un crecimiento anual de las ventas superior al 25% debido a su fuerte primer semestre fiscal, ya que, en nuestra opinión, la demanda de seguridad sigue siendo sólida", argumentan Mandeep Singh y Andrew Eisenson, analistas de la industria de Bloomberg.
Por su parte, la también estadounidense CyberArk Software completa el trío de mejores recomendaciones del sector. Especializada en seguridad de acceso privilegiado, este año sube más de un 77% en bolsa y los expertos le otorgan un potencial alcista de más del 6%.
Según las estimaciones, el año que viene ganaría más de 100 millones de dólares, lo que implicaría más que duplicar lo cosechado el ejercicio pasado. "CyberArk es el líder en seguridad de acceso privilegiado (PAS), que ha tardado mucho tiempo en ser entendido por las empresas en términos de sus necesidades, pero ahora que ha pasado el tiempo el proceso de ventas tiene mucha menos fricción, lo que conduce a mejores ciclos de ingresos que creemos que mantendrán el crecimiento por encima de nuestras expectativas para 2019", arguyen desde JP Morgan.
Fuera del dominio estadounidense destaca la japonesa Trend Micro (puede adquirirse en Estados Unidos a través de un ADR). Frente a sus comparables, uno de sus principales atractivos es su rentabilidad por dividendo, superior al 3% en 2019 (las otras tres firmas no remuneran a los accionistas).
Fuente: El Economista.com

WADAC. Vulnerabilidad de omisión de seguridad en Windows Defender Application Control

Microsoft ha corregido una vulnerabilidad fuera de ciclo, que afectaba a su producto PowerShell Core, catalogada de Importancia: 4 - Alta
Recursos afectados:
·        PowerShell Core versiones 6.1 y 6.2.
Recomendación
·        PowerShell Core versión 6.1 actualizar a la versión 6.1.5
·        PowerShell Core versión 6.2 actualizar a la versión 6.2.2
Detalle de vulnerabilidades
Una vulnerabilidad de omisión de seguridad en Windows Defender Application Control (WDAC) podría permitir a un atacante, con permisos de administración, eludir el modo de lenguaje restringido de PowerShell Core y acceder a los recursos de forma involuntaria. Se ha reservado el identificador CVE-2019-1167 para esta vulnerabilidad.
Más información
Fuente: INCIBE

Actualizaciones críticas en Oracle (julio 2019)

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos, catalogadas de  Importancia: 5 - Crítica
Recursos afectados:
Recomendación
Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.
Detalle de vulnerabilidades
Esta actualización resuelve un total de 319 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.
Más información
Fuente: INCIBE

Vulnerabilidad en WhatsApp y Telegram permite la manipulación de ficheros

Se ha descubierto una vulnerabilidad en WhatsApps y Telegram que permitiría el acceso y manipulación de los ficheros del usuario.
La vulnerabilidad ha sido descubierta por el equipo de seguridad de sistemas operativos modernos de la firma antivirus ‘Symantec’ y ya ha sido bautizada como ‘Media File Jacking’ y afecta a las aplicaciones WhatsApp y Telegram de la plataforma Android.
El error se da sólo en dos precisos instantes: En el momento en el que la aplicación ha recibido un fichero y lo está escribiendo en la unidad física, y en el momento en el que la aplicación está cargando los ficheros en la Interfaz de Usuario (UI).
Por defecto, la lectura y escritura se hacen en directorios públicos, siendo ‘/storage/emulated/0/WhatsApp/Media/’ el directorio por defecto de WhatsApps y ‘/storage/emulated/0/Telegram/’ el directorio de Telegram, directorios que por defecto son accesibles por una aplicación que tenga permiso para utilizar la memoria externa del teléfono.
Algún lector le habrá saltado la alarma preguntándose: “Si cualquier aplicación con permisos para manipular la unidad extraible… ¿Qué tiene de nuevo o cómo puede afectar la vulnerabilidad?”. Pues la clave está en el permiso ‘WRITEEXTERNALSTORAGE’ que permite la lectura en tiempo real de los archivos que se guardan en memoria sin importa si el fichero pertenece a la aplicación o no. Esto permitiría una manipulación de un fichero e incluso antes de ser mostrado al usuario, pudiendo tener unos efectos devastadores. Ya que el usuario podría tener plena confianza en que un fichero que acaba de recibir de una persona de confianza fuera malicioso.
De esta forma un ataque podría perpetrarse de la siguiente manera:
·        Un usuario descarga una aplicación (maliciosa) que requiera el permiso ‘WRITEEXTERNALSTORAGE’, cosa que no es nada fuera de lo normal.
·        El usuario a continuación recibe un mensaje de una persona de mucha confianza a través de una estas aplicaciones vulnerables, y que hoy en día son tan comunes en nuestro día a día, y que puede ser leída en tiempo real por la aplicación maliciosa recién instalada.
·        La aplicación maliciosa, lee y manipula el fichero recibido a voluntad antes de que sea mostrado al usuario, con el riesgo que pueda acarrear esta acción.
Los investigadores han publicado varios vídeos dónde pueden apreciarse la manipulación de varios ficheros: Una imagen, un documento PDF y un mensaje de voz.
Recomendación
·  Como posible contramedida se recomienda desactivar el guardado automático de los ficheros, para que en la medida de lo posible puedan ser recibidos en otras aplicaciones que no son vulnerables como las web o las de escritorio. Aunque lo más recomendable para ficheros confidenciales o con información sensible, es utilizar otro canal de comunicación.
Más información:
Fuente: Hispasec




INTEL. Su data centre SSD podría permitir hacerse con el control completo de los servidores

A las vulnerabilidades de los procesadores Intel que permitirían actuar a Spectre o Meltdown, ya conocidas en 2018, se une el descubrimiento de nuevas vulnerabilidades relacionadas con los procesadores usados en data centres con SSD.
En esta ocasión, han sido el especialista Jesse Michael de Eclypsium junto con personal de Intel, quienes han identificado una nueva vulnerabilidad que afecta directamente a la herramienta de diagnóstico del procesador Intel, además de un fallo adicional que afectaría a la seguridad de los data centre SSD.
La vulnerabilidad relacionada con la herramienta de diagnóstico del procesador, se ha catalogado como CVE-2019-11133 con una puntuación CVSS de 8.2 sobre 10. Dicha vulnerabilidad podría permitir a un usuario autentificado realizar una escalada de privilegios con la que podría acceder a información confidencial o realizar ataques de DoS mediante un acceso local.
Por otro lado, la vulnerabilidad que afectaría a los data centres SSD, concretamente a las unidades de las series S4500 y S4600 de Intel, permitiría a un usuario no autentificado escalar privilegios a través de un punto de acceso físico; aunque ha sido puntuada con 5.3 sobre 10 en la escala CVSS, por lo que no se considera crítica.
Intel ha podido lanzar los correspondientes parches de seguridad antes del plazo de 90 días para la divulgación pública de vulnerabilidades. Y aunque la compañía ha resuelto alrededor de 25 vulnerabilidades críticas en lo que va de año, el volumen de vulnerabilidades que se está detectando últimamente parece indicar que la estrategia de seguridad de la compañía debería actualizarse.
Más información
Fuente: Hispasec

ESPAÑA. Descubierta red de criptominería

Descubierta red internacional de criptominería ilegal en España que ha llegado a generar unos 50 millones de euros.
La red ha sido descubierta por dos investigadores españoles, Serio Pastrana (Universidad Carlos III) y Guillermo Suarez-Tangil (King’s College), que han sido capaces de analizar la red que minaba criptomonedas a través de un malware desde PC de terceros.
Los investigadores encontraron que los ciberdelincuentes minaban Monero, una de las criptomonedas más codiciadas debido a que según su diseño es prácticamente irrasteable y que según el estudio, más del 4% de las criptomonedas Monero en circulación fueron generadas por este red.
La red utilizaban dos métodos para capturar el PC de la víctima:
El primer método es a través de una página web especialmente manipulada la cual contiene un script malicioso que es capaz de utilizar la CPU de la víctima, una solución efectiva, pero en cuanto la víctima cierra la página web, el script deja de minar.
El segundo método, algo más elaborado y consiste en la inyección de un malware en la computadora, método que consigue hacer que la infección tenga persistencia en el equipo infectado. Este malware, tiene la peculiaridad funcionalidad que es capaz de apagarse cuando el usuario abre el administrador de tareas para dificultar su detección.
Una vez minado el equipo infectado, la muestra era capaz de transferir las criptomonedas generadas a las carteras digitales de los ciberdelincuentes.
Esta investigación que ha abarcado desde los años 2007 hasta 2018, ha servido también para ver la evolución que ha tenido este malware a lo largo del tiempo que, según los investigadores, llega al millar de muestras. Una cifra bastante elevada que ha servido para generar, solo en esta red analizada, unos 50 millones de euros en los últimos 10 años.
Más información:
Fuente: Hspasec

Vulnerabilidad en 3PAR Service Processor de HPE

HPE ha detectado una vulnerabilidad de severidad crítica en múltiples versiones de 3PAR Service Processor que podría permitir la interrupción de la confidencialidad, integridad y disponibilidad, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
HPE 3PAR Service Processor (SP), versiones desde la 4.1 hasta la 4.4.
Recomendación
Actualizar a la versión 4.4 MU9 (SP-4.4.0.GA-142) de HPE 3PAR Service Processor.
Si la versión actual del sistema operativo 3PAR no es 3.2.2EMU4 o 3.2.2MU6, consultar la matriz de soporte de actualización de 3PAR para actualizar el Service Processor y el sistema operativo de HPE 3PAR.
Detalle de vulnerabilidades:
HPE 3PAR Service Processor tiene una vulnerabilidad de divulgación remota de información, que podría permitir a un atacante la interrupción de la confidencialidad, integridad y disponibilidad del Service Processor y de cualquier array 3PAR administrado. Se ha reservado el identificador CVE-2019-11991 para esta vulnerabilidad.
Más información
HPESBST03918 rev.1 - HPE 3PAR Service Processor (SP), remote Disclosure of Privileged Information https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbst03918en_us
Fuente: Hispasec

INTEL. Vulnerabilidad en Intel® Processor Diagnostic Tool

Se ha publicado una vulnerabilidad en Intel® Processor Diagnostic Tool que podría permitir a un atacante la escalada de privilegios, la denegación de servicio o la divulgación de información, catalogada de Importancia: 4 - Alta
Recursos afectados:
·        Intel® Processor Diagnostic Tool para 32-bit, versiones anteriores a la 4.1.2.24_32bit.
·        Intel® Processor Diagnostic Tool para 64-bit, versiones anteriores a la 4.1.2.24_64bit.
Recomendación
Actualizar a Intel® Processor Diagnostic Tool versión 4.1.2.24 o posterior. https://downloadcenter.intel.com/download/19792/Intel-Processor-Diagnostic-Tool
Detalle de vulnerabilidades
Un control de acceso inadecuado en la herramienta de diagnóstico del procesador Intel(R) anterior a la versión 4.1.2.24 podría permitir a un usuario autenticado la escalada de privilegios, la divulgación de información o la denegación de servicio a través del acceso local. Se ha reservado el identificador CVE-2019-11133 para esta vulnerabilidad.
Más información
Fuente: INCIBE

DoS. En controlador criptográfico TLS y SSL de Cisco ASA y FTD

Una vulnerabilidad en el controlador criptográfico para el software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) podría permitir que un atacante remoto, no autenticado, reinicie el dispositivo de forma inesperada, catalogada de  Importancia: 4 - Alta
Recursos afectados:
·        ASA 5506-X,
·        ASA 5506-X con FirePOWER Services,
·        ASA 5506H-X,
·        ASA 5506H-X con FirePOWER Services,
·        ASA 5506W-X,
·        ASA 5506W-X con FirePOWER Services,
·        ASA 5508-X,
·        ASA 5508-X con FirePOWER Services,
·        ASA 5516-X,
·        ASA 5516-X con FirePOWER Services.
La vulnerabilidad se aplica solo a las plataformas de hardware ASA que utilizan un controlador criptográfico específico para el cifrado y descifrado de paquetes SSL y TLS. Hay múltiples características que, cuando se habilitan, hacen que el software Cisco ASA o FTD procese paquetes SSL/TLS. Estas características incluyen, entre otras:
·        AnyConnect y Clientless SSL VPN,
·        HTTP server utilizado para la interfaz de gestión.
Recomendación
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde: Panel de descarga de Software Cisco.
Detalle de vulnerabilidades
La validación de entrada insuficiente de un encabezado de paquete de entrada de Secure Sockets Layer (SSL) o Transport Layer Security (TLS) podría permitir a un atacante enviar un paquete TLS/SSL creado a una interfaz en el dispositivo de destino, recargando el dispositivo, lo que resultaría en una condición de denegación de servicio (DoS). Se ha asignado el identificador CVE-2019-1873 para esta vulnerabilidad.
Más información
Cisco ASA and FTD Software Cryptographic TLS and SSL Driver Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190710-asa-ftd-dos
Fuente: INCIBE

Múltiples vulnerabilidades en Citrix SD-WAN

Se han identificado varias vulnerabilidades en Citrix SD-WAN Center, NetScaler SD-WAN Center, Citrix SD-WAN Appliance y NetScaler SD-WAN Appliance. En conjunto, estas vulnerabilidades podrían dar lugar a que un atacante no autenticado ejecute comandos como root contra la consola de gestión de SD-WAN Center, o bien podrían utilizarse para obtener privilegios de root en el SD-WAN Appliance, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
·        Todas las versiones de NetScaler SD-WAN 9.x;
·        Todas las versiones de NetScaler SD-WAN 10.0.x, anteriores a 10.0.8;
·        Todas las versiones de Citrix SD-WAN 10.1.x;
·        Todas las versiones de Citrix SD-WAN 10.2.x, anteriores a 10.2.3.
Recomendación
·        Actualizar a la versión 10.0.8 de NetScaler SD-WAN Center y NetScaler SD-WAN Appliance.
·        Actualizar a la versión 10.2.3 de Citrix SD-WAN Center y Citrix SD-WAN Appliance.
Detalle de vulnerabilidades 
Se han identificado las siguientes vulnerabilidades:
1.   Inyección de comandos no autenticados en Citrix SD-WAN Center, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x anteriores a 10.0.8. Se han reservado los identificadores CVE-2019-12985, CVE-2019-12986, CVE-2019-12987 y CVE-2019-12988 para esta vulnerabilidad.
2.   Salto de directorio en la escritura de archivos en Citrix SD-WAN Center, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12990 para esta vulnerabilidad.
3.   Inyección de comandos autenticados en Citrix SD-WAN Center, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Center, versiones 10.0.x anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12992 para esta vulnerabilidad.
4.   Inyection SQL no autenticada en Citrix SD-WAN Appliance, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Appliance, versiones 10.0.x anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12989 para esta vulnerabilidad.
5.   Inyección de comandos autenticados en Citrix SD-WAN Appliance, versiones 10.2.x anteriores a 10.2.3, y en NetScaler SD-WAN Appliance, versiones 10.0.x anteriores a 10.0.8. Se ha reservado el identificador CVE-2019-12991 para esta vulnerabilidad.
Más información
Citrix SD-WAN Multiple Security Updates https://support.citrix.com/article/CTX251987
Fuente: INCIBE

SQUID. Descubiertas múltiples vulnerabilidades

Se han detectado cinco vulnerabilidades en múltiples versiones del servidor proxy Squid, catalogadas de Importancia: 4 - Alta
Recursos afectados:
Versiones afectadas de Squid:
Rama 2.x, todas las versiones;
Rama 3.x, hasta la versión 3.5.28;
Rama 4.x, hasta la versión 4.7.
Recomendación
Actualizar a la versión 4.8 para solucionar las vulnerabilidades.
Detalle de vulnerabilidades
Las vulnerabilidades detectadas podrían permitir a un atacante remoto:
  • robar información,
  • ejecutar código y
  • generar una condición de denegación de servicio.
Se han reservado los identificadores CVE-2019-12854, CVE-2019-12529, CVE-2019-12525, CVE-2019-12527 y CVE-2019-13345 para estas vulnerabilidades.
Más información
Fuente: INCIBE