Boletín semanal de ciberseguridad, 7—13 de mayo

Vulnerabilidad en BIG-IP explotada para el borrado de información

El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría permitir a un atacante no autenticado con acceso de red al sistema BIG-IP, mediante direcciones IP propias o un puerto de administración, ejecutar comandos arbitrarios, eliminar o crear archivos, o deshabilitar servicios.

La gravedad del fallo planteaba en ese momento la necesidad de parchear, y múltiples investigadores de seguridad empezaban a alertar de la posibilidad de que se publicasen pruebas de concepto sin demora.

Tan solo unos días más tarde, firmas de seguridad como Horizon3 o Positive Technologies, e investigadores de seguridad, confirmaban el desarrollo de exploits funcionales para el fallo.

Desde entonces se viene reportando la explotación masiva, fundamentalmente para descargar webshells que permiten acceso inicial a las redes, para el robo de claves SSH, y para la enumeración de información de los sistemas.

Por otro lado, investigadores de SANS Internet Storm Center han alertado de la detección en sus honeypots de varios ataques que ejecutan el comando rm -rf /* en los dispositivos BIG-IP.

Este comando está enfocado al borrado de todos los archivos, incluidos los archivos de configuración que permiten que el dispositivo funcione correctamente, puesto que el exploit otorga al atacante privilegios de root en el sistema operativo Linux de los dispositivos.

Este tipo de ataques también ha sido confirmado por el investigador de seguridad Kevin Beaumont, quien alerta de la desaparición de múltiples entradas en Shodan de esta clase de dispositivos.

Más info: https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-vulnerability-exploited-to-wipe-devices/

​* * *

Microsoft corrige tres vulnerabilidades 0-day

Microsoft ha publicado su boletín de seguridad mensual correspondiente al mes de mayo en el que ha corregido un total de 75 fallos, incluyendo 3 vulnerabilidades 0-day, una de las cuales estaría siendo explotada activamente, y 8 vulnerabilidades críticas que podrían permitir la ejecución remota de código o elevar privilegios en el sistema vulnerable.

El 0-day activamente explotado, categorizado como CVE-2022-26925, es una vulnerabilidad de spoofing en Windows LSA, que podría ser explotada por un atacante no autenticado, mediante la llamada a un método en la interfaz LSARPC, y forzar al controlador de dominio a autenticarse a través del protocolo de seguridad Windows NT LAN Manager (NTLM).

Según indica su descubridor, el investigador de seguridad Raphael John, este fallo estaría siendo explotado y parece ser un nuevo vector de ataque para PetitPotam, ataque de retransmisión NTLM descubierto en julio de 2021.

Los otros dos fallos 0-day corresponden con una vulnerabilidad de denegación de servicio en Windows Hyper-V (CVE-2022-22713) y un fallo en el controlador Magnitude Simba Amazon Redshift ODBC (CVE-2022-29972, también conocido como SynLapse). Desde Microsoft recomiendan aplicar las actualizaciones de seguridad lo antes posible.

Más info:  https://msrc.microsoft.com/update-guide/releaseNote/2022-May

* * *

​​CNPIC alerta de un posible ciberataque en infraestructuras críticas

El Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad (CNPIC) de España habría enviado un aviso de seguridad a empresas consideradas infraestructuras críticas del país.

De esta forma se habrían puesto en alerta ante el riesgo de un posible ciberataque a empresas de sectores críticos como son el energético, comunicaciones, financiero, entre otros.

Esta alerta implica que las empresas extremen las precauciones y mecanismos de protección dentro de su infraestructura informática para poder hacer frente a un posible ciberataque de manera preventiva, y evitar que se produzca una posible disrupción de servicios que pudiera afectar al funcionamiento de los servicios.

Por el momento se desconoce el tipo de amenaza concreta que podría causar el posible ciberataque, así como la atribución, aunque la finalidad parece indicar ser la disrupción de servicios estratégicos.

Más info:  https://www.lainformacion.com/empresas/alerta-maxima-en-las-infraestructuras-espanolas-por-riesgo-de-ciberataques/2866557/

* * *

​​Expuesta una base de datos con cerca de 21 millones de usuarios VPN

Investigadores de vpnMentor han informado acerca de la filtración en Telegram de una base de datos Cassandra que contendría 21 millones de registros únicos de usuarios de servicios de VPN. 

El archivo, inicialmente comercializado en la dark web durante el año 2021, habría sido compartido desde el pasado 7 de mayo de manera gratuita a través de la aplicación de mensajería.

En total se trata de 10 GB de información donde se incluyen datos de usuarios de servicios de VPN gratuitos conocidos como GeckoVPN, SuperVPN y ChatVPN. Entre los datos expuestos se encontrarían nombres de usuario, correos electrónicos, nombres personales, países, detalles de facturación, cadenas de contraseñas generadas de forma aleatoria, o el periodo de validez de la cuenta.

Los investigadores que han analizado la base de datos destacan dos aspectos:

• que el 99,5% de las cuentas son direcciones de Gmail, lo que indica que es posible que esta base de datos sea únicamente un fragmento de los datos comprometidos;
• y que las contraseñas eran hashes, salt o contraseñas aleatorias, lo cual apunta a que cada una es distinta y la tarea de descifrado de las mismas se torna más complicada.

Más info: https://www.vpnmentor.com/blog/vpns-leaked-on-telegram/

* * *

Nueva campaña de distribución de Nerbian RAT

Investigadores de Proofpoint han detallado una campaña de distribución de un malware al que han denominado Nerbian RAT (Remote Access Trojan), por una referencia al lugar ficticio (Nerbia) de la novela El Quijote en una de las funciones del malware.

Se trata de un nuevo RAT que emplea múltiples librerías escritas en Go, un lenguaje de programación cada vez más utilizado para el desarrollo de malware, y que incluye múltiples componentes enfocados a la evasión de su detección.

En la campaña observada se estaría suplantando a la Organización Mundial de la Salud (OMS) en correos de malspam que contienen supuesta información relacionada con la COVID-19.

En estos mails se incluyen un documento Word adjunto cuya habilitación de macros desencadenará la descarga de un archivo .bat que se encarga de ejecutar un comando de PowerShell para conectar con el “Command & Control”.

Consecuentemente, se descargará finalmente el ejecutable que actúa como dropper de Nerbian RAT. La campaña llevaría activa desde el pasado 26 de abril y se habría dirigido fundamentalmente contra entidades en Italia, España y Reino Unido.

Más info: https://www.proofpoint.com/us/blog/threat-insight/nerbian-rat-using-covid-19-themes-features-sophisticated-evasion-techniques