Boletín semanal de ciberseguridad 14-27 agosto

Telefónica Tech    27 agosto, 2021
Boletín semanal de ciberseguridad 14-27 agosto

Múltiples atacantes explotando las vulnerabilidades de Exchange ProxyShell

El investigador de seguridad Kevin Beaumont ha estado analizando la explotación masiva de vulnerabilidades en Microsoft Exchange Server conocidas como ProxyShell, un conjunto de errores revelados por Orange Tsai en la BlackHat y que contienen las siguientes vulnerabilidades: CVE-2021-34473CVE-2021-34523 y CVE-2021-31207. En su publicación, Beaumont, además de explicar cómo poder identificar posibles sistemas afectados, también señala la urgencia de corregir estas vulnerabilidades cuánto antes, puesto que según señala una investigación llevada a cabo por Symantec el grupo de ransomware llamado LockFile estaría aprovechando estas vulnerabilidades en servidores Exchange para acceder a las redes de las víctimas, y a continuación, utilizar la vulnerabilidad de PetitPotam, que no ha sido parcheada por completo, para acceder al controlador de dominio y, posteriormente, extenderse por la red. Por el momento, se han identificado al menos 10 empresas afectadas por la campaña, ubicadas prioritariamente en Estados Unidos y Asia. Dada la gravedad de la situación, desde la CISA también se ha publicado una guía para identificar los sistemas afectados y posibles correcciones. Por su parte, el equipo de Exchange de Microsoft ha emitido un aviso alertando de la publicación la semana pasada de información sobre las vulnerabilidades que se conocen en conjunto con el nombre de ProxyShell. El motivo de la publicación es confirmar que, con las actualizaciones de los boletines de mayo y julio, los servidores Exchange estarían protegidos frente a ProxyShell, además de alertar de la necesidad de mantener este tipo de servicios correctamente actualizados. Dentro del artículo también se aportan una serie puntos, de cara a identificar servidores Exchange vulnerables. Asimismo, investigadores de Huntress han publicado en los últimos días varias actualizaciones en el post donde están analizando estas vulnerabilidades, para informar de la detección de más de 140 webshells que se habrían instalado en servidores vulnerables, pertenecientes a empresas de distintos sectores y tamaños. Según informan los investigadores, algunas de las fechas en que se habrían modificado las configuraciones se remontan a los meses de marzo, abril, junio y julio, por lo que podrían estar relacionadas con ProxyLogon.

Más detalles: https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c

Vulnerabilidades en Realtek explotadas para distribuir malware

A mediados de agosto, investigadores de IoT Inspector Research Lab divulgaban cuatro vulnerabilidades en un SDK de software distribuido en los chipsets de Realtek que estarían afectado miles de dispositivos inteligentes de, al menos, 65 proveedores. De entre los cuatro fallos descubiertos, destacaba la vulnerabilidad crítica clasificada con el identificador CVE-2021-35395 CVSSv3 9.8. La explotación efectiva de estos errores permitiría a un agente amenaza no autenticado comprometer el dispositivo de destino y ejecutar código arbitrario. Aunque Realtek lanzó parches un día antes de que IoT Inspector publicara sus hallazgos, investigadores de Seamless Network han detectado intentos de explotación de estas vulnerabilidades para propagar una variante del malware Mirai. Asimismo, y según los escaneos de Seamless Network, los modelos de dispositivos más comunes que ejecutan actualmente el SDK vulnerable de Realtek serían los siguientes: Netis E1+ extender, Edimax N150 y N300 Wi-Fi router, Repotec RP-WR5444 router, recomendando a los propietarios contactar con sus proveedores para solicitar parches de firmware.

Toda la info: https://securingsam.com/realtek-vulnerabilities-weaponized/

Expuestos 38 millones de registros por una mala configuración de Microsoft Power Apps

El equipo de UpGuard ha publicado un informe acerca de una configuración incorrecta en Microsoft Power Apps, que habría dado lugar a la exposición de más de 38 millones de registros de datos personales. Microsoft Power Apps permite crear aplicaciones personalizadas a empresas e instituciones, pudiendo habilitar la API de OData (protocolo de datos abiertos) para recuperar datos de los usuarios de las listas de Power Apps. El 24 de mayo UpGuard detectó que se podía acceder de manera anónima a listas con datos de Power Apps mediante la API de Odata, debido a que los accesos no están limitados de manera predeterminada. En la investigación se descubrieron miles de listas accesibles en cientos de portales, entre los que se encuentran empresas privadas y administraciones públicas; con una diversidad de datos que van desde correos electrónicos, citas de vacunación, nombres y apellidos, números de teléfono, o números del seguro social. Desde Microsoft se ha cambiado la configuración predeterminada para abordar este problema además de ponerse en contacto con los clientes afectados, al igual que ha hecho UpGuard avisando a 47 entidades afectadas.

Para saber más: https://www.upguard.com/breaches/power-apps

Nuevo exploit de iPhone utilizado para desplegar el software espía Pegasus

Investigadores de Citizen Lab han detectado un nuevo exploit zero-click de iMessage, denominado FORCEDENTRY, que habría sido utilizado para desplegar el software espía Pegasus de NSO Group. Se indica que este habría sido utilizado en los iPhone de nueve activistas de Bahrein, incluidos miembros del Centro de Derechos Humanos de BahreinWaadAl Wefaq, entre junio de 2020 y febrero de 2021. Se cree que al menos cuatro de los activistas fueron comprometidos por LULU, un operador de Pegasus que se atribuye con gran confianza al gobierno de Bahréin. Además, destaca que uno de los activistas comprometidos, residía ya en Londres cuando fue comprometido, siendo este, por tanto, el primer compromiso documentado realizado por el gobierno de Bahréin de un dispositivo que fue utilizado por un activista en Europa. En el informe de Citizen Lab, también se indica que los activistas fueron comprometidos mediante el uso de otro exploit ya conocido de iMessage de zero-click denominado KISMET 2020. Los expertos recomiendan deshabilitar iMessage y FaceTime para evitar este tipo de compromiso, aunque consideran que Pegasus dispone de muchos otros exploits en su arsenal.

Todos los detalles: https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/

Vulnerabilidad en el protocolo Kalay afecta a millones de dispositivos IoT

Investigadores de Mandiant han descubierto, en coordinación con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA),  una vulnerabilidad en dispositivos IoT que emplean el protocolo de red Kalay del fabricante ThroughTek. La vulnerabilidad, clasificada como CVE-2021-28372, permite la conexión remota no autorizada a los dispositivos por parte de un atacante, comprometiendo así su integridad y permitiendo la escucha de audio, el visionado de vídeo en tiempo real e incluso el compromiso de las credenciales del dispositivo. El fabricante, por el momento ha sido incapaz de determinar la cantidad de dispositivos afectados debido a la forma que se integra el protocolo en el software de los productos, si bien, se estima que hay al menos 85 millones de dispositivos activos que emplean este protocolo. Las versiones previas a la 3.1.10 y la 3.4.2.0 están afectadas por esta vulnerabilidad.

Más info: https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *