Boletín semanal de ciberseguridad 23-29 enero

Ataque contra SonicWall mediante la explotación de un posible 0-day en sus dispositivos VPN

El fabricante de firewalls SonicWall ha emitido un aviso de seguridad en el que alerta de la detección de un ataque sofisticado contra sus sistemas que podría haberse realizado gracias a la explotación de un 0-day en algunos de sus productos de acceso remoto. En concreto los productos afectados serían: versiones 10.x de su cliente VPN NetExtender y versiones 10.x de sus dispositivos de Secure Mobile Access (SMA). Desde la firma recomiendan habilitar la autenticación de factor múltiple (MFA) en los dispositivos posiblemente afectados y restringir las conexiones SSL-VPN a los dispositivos SMA únicamente a direcciones IP conocidas mediante una lista blanca. El fabricante no ha ofrecido detalles sobre las vulnerabilidades, pero según Bleeping Computer, parecen ser vulnerabilidades previas a la autenticación que podrían explotarse de forma remota en dispositivos de acceso público. Asimismo, desde este medio aseguran que el miércoles 20 de enero se habría puesto en contacto con ellos un agente amenaza que aseguraba tener información acerca de un 0-day en un conocido proveedor de firewall.

Más información: https://www.sonicwall.com/support/product-notification/urgent-security-notice-netextender-vpn-client-10-x-sma-100-series-vulnerability-updated-jan-23-2021/210122173415410/

Campaña contra investigadores de seguridad

El Threat Analysis Group de Google ha identificado una campaña, iniciada hace unos meses, dirigida contra investigadores de seguridad y de vulnerabilidades, y posiblemente llevada a cabo por un grupo malicioso con el apoyo del gobierno norcoreano. Este grupo creó una red de interacciones para generar credibilidad, creando un blog de investigación de vulnerabilidades y varios perfiles en Twitter que les permitían compartir sus propias publicaciones y establecer comunicación con las víctimas. Tras las comunicaciones iniciales por redes sociales (Twitter, Telegram, LinkedIn, email, Keybase y Discord), se preguntaba a expertos del sector si querían colaborar con ellos en una investigación de vulnerabilidades, proporcionándoles un proyecto de Visual Studio donde supuestamente estaría el código fuente para explotar la vulnerabilidad y una DDL adicional, siendo esta última si bien un malware personalizado que al ejecutarse se comunica con los dominios Command & Control que el grupo cibercriminal controla. También se ha detectado el compromiso de sistemas con puertas traseras tras acceder a un enlace publicado en Twitter que llevaría a un supuesto artículo que estaría en el blog de investigación.

Tan solo unos días después de anunciar la existencia de la campaña, desde Microsoft publican una nueva actualización, indicando que la campaña continúa activa. Microsoft, que ha denominado al actor malicioso ZINC, asociado a Corea del Norte, ha añadido además nuevos detalles técnicos. Los objetivos contra los que se dirige esta actividad incluyen pentesters, investigadores de seguridad ofensiva, y empleados de seguridad y tecnología. ZINC utiliza una serie de técnicas que incluyen ganar credibilidad en redes sociales compartiendo contenido especializado, el uso de webs maliciosas para lanzar ataques de watering hole que explotan vulnerabilidades en el navegador, y el envío de proyectos maliciosos de Visual Studio. En este último caso, los proyectos enviados incluyen binarios prediseñados, entre ellos “Browse.vc.db” que incluye un DLL malicioso detectado por Microsoft como el malware Comebacker.

Más detalles: https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/
https://www.microsoft.com/security/blog/2021/01/28/zinc-attacks-against-security-researchers/

Boletín extraordinario de Apple corrige varios 0-day activamente explotados

Apple ha publicado un boletín de seguridad extraordinario en el que corrigen tres vulnerabilidades 0day, una en Kernel (CVE-2021-1782) y dos en WebKit (CVE-2021-1871 y CVE-2021-1870), que estarían siendo aprovechadas de forma masiva.  Por el momento, la compañía no ha revelado si la explotación está siendo indiscriminada o bien dirigida, pero para poder explotarlas, requieren interacción del usuario. La cadena de explotación es completa, ya que en una primera fase se despliega el exploit en el navegador de la víctima (WebKit), para más adelante, vulnerar el kernel. Estas vulnerabilidades están afectando tanto a iOS como a iPadOs, por lo que se recomienda actualizar los dispositivos a la versión 14.4.

Toda la información: https://support.apple.com/en-us/HT212146

Vulnerabilidad en sudo permite obtener permisos de root

Investigadores de seguridad de Qualys han descubierto y publicado los detalles sobre una vulnerabilidad de tipo heap overflow en sudo, que permitiría a usuarios locales obtener permisos de root en un sistema vulnerable. Según los investigadores, este fallo (CVE-2021-3156) existiría desde 2011. Además, desde Qualys han desarrollado exploits para probar esta vulnerabilidad, logrando obtener permisos de root en las distribuciones de Linux: Ubuntu 20.04, Debian 10 y Fedora 33, si bien creen que otros sistemas operativos y distribuciones también podrían ser vulnerables. La vulnerabilidad ha sido corregida en la versión 1.9.5p2 de sudo.

Más información: https://www.qualys.com/2021/01/26/cve-2021-3156/baron-samedit-heap-based-overflow-sudo.txt

Emotet: desarticulado tras una operación policial mundial

Una operación conjunta entre autoridades de Estados Unidos, Reino Unido, Francia, Lituania, Canadá, Países Bajos, Alemania y Ucrania, coordinada por la Europol y Eurojust ha dado como resultado la desarticulación del malware Emotet. Desde su aparición como troyano bancario en el año 2014, este malware ha evolucionado hasta convertirse en una de las redes de bots más importantes, siendo utilizada por los ciberdelincuentes como puerta de entrada en los sistemas afectados para propagar otras infecciones. De hecho, tal y como informamos desde este boletín, su actividad se vio intensificada en diversas campañas en el último mes, teniendo noticias de la última campaña hace tan solo una semana. De acuerdo con la información proporcionada, en esta semana las autoridades judiciales y policiales obtuvieron acceso al control de la infraestructura y la desarticularon desde dentro; se sabe que esta infraestructura implicaba a cientos de servidores en todo el mundo. Además, se ha distribuido la información disponible para su mitigación a todos los CERTs, con el fin de notificar y limpiar aquellos sistemas afectados.

Hasta el momento se sabe que las fuerzas policiales de Alemania (BKA) han reemplazado los servidores C2 con sus propios servidores con el fin de distribuir entre los sistemas afectados un archivo con objetivos mitigatorios, que evite que los administradores de Emotet se vuelvan a comunicar con los sistemas afectados y que distribuirá un módulo creado para su desinstalación, la cual parece estar programada para el día 25 de abril. También se ha sabido que dos operadores del malware fueron detenidos en Ucrania y que la policía de Países Bajos ha recuperado datos robados de las víctimas de Emotet. A pesar de todas estas acciones, aún sigue existiendo un alto riesgo de que Emotet vuelva a operar (no a corto plazo, pero sí transcurridos varios meses), ya que no todos los responsables han sido detenidos, tal y como afirman investigadores de Cofense.

Más detalles: https://www.europol.europa.eu/newsroom/news/world%E2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action