Boletín semanal de ciberseguridad 25 septiembre – 1 octubre

​Expira un certificado raíz de Let’s Encrypt (DST Root CA X3)

Hace unos días, Scott Helme, fundador de Security Headers, destacaba la fecha del 30 de septiembre como fecha en que el certificado raíz de Let’s Encrypt, DST Root CA X3, expiraría. A partir de las 16:01 hora española de ayer 30 de septiembre, al caducar el certificado raíz existente en múltiples sitios web, todos aquellos dispositivos y navegadores que no han sido actualizados (y para los que, por tanto, el certificado dejó de ser compatible) comenzaron a experimentar problemas al considerar las conexiones como no confiables. En su artículo, Helme facilitaba un listado de clientes que sólo confiaban en el certificado que iba a caducar y que por tanto, iban a experimentar problemas a partir de la caducidad: “OpenSSL <= 1.0.2, Windows < XP SP3, macOS < 10.12.1, iOS < 10 (iPhone 5 is the lowest model that can get to iOS 10), Android < 7.1.1 (but >= 2.3.6 will work if served ISRG Root X1 cross-sign), Mozilla Firefox < 50, Ubuntu < 16.04, Debian < 8, Java 8 < 8u141, Java 7 < 7u151, NSS < 3.26 y Amazon FireOS (Silk Browser)”. Para evitar este problema, desde Let’s Encrypt cuentan con un nuevo certificado raíz, ISRG Root X1. Por otro lado, también cabe destacar que, hasta el día de ayer, la firma empleaba un sistema de identificación cruzada que hacía compatible DST Root CA X3 con la versión más reciente y extendida de ISRG Root X1, sin embargo, con la expiración del primero, se pone fin a esta práctica. A raíz de la expiración y a pesar de los avisos realizados, Helme habría confirmado problemas, al menos, para firmas como Palo Alto, Bluecoat, Cisco Umbrela, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify y Cloudflare Pages.

Más detalles: https://www.zdnet.com/article/fortinet-shopify-others-report-issues-after-root-ca-certificate-from-lets-encrypt-expires/

​​Chrome corrige nuevos 0-day explotados de manera activa

El 24 de septiembre, Google lanzaba una actualización urgente de su navegador Chrome para Windows, Mac y Linux que soluciona un 0-day del que el propio fabricante afirma tener reportes de su explotación activa en la red por parte de actores amenaza, si bien no ha facilitado detalles concretos sobre los supuestos incidentes. El fallo, identificado como CVE-2021-37973 (por el momento sin score CVSSv3), reside en el nuevo sistema de navegación de Google para Chrome denominado “Portals” y se trata de un fallo del tipo “use after free” (uso de memoria previamente liberada) que, tras una explotación exitosa en versiones de Chrome vulnerables, permitiría la ejecución de código arbitrario. Google ya tiene lista la nueva versión de Chrome 94.0.4606.61 que soluciona el problema y, según afirman en su propia publicación, “se implementará en los próximos días/semanas”. 

Tan solo unos días más tarde, el 30 de septiembre, Google volvía a lanzar una actualización urgente de su navegador Chrome para Windows, Mac y Linux solucionando dos nuevos 0-day de los que aún no ha facilitado detalles concretos, quedando reservados hasta la implementación masiva del parche. Estas vulnerabilidades, las cuales están siendo explotadas activamente según Google, han sido designadas como: CVE-2021-37975, un fallo de uso de la memoria tras su liberación en el motor V8 de JavaScript y WebAssembly (use-after-free), que permitiría el bloqueo del programa y la ejecución de código arbitrario; CVE-2021-37976 que produce una fuga de información en el núcleo del navegador. Google ya tiene lista la nueva versión de Chrome 94.0.4606.71 que soluciona el problema con planes de que los usuarios la implementen mayoritariamente durante los próximos días.

Toda la info: https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html

​​Guía de buenas prácticas para la selección y refuerzo de redes VPN

La Agencia de Seguridad Nacional (NSA) y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) han creado y publicado un documento de forma conjunta bajo el título Selecting and Hardening Remote Access VPN Solutions que tiene como principal finalidad prestar ayuda a las organizaciones a la hora de elegir una solución VPN que siga los estándares actuales, así como la definición de una serie de buenas prácticas para hacer uso de credenciales de autenticación sólidas, agilidad para parchear vulnerabilidades e implementar procesos para proteger y monitorizar los accesos hacia y desde la red privada virtual (VPN). La publicación de esta guía se ha producido tras los numerosos ataques acontecidos contra instituciones gubernamentales y de defensa de varios países durante este año por parte de actores amenaza, principalmente respaldados por gobiernos, y diferentes grupos de ransomware que han aprovechado vulnerabilidades conocidas en servicios VPN de uso extendido como Fortinet, Pulse Secure o Cisco. El documento ya está disponible de forma pública desde el siguiente enlace y, tal y como indica la propia NSA en su comunicado de prensa, “La publicación de la guía es parte de su misión de ayudar a proteger a los departamentos de defensa y seguridad nacional”.

Para saber más: https://us-cert.cisa.gov/ncas/current-activity/2021/09/28/cisa-and-nsa-release-guidance-selecting-and-hardening-vpns

​​​Malware GriftHorse para dispositivos Android suscribe a servicios de pago

Investigadores de seguridad de Zimperium han descubierto un nuevo troyano distribuido a gran escala desde noviembre de 2020, que suscribe a las víctimas a servicios de SMS premium. Hasta la fecha habría infectado a más de 10 millones de dispositivos Android en más de 70 países. La distribución del malware se realiza a través de aplicaciones con aspecto legítimo de herramientas, software de personalización o entretenimiento, subidas a la tienda oficial Google Play Store y en tiendas de terceros. El malware está desarrollado con el framework Apache Cordova, haciéndolo multiplataforma y permitiendo desplegar actualizaciones sin necesidad de interacción del usuario. La aplicación muestra de manera repetitiva alertas con pretextos de premios para redirigir a la víctima a una web en su idioma en la que, al introducir su número de teléfono, queda suscrito a un servicio premium de SMS con un coste mensual superior a los 30€. Cabe destacar que el malware emplea varias técnicas para evitar la detección: evita codificar las URLs, no reutiliza dominios, filtra el contenido en función de la geolocalización de la dirección IP y evade la comprobación del análisis dinámico de la comunicación. Los investigadores estiman que los autores del troyano tienen beneficios mensuales entre 1,2 y 3,5 millones de euros.

Más: https://blog.zimperium.com/grifthorse-android-trojan-steals-millions-from-over-10-million-victims-globally/