Boletín semanal de ciberseguridad 30 enero – 5 febrero

ElevenPaths    5 febrero, 2021
Boletín semanal de ciberseguridad 30 enero - febrero

Chrome rechazará los certificados de Camerfirma

Google planea prohibir y eliminar el soporte de Chrome para los certificados digitales emitidos por la autoridad certificadora (CA) Camerfirma, una empresa española que tiene una amplia implementación en diferentes administraciones públicas de todo tipo, entre ellas la Agencia Tributaria. La restricción entrará en vigor con el lanzamiento de Chrome 90, previsto para mediados de abril de este mismo año. Con la nueva versión del navegador, todos los sitios web que utilicen certificados TLS emitidos por Camerfirma para asegurar su tráfico HTTPS, mostrarán un error y no se cargarán en Chrome. La decisión de prohibir los certificados de Camerfirma se anunció después de que la empresa tardara más de seis semanas en explicar una serie de 26 incidentes relacionados con su proceso de emisión de certificados. Por el momento, el resto de los proveedores de navegadores más importantes (Apple, Microsoft y Mozilla) no han indicado la toma de medidas similares pero se espera que lo hagan en las próximas semanas.

Más detalles: https://www.zdnet.com/article/google-bans-another-misbehaving-ca-from-chrome/

Google y Qualcomm parchean vulnerabilidades críticas en Android

El boletín de seguridad de febrero emitido por Google corrige, entre otras, dos vulnerabilidades consideradas de severidad crítica. Ambos errores, CVE-2021-0325 y CVE-2021-0326, permiten la ejecución remota de código arbitrario (RCE) dentro del contexto de un proceso privilegiado mediante el envío de un paquete o transmisión especialmente diseñada. En el mismo boletín se hace referencia a diversas vulnerabilidades en componentes de Qualcomm, notificados por la compañía en su propio boletín de seguridad. Tres de ellas de severidad crítica: CVE-2020-11272, que afecta al componente WLAN con una puntuación CVSS de 9.8 sobre 10; CVE-2020-11163 y CVE-2020-11170 que afecta a componentes de software propietario presentes en el sistema operativo. Todas ellas han sido corregidas y no se dispone de evidencias de su explotación activa.

Más información: https://source.android.com/security/bulletin/2021-02-01

Google corrige un 0-day en Chrome

Ayer 4 de febrero Google lanzó la versión 88.0.4324.150 de Chrome para Windows, Mac y Linux, que se irá implementando de manera progresiva en la base de usuarios durante los próximos días. Esta nueva actualización se produce tras la reciente publicación de la versión 88.0.4324.146 que ya corregía otras seis vulnerabilidades en el mismo navegador (CVE-2021-21142/21147). En esta ocasión la nueva versión se lanza para corregir un 0-day, identificado como CVE-2021-21148, reportado el pasado 24 de enero por el investigador Mattias Buelens. El fallo implica un desbordamiento de pila en el motor JavaScript v8, y puede ser aprovechado por los atacantes para ejecutar código arbitrario en sistemas que ejecuten versiones previas de Chrome. Dentro de su publicación, desde Google confirman la existencia de exploits funcionales para esta vulnerabilidad. Desde el medio Zdnet, apuntan a la coincidencia entre el reporte el 24 de enero de la vulnerabilidad, y la publicación, días después de los hallazgos por parte de Google el día 25 y de Microsoft el día 28 de una campaña de ataques contra investigadores de seguridad. Dentro de sendos artículos, las firmas mencionan la explotación de vulnerabilidades de 0-day en navegadores para ejecutar malware en los sistemas de los investigadores. Desde Google no han confirmado estas especulaciones, al no confirmar que la vulnerabilidad corregida en esta nueva versión (CVE-2021-21148) sea la que se empleó en los ataques.

Toda la información: https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html

SonicWall corrige una vulnerabilidad 0-day activamente explotada

SonicWall ha publicado una actualización que corrige una vulnerabilidad 0-day en el Firmware SMA 100 series. El pasado 22 de enero la compañía informó que estaba siendo víctima de un ataque coordinado contra sus sistemas internos mediante la posible explotación de vulnerabilidades 0-day. La investigación interna situó el fallo en el producto Secure Mobile Access (SMA), en sus versiones 10x, recomendando preventivamente a los clientes habilitar la autenticación de factor múltiple en los dispositivos afectados como medida de mitigación. El día 31 de enero, NCC Group informó a SonicWall de detalles de la vulnerabilidad identificada, catalogada como CVE-2021-20016, la cual podría permitir a un atacante no autenticado la explotación remota mediante una consulta SQL que proporcionaría la contraseña del nombre de usuario y otros datos relacionados con la sesión. Por el momento, no se ha identificado todavía detalles sobre el actor detrás de los ataques contra SonicWall.

Más detalles: https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/

CacheFlow – Extensiones maliciosas de Chrome y Edge roban y manipulan datos de los usuarios

Investigadores de seguridad de Avast han publicado una nueva entrada en su blog con más detalles de la amenaza conocida como CacheFlow, que daban a conocer el pasado mes de diciembre de 2020 investigadores de CZ.NIC y que llevaría activo al menos desde el pasado octubre de 2017. En el nuevo artículo, desde Avast describen una campaña en la que estarían implicadas una amplia red de extensiones maliciosas para los navegadores Chrome y Edge, que contarían con más de tres millones de instalaciones en total. El ataque de CacheFlow se lleva a cabo en varios pasos, y comienza cuando un usuario descarga una de las extensiones. Unos días después de ser instalada, se descargaba desde un canal encubierto una nueva carga intermedia, que finalmente, descargaba el payload CacheFlow. Llegados a este punto, cada vez que se ejecutaba el navegador, CacheFlow trataba de robar información de la cuenta de Google del usuario, inyectaba código malicioso en todas las nuevas pestañas abiertas y secuestraba los clics de los usuarios para modificar los resultados de las búsquedas. Según la investigación de Avast, los países más afectados por el ataque serían Brasil, Ucrania y Francia, si bien también se han detectado descargas de estas extensiones desde España.

Más información: https://decoded.avast.io/janvojtesek/backdoored-browser-extensions-hid-malicious-traffic-in-analytics-requests/

Deja una respuesta

Tu dirección de correo electrónico no será publicada.