Boletín semanal de ciberseguridad, 27 de agosto — 2 de septiembre

Vulnerabilidad crítica en Atlassian Bitbucket Server and Data Center

La compañía Atlassian ha informado recientemente acerca de una nueva vulnerabilidad crítica que afecta a su software Bitbucket Server and Data Center y que debe parchearse de forma inmediata. La vulnerabilidad, CVE-2022-36804, ha recibido un CVSS v3 de 9.9 según el fabricante, y se trata de un fallo que permite la inyección de comandos a través de peticiones http especialmente diseñadas que derivarían en ejecución de código arbitrario.

La vulnerabilidad no requiere de una gran complejidad o de privilegios muy elevados a la hora de explotarla, ya que solo se necesitan permisos de lectura a un repositorio público o privado y tampoco se requiere de interacción con el usuario. Las versiones de Bitbucket Server and Data Center afectadas son todas entre la 6.10.17 y la 8.3.0, y se han publicado ya versiones actualizadas de la 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 y 8.3.1. Las versiones 6.X no recibirán parche alguno.

Para todos aquellos que no puedan actualizar inmediatamente su versión, se recomienda apagar los repositorios públicos. Por su parte, el investigador Max Garrett, quien descubrió la vulnerabilidad y la reportó a Atlassian, ha asegurado que publicará una prueba de concepto en 30 días, indicando además que el parche de Atlassian no debería ser muy difícil de eludir.

Más info →

* * *

Intellexa ofrece un exploit 0-day para IOS y Android

Recientemente se ha filtrado un documento de la empresa de origen israelí, Intellexa, subido a redes a través del Twitter de VX-underground, en el que se observa una oferta comercial de un spyware por 8 Millones de euros.

El spyware funciona en la versión 15.4.1 de IOS y la versión 12 de Android y, al ser un 0-day, es poco probable que haya sido parcheado y no funcione en nuevas versiones de estos sistemas operativos.

Este exploit permitiría acceder de forma remota a los datos de los dispositivos impactados. El vector de infección, según indica el documento, sería un link al que es necesario acceder para que se pueda inyectar el payload en el dispositivo.

Asimismo, en la oferta se incluye un año de garantía, una plataforma para analizar los datos extraídos, así como diez tipos de infecciones concurrentes y un catálogo de otras cien infecciones exitosas a modo de ejemplo.

Más info →

* * *

Uso de vulnerabilidades Log4j contra organizaciones israelíes

Microsoft ha publicado detalles de una nueva investigación realizada por su centro de inteligencia de amenazas (MSTIC) en la que se reporta la campaña de ataques del actor malicioso MuddyWater (referido como Mercury por Microsoft) contra objetivos en el estado de Israel.

De acuerdo a la investigación, este actor amenaza estaría intentando explotar la conocida vulnerabilidad Log4Shell para comprometer software sin parchear, concretamente SysAid, un programa de gestión informática, en lugar de software de VMware, como el grupo vendría haciendo de forma tradicional.

En sus ataques, MuddyWater explotaba la vulnerabilidad como vector de acceso inicial, para luego utilizar una web shell para ejecutar comandos maliciosos, crear usuarios y elevar sus privilegios a nivel de administrador, robar credenciales a través de Mimikatz, y moverse lateralmente a través de herramientas como RemCom o Windows Management Instrumentation.

Para evitar este tipo de ataques, se recomienda aplicar los parches disponibles para las vulnerabilidades Log4j desde enero de este año.

Más info →

* * *

Detectadas más de 1.000 aplicaciones iOS que exponen credenciales de AWS codificadas

Investigadores del equipo Threat Hunting de Symantec han detectado cerca de 2.000 aplicaciones móviles que contienen credenciales de AWS (Amazon Web Services) codificadas.

En concreto, la mayoría de las apps (1.856) corresponden al sistema iOS, mientras que sólo 37 pertenecen a Android, de todas ellas, en el 77% se han localizado tokens de acceso válidos de AWS que podrían usarse para acceder directamente a servicios de nube privada.

Además, esos tokens de AWS válidos podrían ser utilizados por parte de un atacante para acceder a instancias en la nube donde se encuentran bases de datos de servicios activos que contienen millones de registros, incluyendo detalles de cuentas de usuario, comunicaciones internas y otros datos confidenciales, según el tipo de aplicación.

La investigación realizada por Symantec pretende poner en alerta a los desarrolladores de aplicaciones móviles a la hora de confiar en exceso o hacer uso de prácticas inseguras que exponen credenciales de AWS, lo que podría provocar que la cadena de suministro de aplicaciones móviles sea vulnerable, así como abrir la puerta a actores malintencionados a bases de datos privadas, derivando en posibles filtraciones de datos y exposición de los datos personales de los usuarios finales.

More info →

* * *

Google corrige 24 vulnerabilidades en Chrome

En su última actualización, Google ha parcheado 24 vulnerabilidades, entre ellas una categorizada como de severidad crítica (CVE-2022-3038), y ha incorporado el sistema “Sanitizer”, que añade protección contra inyecciones XSS.

La gran parte de las vulnerabilidades corregidas eran relativas a fallos en la gestión de memoria, con errores del tipo use-after-free o desbordamiento de búfer que afectaban a complementos como WebUI y Screen Capture. También se han corregido varias vulnerabilidades de políticas de seguridad y errores de implementación inapropiada.

Cabe destacar que a pesar de que no haya evidencias de que estas vulnerabilidades estén siendo explotadas, hay una vulnerabilidad de carácter grave que no ha sido corregida y que afecta al portapapeles del sistema operativo a través de navegadores basados en Chromium, la cual puede ser aprovechada sin autorización ni interacción por parte del usuario.

Desde Google recomiendan actualizar el navegador a su última versión.

Más info →