#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 6-10 de enero

Ataques a servidores Pulse Secure VPN con ransomware Sodinokibi

Una vulnerabilidad en Pulse Secure VPN (CVE-2019-11510) está siendo utilizada por agentes amenaza para introducir el ransomware Sodinokibi (REvil) en las organizaciones que no tienen dicho software parcheado. El investigador de seguridad Kevin Beaumont señala que el error de Pulse Secure VPN es crítico ya que permite a los atacantes remotos, sin credenciales válidas, conectarse remotamente a la red corporativa, deshabilitar la autenticación multi-factor y ver los registros y las contraseñas en texto plano almacenadas en caché, incluyendo las contraseñas de las cuentas de Active Directory. Según un análisis realizado el pasado cuatro de enero por la empresa de seguridad Bad Packets, existen hasta 3.825 servidores VPN Pulse Secure que no habían sido parcheados. Algunos investigadores apuntan a que el incidente de seguridad que sufrió la empresa Travelex, que se apuntó días más tarde habría sido como consecuencia de una infección por Sodinokibi, podría guardar relación con una falta de parcheado de algunas vulnerabilidades en servidores Pulse Secure VPN.

Más información: https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9

Mozilla parchea vulnerabilidad 0-day en Firefox

Mozilla ha lanzado Firefox v72.0.1, una nueva versión del navegador web que corrige una vulnerabilidad 0-day que estaría siendo explotada activamente. Este fallo afecta a IonMonkey, que es el compilador JIT para SpiderMonkey, el intérprete de JavaScript que se emplea en Firefox. La vulnerabilidad fue categorizada como type confusion, un error en el que una entrada de la memoria se asigna inicialmente como un tipo, pero se cambia a otro durante su manipulación, causando errores en el procesamiento de los datos, pudiendo dar lugar a la ejecución de código en un sistema vulnerable. Desde la propia compañía aseguran que este fallo ya está siendo aprovechado por actores maliciosos.

Más información: https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/#CVE-2019-17026

PowerTrick, nueva puerta trasera de TrickBot

Los actores amenaza detrás de TrickBot habrían desarrollado una nueva puerta trasera en PowerShell denominada PowerTrick cuyo objetivo final sería evitar las restricciones y los controles de seguridad más actualizados para atacar objetivos de alto valor como instituciones financieras. Según los investigadores de SentinelLabs que han analizado esta nueva amenaza, esta nueva puerta trasera se desplegaría como un módulo después de que la infección inicial de TrickBot se haya hecho con el control del sistema, y estaría diseñado para ejecutar comandos y devolver los resultados codificados en Base64. La amenaza fue descubierta una vez que se identificó un script de puerta trasera que establecía contacto con uno de los servidores Command & Control de Trickbot, desde el que los operadores proceden a enviar el primer comando en forma de descarga de PowerTrick.

Más información: https://labs.sentinelone.com/top-tier-russian-organized-cybercrime-group-unveils-fileless-stealthy-powertrick-backdoor-for-high-value-targets/

Vulnerabilidad en Paypal permite obtener contraseñas de usuarios

El investigador de seguridad Alex Birsan ha informado sobre la explotación de una vulnerabilidad que afecta a Paypal y por la que se podrían obtener contraseñas de usuarios. El error fue reportado a PayPal a través de HackerOne el pasado día 18 de noviembre y la compañía no lanzó un parche hasta el 11 de diciembre, tras haber verificado toda la información. Birsan descubrió un fichero Javascript dinámico en la plataforma que contenía los valores csrf y el _sessionId utilizados para la resolución de reCaptcha. Al encontrarse esta información en JavaScript, los datos eran accesibles mediante un cross-site script inclusión (XSSI), con lo que siguiendo una serie de pasos podría obtener las contraseñas de los usuarios aprovechando los citados valores y la funcionalidad reCaptcha. PayPal ha corregido la vulnerabilidad implementando una tercera clave necesaria en la resolución del captcha que no es explotable por un XSSI. Como consecuencia de este vector de ataque se ha demostrado que la compañía mantenía las contraseñas los usuarios en texto plano.

Más información: https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9

Nuevo ataque contra SHA1

Un grupo de investigadores ha descubierto un nuevo mecanismo para encontrar colisiones en el algoritmo de hash criptográfico SHA1. Si bien en el pasado ya se habían publicado otros ataques capaces de identificar colisiones, con este nuevo descubrimiento se reduce la complejidad y se dispone de una mayor versatilidad. Una aplicación posible de este ataque es la suplantación de claves PGP, mediante una falsificación de su firma. Esto apoya la recomendación ya existente de evitar el uso de SHA1 en nuevos proyectos y su reemplazo siempre que sea posible.

Más información: https://eprint.iacr.org/2020/014.pdf