Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto

ElevenPaths    7 agosto, 2020
Noticias de Ciberseguridad: Boletín semanal 1-7 de agosto

Base de datos de más de 900 servidores empresariales Pulse Secure VPN

Se ha detectado una publicación en foros underground que muestra la existencia de una base de datos con información recopilada sobre más de 900 servidores empresariales Pulse Secure VPN. El medio digital zdnet.com ha conseguido obtener y analizar la información, entre la que se incluyen: direcciones IP de los servidores Pulse Secure VPN, versión del firmware y claves ssh de los servidores, lista de usuarios y hashes de contraseñas, entre otros. La información parece haberse obtenido entre el 24 de junio y el 8 de julio de 2020.

Desde la cuenta de Twitter de Bank Security afirman que, tras analizar la información obtenida, todos los servidores Pulse Secure VPN incluidos en la lista ejecutaban una versión de firmware vulnerable a la vulnerabilidad CVE-2019-11510. Debido a ello, se estima que el agente amenaza que ha recopilado esta información podría haber utilizado un exploit para dicha vulnerabilidad y, una vez obtenido acceso a estos sistemas, ha extraído la información para crear este repositorio.

Más información: https://www.zdnet.com/article/hacker-leaks-passwords-for-900-enterprise-vpn-servers/

Ejecución remota de código en Microsoft Teams

El investigador Reegun Jayapaul de Trustwave ha publicado un análisis sobre Microsoft Teams en el que afirma que la aplicación sería vulnerable a ataques de ejecución remota de código. El incremento del uso de las aplicaciones de videoconferencia como ayuda en el teletrabajo durante la crisis sanitaria, ha derivado en que los agentes amenaza hayan puesto foco en este tipo de herramientas, y en este sentido, Microsoft Teams ha sido uno de los recursos más utilizados.

En 2019, este software publicó un parche que eliminaba la posibilidad de que un atacante pudiera usar el volumen de actualizaciones del software para incluir cargas maliciosas, dada la capacidad de actualizar a través de una URL. Sin embargo, tal como resalta el investigador, esta no era una solución completa puesto que se permiten conexiones locales a través de un recurso compartido. La prueba de concepto para demostrar este hecho pasa por utilizar un recurso compartido remoto de SMB, creando un servidor Samba con acceso remoto público y nombrando la carga maliciosa como Squirrel, gestor de instalación y actualizaciones de Teams. Para la mitigación de esta amenaza, se recomienda analizar ejecutables con el nombre de Squirrel.exe e investigar las posibles conexiones salientes de SMB.

Noticia completa: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-updater-living-off-the-land/

Nueva vulnerabilidad en TeamViewer

El investigador de seguridad Jeffrey Hofmann ha descubierto una nueva vulnerabilidad en la plataforma TeamViewer de Windows codificada con CVE-2020-13699 y con un CVSS v3 de 8.8. Esta herramienta es utilizada para la conexión en remoto tanto a equipos informáticos como a dispositivos móviles. La vulnerabilidad descubierta implica que versiones vulnerables de TeamViewer no ejecutan correctamente los controladores URI, lo que podría llevar a agentes amenaza explotar este fallo mediante la inclusión de un iframe malicioso en un dominio web creado con fines para realizar un ataque.

La explotación de esta vulnerabilidad se puede iniciar de forma remota y no requiere autenticación previa, por lo que se considera susceptible de sufrir ataques denominados como “watering hole”. Hasta el momento, no hay indicios de que esta vulnerabilidad esté siendo explotada, ni tampoco que se encuentre disponible ningún exploit. Desde la compañía han lanzado una nueva actualización, que recomiendan aplicar (15.8.3) para corregir este fallo de seguridad que afecta a versiones previas de TeamViewer.

Todos los detalles en: https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/m-p/99129

Nuevas técnicas de ataques de temporización

Un grupo de investigadores ha descubierto una nueva técnica para los ataques de canal lateral basados en temporización que los hace más efectivos. Un ataque de este tipo se basa principalmente en las variaciones de tiempo de transmisión de la red, lo cual depende de la congestión de esta. La nueva técnica, llamada TTA (Timeless Timing Attacks) hace uso de la multiplexación que ofrecen los protocolos de red y la ejecución concurrente de las aplicaciones para analizar el orden de respuestas y dejan de depender de la sincronización, y por lo tanto, de los tiempos de transmisión de la red. Esto se permite solamente en aquellos protocolos con HTTP/2, incluidos los servicios web que admiten HTTPS.

Adicionalmente, los investigadores afirman que este nuevo método podría ser implementado contra servicios de Tor, usándose esta técnica también en servicios web con HTTP/1.1, permitiendo a un agente amenaza crear dos conexiones a un nodo de esta red y enviar solicitudes simultáneas desde ambas para medir la diferencia de tiempo.

Más información: https://thehackernews.com/2020/07/http2-timing-side-channel-attacks.html

Expuestos 20GB de documentos internos de Intel

La compañía tecnológica Intel se encuentra investigando una brecha de seguridad, después de que un total de 20GB de documentos internos fueran expuestos en MEGA. La compañía ha confirmado la autenticidad de los documentos, algunos catalogados como “restringidos” o “confidenciales”, si bien cabe destacar que entre estos no se encuentran datos confidenciales de clientes o empleados. El responsable del robo envió estos archivos a Till Kottmann, responsable de un canal de Telegram que publica datos filtrados accidentalmente de empresas tecnológicas, quien subió a MEGA una parte de estos archivos.

Por el momento Intel sospecha que el robo se produjo por una persona con acceso a su Centro de Recursos y Diseño, donde proporcionan documentos técnicos no públicos a sus socios comerciales, y no de un acceso no autorizado. Si bien, el responsable del robo afirmó a Till Kottmann que estos datos fueron obtenidos mediante el acceso a un servidor no seguro alojado en el CDN de Akamai.

Toda la información en: https://www.zdnet.com/google-amp/article/intel-investigating-breach-after-20gb-of-internal-documents-leak-online/


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *