Noticias de Ciberseguridad: Boletín semanal 15-21 de agosto

EmoCrash: la vacuna que ralentizó 6 meses de ataques con Emotet

La vuelta a la actividad del popular malware Emotet ha desvelado que la ausencia de ataques durante casi 6 meses podría deberse al descubrimiento de un investigador y analista de malware de Binary Defense, James Quinn, que habría detectado una vulnerabilidad en este malware a principios del año 2020. Según el analista, este habría detectado una variación en los mecanismos de persistencia de Emotet, que ahora crea claves de registro de Windows donde guarda claves de cifrado XOR.

Este descubrimiento y otros relacionados llevo a Quinn a poder desarrollar una “vacuna” en forma de una script PowerShell que hace que la clave de registro provoque un desbordamiento de búfer en Emotet, siendo por tanto bautizada como EmoCrash. Durante los últimos seis meses, EmoCrash se distribuyó en secreto a través de varios CERTs hasta que los desarrolladores de Emotet cambiaron de nuevo el mecanismo de persistencia y reemprendieron su actividad maliciosa a gran escala a principios de agosto.

Más información: https://www.binarydefense.com/emocrash-exploiting-a-vulnerability-in-emotet-malware-for-defense/

PoC para vulnerabilidad RCE en Apache Struts 2

Investigadores de seguridad han hecho pública una prueba de concepto que puede ser utilizada para explotar la vulnerabilidad de ejecución remota de código (CVE-2019-0230) en Apache Struts 2, publicada el jueves 13 de agosto. Este fallo se debe a un error en la evaluación de los atributos de las etiquetas cuando se utilizan entradas no validadas que permiten inyectar expresiones OGNL maliciosas. Algunas versiones de Struts incorporan controles para mitigar estos ataques, pero solo tras la versión 2.5.22.

Es posible mitigar la vulnerabilidad con una validación adecuada de la entrada del usuario o si no se hace uso de la sintaxis para entrada de usuario modificable. Aunque el objetivo de la PoC publicada sea la vulnerabilidad CVE-2019-0230, desde Apache recomiendan corregir también el fallo CVE-2019-0233, que permitiría realizara ataques DoS al servidor vulnerable.

Todos los detalles en: https://github.com/PrinceFPF/CVE-2019-0230/blob/master/CVE-2019-0230.sh

Vulnerabilidad crítica en servidor de Jenkins

Los desarrolladores de Jenkins, software de servidores de automatización de código abierto, publicaron el lunes un comunicado sobre una vulnerabilidad crítica en el servidor web Jetty que podría resultar en una corrupción de memoria y provocar que se divulgue información confidencial. Catalogada como CVE-2019-17638, el fallo tiene una calificación CVSS3.1 de 9.4 e impacta en las versiones 9.4.27.v20200227 a 9.4.29.v20200521 de Eclipse Jetty, una herramienta con todas las funciones que proporciona un servidor HTTP Java y un contenedor web para su uso en entornos de software.

La vulnerabilidad puede permitir que atacantes no autenticados obtengan encabezados de respuesta HTTP que pueden incluir datos confidenciales destinados a otro usuario, según la empresa. Tras descubrir este problema, los desarrolladores corrigieron el fallo en la versión Jetty 9.4.30.v20200611, publicada el mes pasado. Jenkins, que incluye Jetty a través de una interfaz de línea de comandos llamada Winstone, corrigió el fallo en la herramienta en Jenkins 2.243 y Jenkins LTS 2.235.5 publicados el lunes. Se recomienda que los usuarios de Jenkins actualicen su software a la última versión para mitigar el error de corrupción del búfer.

Noticia completa: https://www.jenkins.io/security/advisory/2020-08-17/

Error de software en cajeros automáticos

En los últimos días se ha conocido la detención de más de 50 sospechosos acusados de robar en cajeros automáticos del Banco Santander explotando un error de software. La realización de estos robos se ha circunscrito a varias ciudades de Estados Unidos, donde varios grupos de criminales utilizaron tarjetas válidas y falsas de crédito y débito precargadas para retirar más dinero del que estaba almacenado en estas tarjetas. Inicialmente este error del software permaneció en secreto, si bien acabó compartiéndose en varias redes sociales. Esto propició la explotación del error por parte de más grupos criminales y provocó un aumento repentino de retirada de efectivo en cajeros automáticos que hizo que saltaran las alarmas y se realizara una investigación.

El martes de esta semana, todos los cajeros automáticos fueron desactivados para evitar más robos, y en el día de ayer se abrieron de momento sólo para clientes del banco. A raíz de conocerse la noticia, los dos principales fabricantes de cajeros automáticos, Diebold Nixdorf y NCR, han lanzado actualizaciones de software para corregir estos errores. Por un lado, Diebold Nixdorf ha parcheado la vulnerabilidad CVE-2020-9062, la cual afectaba a cajeros automáticos ProCash 2100xe USB ATMs con software Wincor Probase, mientras que NCR ha parcheado la vulnerabilidad CVE-2020-10124 con afectación en cajeros SelfServ con software APTRA XFS.

Ambas vulnerabilidades permitían a un atacante interceptar y modificar mensajes relativos a la cantidad de dinero o valor de la moneda depositada, debido a que los cajeros no cifran ni autentican la integridad de los mensajes entre el cajero y el ordenador central. De esta forma, en un proceso de dos pasos, un atacante podía depositar una suma de dinero, modificando los mensajes en cuanto a la cantidad de este o el valor de la moneda, y posteriormente realizar la extracción del dinero con el valor o cantidad introducido en el mensaje. Ambas compañías han implementado ya actualizaciones del software para proteger las comunicaciones entre el cajero y el ordenador central.

Más información: https://www.zdnet.com/article/tens-of-suspects-arrested-for-cashing-out-santander-atms-using-software-glitch/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.