Noticias de Ciberseguridad: Boletín semanal 2-8 de enero

Actualización sobre SolarWinds

Para cerrar el año, Microsoft emitió una actualización de sus investigaciones sobre el impacto en sus sistemas del compromiso de SolarWinds. Recalcan en este comunicado que tanto los servicios de producción como los datos de clientes no se han visto afectados por accesos no autorizados, al igual que no se detectan evidencias del uso de tokens SAML falsificados para el acceso a recursos cloud propios o que su infraestructura se utilizase para atacar a clientes. No obstante, sí desvelan que los atacantes fueron capaces de comprometer un número limitado de cuentas internas, una de las cuales tenía permisos de lectura de código fuente propietario. A través de la misma, se habría accedido a varios repositorios de código que no han sufrido modificaciones, según indica la investigación de Microsoft, al no disponer la cuenta de privilegios de escritura para realizar tales acciones.

Por otro lado el departamento de Justicia estadounidense emitió el martes 5 de enero un comunicado donde confirmaban el compromiso de sus sistemas como resultado del ataque a la cadena de suministro que involucra al software SolarWinds Orion. La investigación interna habría revelado que los actores amenaza habrían llegado a moverse entre los sistemas de la red, consiguiendo acceso a las cuentas de correo electrónico de cerca del 3% de los empleados de la entidad, es decir, más de 3000 individuos. Pese a ello, la agencia gubernamental indica que no se ha detectado impacto en aquellos sistemas clasificados. El mismo día que se conocían estos datos, el FBI, CISA, ODNI y la NSA publicaban un comunicado conjunto atribuyendo de forma oficial el ataque a una APT ligada a Rusia. Finalmente, varios medios se han hecho eco de una reciente hipótesis que involucra al software de gestión de proyectos TeamCity como vector de entrada a los sistemas de SolarWinds. Por su parte, la empresa propiedad del software, JetBrains, ha negado estas conjeturas, indicando que desconoce que exista investigación alguna a este respecto.

Más información: https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/
https://www.justice.gov/opa/pr/department-justice-statement-solarwinds-update

Análisis de la infraestructura de C2 maliciosos durante 2020

Insikt Group de Recorded Future ha publicado los resultados de un estudio llevado a cabo sobre la infraestructura de Command and Control (C2) maliciosos identificados durante 2020 a través de sus plataformas. El estudio expone algunos datos destacados como que más de la mitad de los servidores detectados no se encontraban referenciados en fuentes abiertas, o que de media los servidores tienen un ciclo de vida útil dentro de la infraestructura maliciosa de unos 55 días aproximadamente. Por otro lado, también se resalta que los proveedores de Hosting en los que mayor número de servidores maliciosos se detectaron son aquellos que mayor infraestructura tienen, es decir, proveedores como Amazon o Digital Ocean, en contra de la idea tradicional que indica que determinados proveedores de hosting más sospechosos albergarían este tipo de infraestructura. En los detalles revelados se denota una tendencia a la utilización de herramientas de código abierto como parte de las operaciones de infección con malware. Dentro de esta propensión, desde Insikt Group manifiestan la predominancia de varias herramientas de seguridad ofensiva, como son Cobalt Strike y Metasploit, responsables de alojar más de una cuarta parte de todos los servidores C2 analizados. En último lugar, cabe señalar que los investigadores vinculan prácticamente todos los hallazgos a APTs o actores financieros de alto nivel.

Más detalles: https://go.recordedfuture.com/hubfs/reports/cta-2021-0107.pdf

Zyxell corrige una vulnerabilidad crítica en sus dispositivos

El fabricante de dispositivos de red Zyxel ha publicado una actualización de seguridad que soluciona una vulnerabilidad crítica en su firmware. Este fallo, identificado como CVE-2020-29583 con CVSS de 7.8, permitiría a un agente amenaza acceder con privilegios de administrador vía ssh a los equipos vulnerables, debido a la existencia de una cuenta secreta (zyfwp) que no se encontraba documentada y cuya contraseña, almacenada en claro en el firmware, era fija. Entre las capacidades que otorga esta vulnerabilidad se tiene la posibilidad de cambiar la configuración del cortafuegos, interceptar el tráfico o crear cuentas VPN para acceder a la red en la que se encuentra el dispositivo. El fallo, descubierto y reportado en diciembre por investigadores de EYE, afecta a los dispositivos Zyxel USG y USG FLEX, ATP y VPN con versión V4.60 del firmware, además de los controladores de puntos de acceso AP NXC2500 con versiones del firmware entre V6.00 y V6.10, todos ellos actualizados y corregidos en las versiones V4.60 Patch1 y V6.10 Patch1.

Más información: https://www.zyxel.com/support/CVE-2020-29583.shtml

Vulnerabilidad de ejecución remota de código en Zend Framework

El investigador de ciberseguridad Ling Yizhou, ha revelado una vulnerabilidad de deserialización en Zend Framework que podría ser explotada por los atacantes para lograr la ejecución remota de código en sitios PHP. El fallo, catalogado como CVE-2021-3007, además de afectar a Zend Framework 3.0.0, podría impactar algunas instancias del sucesor de Zend, Laminas Project. Una aplicación vulnerable podría deserializar y procesar datos recibidos en un formato inadecuado, lo que podría desencadenar desde una denegación de servicio, hasta la posibilidad de que el atacante ejecutase comandos arbitrarios en el contexto de la aplicación. El investigador ha compartido detalles para su explotación a través de Github.

Más detalles: https://www.bleepingcomputer.com/news/security/zend-framework-disputes-rce-vulnerability-issues-patch/

Boletín de actualizaciones de seguridad de Google para Android

Google ha publicado la actualización de seguridad de enero para su sistema operativo Android en la que se abordan 42 vulnerabilidades, incluyendo cuatro de gravedad crítica. Se destaca la vulnerabilidad catalogada como CVE-2021-0316, la más crítica de esta actualización y que corresponde a un error en el sistema que podría ser explotado para lograr la ejecución de código de forma remota. Otras tres vulnerabilidades abordadas en el componente del sistema de Android presentan un índice de severidad alto. Estas incluyen dos problemas de elevación de privilegio y un error de divulgación de información. Además, el parche de seguridad 2021-01-01 también corrige 15 vulnerabilidades en el Framework, incluyendo un fallo de denegación crítica de servicio (DoS), ocho fallos de elevación de privilegios de alta severidad, cuatro problemas de revelación de información de alta gravedad, un fallo de DoS de alta severidad y una vulnerabilidad de ejecución de código remoto de gravedad media. La segunda parte de las actualizaciones de seguridad aborda un total de 19 vulnerabilidades en el Kernel (tres vulnerabilidades de alta severidad), MediaTek (una vulnerabilidad de alta severidad) y los componentes de Qualcomm (seis vulnerabilidades de alta severidad). En el conjunto de actualizaciones de este mes también se incluyeron parches para nueve fallos en los componentes de código cerrado de Qualcomm (dos vulnerabilidades críticas y siete de alta severidad). Por último, se ha publicado un parche de seguridad para los dispositivos Pixel, correspondientes a otras cuatro vulnerabilidades.

Toda la información: https://source.android.com/security/bulletin/pixel/2021-01-01