Noticias de Ciberseguridad: Boletín semanal 4-10 de julio

ElevenPaths    10 julio, 2020
Noticias de Ciberseguridad: Boletín semanal 4-10 de julio

Vulnerabilidad RCE en F5 BIG-IP (CVE-2020-5902)

El pasado 1 de julio se dio a conocer una vulnerabilidad crítica (CVE-2020-5902 CVSSv3 10) de ejecución remota de código en el TMUI (Traffic Managemente User Interface) de F5, descubierta por el investigador de seguridad Mikhail Klyuchnikov. Un atacante no autenticado con acceso a la interfaz TMUI a través del puerto de gestión de BIG-IP o de Self IPs podría ejecutar órdenes del sistema de su elección, crear o eliminar ficheros, deshabilitar servicios e incluso ejecutar código Java. También son vulnerables aquellos BIG-IP en modo appliance. No obstante, conviene resaltar que esta vulnerabilidad no se expone en el plano de datos, sino únicamente en el plano de control. El atacante debe poder acceder a la gestión del dispositivo. Desde F5 recomiendan actualizar a una versión que corrija este problema; y esta necesidad de actualización se hace aún más evidente tras conocerse ya durante el fin de semana intentos de explotación activos, con un exploit público efectivo cuya PoC ha sido ya añadida ayer domingo al framework de explotación automatizada Metasploit. Además, el US Cybercom pidió el viernes pasado parchear de forma inmediata y urgente sin esperar al fin de semana. En caso de no poder aplicar la actualización, el fabricante ha proporcionado una serie de mitigaciones temporales. Desde la comunidad investigadora se han compartido reglas para la detección de explotación en sistemas IDS (Snort y Sigma) que pueden ser útiles tras realizar las actualizaciones para verificar que todo esté correcto y no se hayan producido intentos de aprovechamiento. Unos días más tarde de hacerse pública, los investigadores de seguridad Chase Dardaman y Rich Mirch con el equipo CriticalStart TeamAres han encontrado un bypass que permite la explotación del fallo en dispositivos donde se implementaron las medidas de mitigación. La explotación exitosa de dispositivos BIG-IP permite a los atacantes comprometer completamente el sistema, obtener credenciales de usuario o atravesar lateralmente la red interna del dispositivo. Los investigadores que descubrieron este bypass están trabajando con el Equipo de Respuesta a Incidentes de Seguridad (SIRT) de F5 para actualizar el aviso de seguridad CVE-2020-5902.

Más detalles: https://support.f5.com/csp/article/K52145254

Ataques contra proveedores de servicios gestionados (MSPs)

El 12 de junio, el servicio secreto estadounidense emitió una alerta a entidades norteamericanas advirtiendo de un aumento en el volumen de ataques a través del compromiso de proveedores de servicios gestionados (MSPs). Días después de esta alerta, el MSP ConnectWise parcheaba una vulnerabilidad en su API que habría sido aprovechada para realizar distintas intrusiones en su infraestructura. Los MSPs son entidades que gestionan parcial o totalmente la infraestructura IT de sus clientes a través de herramientas de administración remota, lo que les convierte en un vector de entrada potencial para acceder a la red de grandes compañías y realizar ataques. La alerta indica la identificación de ataques de estas características con el objetivo de comprometer sistemas PoS, realizar estafas BEC (Business Email Compromise) y distribuir ransomware (como Sodinokibi/REvil).

Toda la info: https://www.zdnet.com/google-amp/article/us-secret-service-reports-an-increase-in-hacked-managed-service-providers-msps/

DXC identifica ataque de ransomware que afecta a su subisdiaria Xchanging

El proveedor global de servicios y soluciones de TI DXC Technology anunció durante el fin de semana un ataque de ransomware en los sistemas de su subsidiaria Xchanging. Este es conocido como un proveedor de servicios gestionados para empresas de la industria de seguros, pero su lista de clientes incluye compañías de diversas áreas. DXC Technology notificó a sus inversores que Xchanging habría detectado un ataque de ransomware en algunos de sus sistemas. La compañía informó del incidente el 5 de julio, expresando su confianza en que no se propagó fuera de la red Xchanging. No está claro cuándo se detectó el ataque, pero por el momento, la investigación no ha revelado ninguna indicación de datos afectados. La compañía ha implementado una serie de medidas de contención y corrección para resolver esta situación y se encontraría trabajando activamente con los clientes afectados para restaurar el acceso a su entorno operativo lo más rápido posible. Por el momento tampoco se ha revelado el número de clientes afectados, así como información alguna sobre la familia del ransomware utilizado en el ataque.

Más: https://www.dxc.technology/newsroom/press_releases/149112-dxc_identifies_ransomware_attack_on_part_of_its_xchanging_environment

Troyano bancario Cerberus detectado en Google Play

El equipo de ciberseguridad de Avast ha realizado una publicación en la que informa sobre la detección del troyano bancario Cerberus en el market Google Play dirigido a usuarios de Android España. Según los investigadores, este software malicioso habría permanecido ofuscado en una aplicación denominada “Calculadora de Moneda”. Esta aplicación fue aceptada por Google Play en algún momento del pasado mes de marzo y, si bien al principio no causaba ningún tipo de daño a las víctimas, una vez ganada la confianza de los usuarios la aplicación pasó a activar un código que permitía conectarse a un servidor Command & Control. A partir de ahí, el C&C ordenaba a la aplicación la descarga de una APK adicional en los dispositivos afectados que se trataría de Cerberus. Entre las funcionalidades de esta herramienta destaca la capacidad de crear superposiciones en las aplicaciones bancarias legítimas, con el fin de exfiltrar credenciales de la víctima, leer SMS para obtener códigos de acceso únicos u obtener detalles del segundo factor de autenticación. Se calcula que la aplicación maliciosa fue descargada más de 10.000 veces.

Toda la info: https://blog.avast.com/avast-finds-banking-trojan-cerberus-on-google-play-avast

Nueva vulnerabilidad en PAN-OS

Apenas una semana después de corregir una vulnerabilidad de severidad crítica en PAN-OS (CVE-2020-2021), Palo Alto Networks ha abordado la corrección de un nuevo fallo grave en PAN-OS GlobalProtect. Se trata de una vulnerabilidad de inyección de comandos en el sistema operativo que permitiría a un atacante remoto no autenticado ejecutar comandos arbitrarios del sistema operativo con privilegios de root en dispositivos sin parchear. Ha recibido el identificador CVE-2020-2034 y una severidad CVSS 3.x de 8.1 ya que puede ser explotada por atacantes con acceso a la red de los servidores vulnerables como parte de un ataque más complejo que no requiere de interacción del usuario. Se encuentran afectadas las versiones de PAN-OS < 9.1.3, < 9.0.0 < 8.1.15, 8.0 y 7.1. El fallo no puede ser explotado si el portal de GlobalProtect no está habilitado y, además, el atacante necesita cierta información sobre la configuración del firewall o necesitará realizar algún tipo de ataque de fuerza bruta para poder explotar la vulnerabilidad. Desde Telefónica se están acometiendo las acciones necesarias para detectar y parchear la vulnerabilidad.

Para saber más: https://www.bleepingcomputer.com/news/security/palo-alto-networks-fixes-another-severe-flaw-in-pan-os-devices/

Boletín de seguridad de Juniper

En el día de ayer Juniper Networks publicó un boletín para parchear hasta 19 fallos y vulnerabilidades en sus productos. De entre todo el listado de parches publicados, destaca especialmente el publicado para la vulnerabilidad crítica CVE-2020-1654, CVSS 9.8. Se trata de un fallo por el cual un mensaje HTTP especialmente manipulado podría llevar a los productos de Juniper con el servicio de redirección ICAP (protocolo de adaptación de contenidos de internet) a una denegación de servicio o incluso a la ejecución remota de código. Este problema afecta a los productos Juniper SRX Series con sistema operativo Junos OS 18.1, 18.2, 18.3, 18.4, 19.1, 19.2 y 19.3. Se recomienda aplicar los parches del fabricante para solucionar este problema.

Info completa: https://kb.juniper.net/InfoCenter/index?page=content&channel=SECURITY_ADVISORIES


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *