Noticias de Ciberseguridad: Boletín semanal 8-14 de agosto

ElevenPaths    14 agosto, 2020
Noticias de Ciberseguridad: Boletín semanal 8-14 de agosto

Intentos de explotación de una vulnerabilidad crítica en F5 Big-IP ADC

El FBI ha emitido una notificación donde advierte a la industria privada que, desde principios de julio de 2020, un grupo vinculado a Irán habría estado tratando de comprometer dispositivos ADC de Big-IP vulnerables al fallo de seguridad de ejecución remota de código sin autenticación CVE-2020-5902 (CVSSv3 de 9.8). Los ataques habrían sido dirigidos a organizaciones estadounidenses de una amplia gama de sectores.

En la nota se alerta a la industria privada que si sus redes se ven comprometidas por este grupo, el parcheo de los dispositivos sería una técnica de mitigación insuficiente puesto que acostumbran a utilizar web shells para obtener puertas traseras persistentes y robar credenciales para recuperar el acceso. Tras lograr el acceso a la red, emplearían herramientas como Mimikatz o NMAP para realizar un reconocimiento de la red interna y agregar nuevos usuarios a los sistemas.

El mes pasado, la CISA (Cybersecurity and Infrastructure Security Agency) también emitía una advertencia confirmando la explotación activa de esta vulnerabilidad y la afectación de dos organizaciones comprometidas a través de la explotación de este fallo. Por otra parte, estos mismos actores también estarían vinculados a múltiples campañas contra dispositivos VPN vulnerables desde agosto de 2019 aprovechando fallos de seguridad en Pulse Secure (CVE 2019-11510, CVE 2019-11539) y Citrix ADC/Gateway (CVE 2019-19781).

Noticia completa: https://www.bleepingcomputer.com/news/security/fbi-iranian-hackers-trying-to-exploit-critical-f5-big-ip-flaw/

Bypass para vulnerabilidad 0-Day en vBulletin

El investigador de seguridad Amir Etemadieh, ha publicado un bypass para un parche que corregía una vulnerabilidad 0-Day en vBulletin. Este es uno de los software de foros más utilizados de la actualidad y el pasado septiembre de 2019 se detectaba la existencia de una vulnerabilidad de 0-Day, con identificador CVE-2019-16759 y con un CVSS de 9.8. El fallo permitía a los atacantes aprovechar un error en el sistema de plantilla de vBulletin para ejecutar código malicioso y apoderarse de los foros sin necesidad de autenticarse en los sitios de las víctimas.

Los detalles y el código de explotación se encuentran disponibles en el blog de Etemadieh junto a tres PoC en Bash, Python y Ruby. A Las pocas horas de conocerse la información el foro de la Def Con era víctima de este ataque.

Más detalles en: https://blog.exploitee.rs/2020/exploiting-vbulletin-a-tale-of-patch-fail/

Microsoft corrige 120 vulnerabilidades

Microsoft ha lanzado sus actualizaciones correspondientes al mes agosto de 2020. En esta ocasión la compañía ha parcheado 120 vulnerabilidades que afectan a 13 productos diferentes. Entre las 120 vulnerabilidades, 17 fallos se han calificado como críticos. Dos de estos fallos críticos se corresponden con dos 0-day para los que se confirma la detección de explotación previa por parte de agentes amenaza.

  • CVE-2020-1380: Se trata de una vulnerabilidad de corrupción de memoria del motor de secuencias de comandos que afecta a Internet Explorer y que permite a los agentes amenaza la ejecución remota de código.
  • CVE-2020-1464: Es una vulnerabilidad de suplantación de Windows que permite a actores maliciosos realizar suplantaciones al permitir firmar digitalmente un ejecutable. Esto les permitiría omitir las funciones de seguridad que evitan que se carguen archivos firmados incorrectamente.

Además de los dos 0-day activamente explotados, cabe destacar una de las vulnerabilidades críticas. En concreto se trata de la CVE-2020-1472, una vulnerabilidad de elevación de privilegios en el componente NetLogon. Algunos investigadores de seguridad refuerzan la necesidad de parchear esta vulnerabilidad, para la cual se producirá un cambio en el servicio el próximo mes de febrero de 2021.

Más información: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Aug

Adobe repara fallos de ejecución de código en Adobe Acrobat, Reader y Lightroom

Adobe ha lanzado actualizaciones de seguridad para abordar 26 vulnerabilidades de las cuales 11 son clasificadas como críticas debido a que podrían permitir a los atacantes eludir las funciones de seguridad o realizar la ejecución remota de código en equipos vulnerables.

  • Adobe Acrobat y Reader: Se han corregido 25 vulnerabilidades de las cuales 11 son críticas ya que podrían permitir la ejecución remota de código o eludir las funciones de seguridad.
  • Adobe Lightroom: Se ha resuelto una vulnerabilidad de escala de privilegios, derivada de que el programa carga de forma insegura una DLL al iniciarse y podría permitir a un atacante ejecutar una DLL maliciosa en su lugar.

Todos los detalles aquí: https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-code-execution-bugs-in-acrobat-and-reader/

Evolución del malware Mekotio

El equipo de investigadores de ESET ha realizado una publicación informando acerca del desarrollo del troyano bancario Mekotio; software malicioso empleado fundamentalmente contra varios países de LATAM como Brasil, Chile o México y Europa como España y Portugal. Entre sus capacidades destaca la de recopilar información confidencial de los hosts de las víctimas, configuraciones de firewall, información del sistema operativo, privilegios del usuario y el estado de las herramientas de seguridad instaladas.

Asimismo, Mekotio dispone de varias funciones, entre las que destaca la capacidad de funcionar como backdoor, realizar capturas de pantalla, manipular ventanas emergentes o simular acciones del ratón y del teclado. Algunas variantes también pueden robar bitcoins reemplazando una billetera bitcoin en el portapapeles o exfiltrar credenciales almacenadas en Google Chrome. Su distribución se realiza mediante campañas de malspam, en las que se solicita a la víctima descargar un archivo que simula ser una factura. La comunicación con el servidor C&C se basa en un protocolo de red en Delphi_Remote_Access_PC.

Cuando esta no es posible, utiliza una base de datos SQL que funciona como una especie de servidor C&C en las que llama a procedimientos SQL específicos almacenados en el lado del servidor y que son cifrados. ESET indica que existen en desarrollo múltiples variantes de este malware, por lo que se estima que a futuro seguirá infectando a nuevas víctimas.

Más información: https://www.welivesecurity.com/2020/08/13/mekotio-these-arent-the-security-updates-youre-looking-for/


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *