#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 2-6 de marzo

Ghostcat: Vulnerabilidad RCE en Apache Tomcat

Investigadores de seguridad de Chaitin Tech han descubierto una vulnerabilidad crítica RCE en el conector AJP de Apache Tomcat. Este está habilitado por defecto en todos los servidores Tomcat en el puerto 8009. La vulnerabilidad, catalogada como CVE-2020-1938 CVSS 9.8 y denominada Ghostcat por sus descubridores, existe debido a una validación incorrecta en el conector AJP. Un atacante remoto podría enviar una solicitud AJP especialmente diseñada para introducir el payload y permitir la ejecución de código arbitrario en el sistema objetivo. De ser explotado con éxito, el fallo podría dar lugar al acceso total del sistema atacado. Actualmente ya se han publicado parches para las versiones 7, 8 y 9 a las que se recomienda actualizar. Tan sólo unos días después de conocerse la vulnerabilidad, investigadores de seguridad advertían de la detección de un auge en los escaneos de la vulnerabilidad.

Información completa: https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E

Let’s Encrypt revocará certificados por un fallo en el registro CAA

Let’s Encrypt revocó desde el 4 de marzo de 2020 un total de casi tres millones de certificados X509 debido a un fallo en su software de emisión de certificados. El problema en cuestión está relacionado con el software Boulder e implicaba un procesamiento inadecuado del registro CAA del dominio para el que se emitía el certificado. En concreto, el fallo permitía que se emitieran certificados para un dominio durante 30 días incluso si el registro CAA prohibía que Let’s Encrypt emitiera dichos certificados. Let’s Encrypt considera muy poco probable que un atacante haya podido explotar la vulnerabilidad, pero ha notificado a los sitios afectados de su decisión de revocar los certificados. Se calcula que el problema tendría impacto en 3 millones de los 116 millones de certificados TLS emitidos por la empresa. Unos días más tarde, se publicaba en GitHub un listado de host que podrían ver su certificado revocado.

Info completa: https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

Robo de copias de seguridad en la nube en campañas de ransomware

Una de las medidas de seguridad más utilizadas y efectivas contra los ciberataques con ransomware es realizar copias de seguridad frecuentes de los sistemas. La gestión de estas copias suele realizarse con software corporativo dedicado, como puede ser Veeam. Los agentes maliciosos detrás de ciberataques por ransomware, tales como DoppelPaymer y Maze, estarían utilizando las copias de seguridad en contra de las víctimas, de manera que los atacantes dan prioridad al acceso al almacenamiento de estas con el fin de, posteriormente, robar dichas copias almacenadas en la nube, evitando ser detectados por los sistemas de seguridad de la víctima al expandir las copias en servidores propios. Tras la ejecución de esta técnica, los atacantes borrarían cualquier copia de seguridad antes de pasar a cifrar los equipos en las redes infectadas, consiguiendo un compromiso más grave dado que se pierde la opción de recuperación.

Más: https://www.bleepingcomputer.com/news/security/ransomware-attackers-use-your-cloud-backups-against-you/

Vulnerabilidades en routers Netgear

Netgear publicó este martes una serie de advertencias alertando de vulnerabilidades que afectan a una docena de sus routers.

• PSV-2019-0076 – Error crítico de ejecución remota de código, que podría permitir que un atacante no autenticado tomase el control de su hardware Wireless AC Router Nighthawk (R7800) y que ejecute versiones de firmware anteriores a 1.0.2.68.
• PSV-2018-0352 – Vulnerabilidad de gravedad alta de inyección de comando post-autenticación que afecta al modelo de router R7800, junto con otros 29 modelos dentro de la familia de hardware Netgear D6000, R6000, R7000, R8000, R9000 y XR500.
• PSV-2019-0051 – Fallo de inyección de comandos post-autenticación de gravedad alta que afecta a cinco modelos de routers pertenecientes a las SKU R6400, R6700, R6900 y R7900 que estén ejecutando un firmware vulnerable específico.

Todos los detalles: https://threatpost.com/critical-netgear-bug-impacts-nighthawk-router/153445/

Google parchea vulnerabilidad en chips MediaTek

Google ha parcheado una vulnerabilidad de severidad alta presente en los chips de MediaTek, principal fabricante taiwanés de chips para smartphones, tabletas, routers e incluso televisiones, que afecta a millones de dispositivos. Esta fallo (CVE-2020-0069) ha sido parcheado en el boletín de seguridad de Android de marzo, pero llevaría latente desde abril de 2019. Para explotar este fallo, solamente sería necesario ejecutar un script malicioso en el dispositivo vulnerable que permitiría al atacante obtener acceso como usuario root, tomando el control total del dispositivo. La mayoría de los dispositivos afectados tienen versiones antiguas de Android que ya no reciben actualizaciones oficiales de Google, por lo que corregir esta vulnerabilidad depende de los fabricantes de los dispositivos afectados.

Más información: https://www.xda-developers.com/mediatek-su-rootkit-exploit/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.