Compromiso en la cadena de suministro: SolarWinds Orion

Investigadores de FireEye daban a conocer el domingo 13 de diciembre una importante operación global de espionaje y robo de información que aprovecha la cadena de suministro para lograr acceder a los sistemas de entidades públicas y privadas. El vector de entrada fue la inserción de código malicioso en actualizaciones legítimas de SolarWinds Orion, un software de gestión de infraestructura IT ampliamente utilizado. Entre marzo y junio de 2020, la web oficial del proveedor ofrecía para su descarga múltiples versiones digitalmente firmadas conteniendo una puerta trasera denominada por los investigadores como SUNBURST. Los atacantes tras esta campaña han mantenido el sigilo como elemento prioritario en sus incursiones, utilizando los mínimos artefactos de malware posibles, así como herramientas de difícil atribución y técnicas OpSec. Entre las víctimas se encuentran empresas de telecomunicaciones, consultoría, tecnología y extracción en Norteamérica, Europa, Asia y Oriente Medio; así como organizaciones gubernamentales. En lo que respecta al actor amenaza, investigadores de Volexity han desvelado detalles sobre tres incidentes independientes acaecidos entre diciembre de 2019 y julio de 2020, que habrían sido llevados a cabo por este mismo actor, al que han denominado Dark Halo (FireEye lo designa como UNC2452), contra una Think Tank estadounidense. El objetivo de estas intrusiones era la obtención de correos electrónicos asociados a individuos específicos de la organización (ejecutivos, políticos y personal IT). SolarWinds ha emitido por su parte una nueva actualización (2020.2.1 HF 2) con capacidad para inutilizar las trazas del malware SUNBURST que pudiesen haber quedado en aquellos sistemas que hubiesen tenido instaladas versiones maliciosas. Por su parte, en un esfuerzo por mitigar esta amenaza, Microsoft informaba de que su producto de antivirus Microsoft Defender pasaba también a introducir en cuarentena aquellos binarios del software Orion que forman parte de versiones maliciosas, lo que podría causar caídas en sistemas todavía sin actualizar. Al mismo tiempo, esta organización, junto a varios socios en ciberseguridad, han llevado a cabo una operación para tomar el control del servidor C&C utilizado por SUNBURST con el objetivo de prevenir el despliegue de payloads adicionales en los sistemas infectados e identificar las posibles víctimas. Por su parte, FireEye revelaba que las actuaciones llevadas a cabo por parte de Microsoft y sus socios para mitigar la amenaza del malware SUNBURST han permitido activar un “kill switch” presente en su código, que impedirá su ejecución al resolver todos los dominios y subdominios del servidor C&C a una IP propietaria de Microsoft. Se desconoce todavía cómo los actores amenaza lograron implantar el código malicioso en las actualizaciones de SolarWinds, aunque se elucubra con un posible vector de entrada vía servicios FTP incorrectamente securizados o vía compromiso inicial de su servicio de correo Office365. Investigadores de ReversingLabs, mediante un exhaustivo análisis del código de los binarios de Orion, han desvelado que versiones anteriores del software ya habían sido manipuladas para sentar las bases a la introducción posterior de código malicioso. Los atacantes llegaron a modificar el código fuente imitando el estilo de codificación y las normas de denominación de los desarrolladores del software, comprometiendo asimismo la infraestructura de empaquetado y los mecanismos de firma digital legítimos.

Más detalles: https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/

Vulnerabilidades en dispositivos Verifone e Ingenico

Los investigadores de seguridad Aleksei Stennikov y Timur Yunusov han expuesto en la presentación de la Black Hat Europe 2020 vulnerabilidades en los dispositivos Point of Sale (PoS) de dos de los fabricantes más importantes del sector, Verifone e Ingenico. Estos terminales son aquellos utilizados en establecimientos comerciales para gestionar el proceso de venta, cobro, impresión de tickets, entre otras cosas. Los fallos detectados tendrían afectación en los dispositivos Verifone VX520, la serie Verifone MX y la serie Telium 2 de Ingenico. Se trata de vulnerabilidades del tipo desbordamientos de pila y desbordamientos de búferque que podrían permitir la ejecución de código arbitrario. Asimismo, los investigadores destacan que ambas marcas utilizan contraseñas predeterminadas en sus accesos. La cadena de explotación de los fallos podría llevarse a cabo por diferentes vías, siendo tanto el acceso físico al terminal PoS como el remoto vectores de entrada válidos para los agentes amenaza, cuyo objetivo es exfiltrar información de tarjetas, clonar terminales o infecciones de malware en estos que podrían propagarse a la red en la que se encuentran. Ambas compañías confirman que han actualizado sus terminales para evitar la explotación de las vulnerabilidades que llevarían existiendo al menos 10 años.

Toda la información: https://www.cyberdlab.com/research-blog/posworld-vulnerabilities-within-ingenico-telium-2-and-verifone-vx-and-mx-series-point-of-sales-terminals

Omisión de autenticación SAML debida a fallos en el parser XML de Golang

Investigadores de seguridad de Mattermost, en colaboración con el equipo de seguridad de Golang, han desvelado tres vulnerabilidades críticas en el parser XML del lenguaje de programación Go. Los fallos, identificados como CVE-2020-29509, CVE-2020-29510 y CVE-2020-29511, todos ellos con un CVSS de 9.8, se deben a que el parser XML de Golang devuelve resultados inconsistentes al codificar y decodificar XML. Los agentes amenaza podrían aprovechar estas vulnerabilidades en las implementaciones SAML basadas en Go y modificar los mensajes SAML inyectando marcado XML malicioso para suplantar a otro usuario, lo que podría dar lugar a la elevación de privilegios y, en algunos casos, a la omisión total de autenticación. Hasta el momento, el equipo de seguridad de Go no ha logrado corregir estas vulnerabilidades.

Para saber más: https:/mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities/

Nueva campaña de ciberespionaje de Lazarus Group

Investigadores de HvS Consulting han llevado a cabo una detallada investigación sobre una reciente operación de ciberespionaje atribuida a Lazarus Group y cuyo objetivo han sido múltiples entidades europeas en el sector eléctrico y manufacturero. Los incidentes comienzan a observarse en marzo y abril de 2020, extendiéndose hasta noviembre sin solución de continuidad. La ingeniería social ha sido el vector de entrada preferente, haciendo llegar a los usuarios ofertas falsas de empleo con macros maliciosas ya sea a través de correos electrónicos, contactos en redes sociales como LinkedIn o apps de mensajería como WhatsApp. El objetivo final es infectar la red completa y permanecer sin ser detectados para exfiltrar información de carácter confidencial. Cabe destacar que Lazarus cuenta con capacidades avanzadas de tunelización de tráfico, con una infraestructura flexible que le permite modificar sus servidores C&C con asiduidad y con herramientas que se ejecutan completamente en memoria, evitando así la detección.

Descubre toda la info: https://www.hvs-consulting.de/media/downloads/ThreatReport-Lazarus.pdf

La extorsión telefónica como nueva táctica de los operadores de DoppelPaymer

La Oficina Federal de Investigaciones de EE.UU (FBI) ha publicado una alerta en la que informa sobre la adopción de una nueva táctica de extorsión por parte de los operadores del ransomware DoppelPaymer. Cabe destacar que este software malicioso ya aplicaba la conocida táctica de doble extorsión, que consiste en publicar datos exfiltrados de sus víctimas en caso de que estas no realicen el pago exigido por los agentes amenaza. Según las investigaciones del FBI, habrían obtenido evidencias que consistirían en llamadas telefónicas a empresas víctimas con el fin de intimidarlas y coaccionarlas, al igual que a sus trabajadores, con el fin de conseguir que paguen el rescate de los datos cifrados y robados. Esta táctica se llevaría produciendo desde el pasado mes de febrero de 2020 por parte de los operadores de DoppelPaymer. Paralelamente, el medio digital ZDNet publicó a comienzos del presente mes información en la que indicaban que operadores de otros ransomware, como Sekhmet, Maze, Conti y Ryuk habrían asumido esta misma táctica de extorsión a sus víctimas. Asimismo, el FBI recomienda no pagar el rescate exigido y poner en conocimiento de las autoridades estos incidentes.

Más información: https://assets.documentcloud.org/documents/20428892/doppelpaymer-fbi-pin-on-dec-10-2020.pdf

Vulnerabilidad zero-day en el software de gestión de servidores de HPE

Hewlett Packard Enterprise ha revelado una vulnerabilidad zero day en su software Systems Insight Manager (SIM), que afectaría a los sistemas operativos Windows y Linux. El fallo, identificado como CVE-2020-7200, podría permitir a un agente amenaza sin privilegios la ejecución de código en servidores vulnerables, debido a una validación inadecuada de los datos proporcionados por el usuario. Si bien HPE no ha publicado aún la actualización de seguridad que corrige el fallo, ha proporcionado medidas de mitigación temporales para el sistema operativo Windows, basadas en deshabilitar las funcionalidades de «Federated Search» y «Federated CMS Configuration«. Desde la firma no se ha revelado si la vulnerabilidad está siendo activamente explotada, sin embargo, afirman que la corrección completa de la misma se hará pública en una versión futura del software.

Todos los detalles: https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=hpesbgn04068en_us

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.