Publicación boletín quincenal

Hoy hemos emitido un nuevo boletín quincenal con un resumen de las noticias y alertas, sobre ciberseguridad, más destacadas de las últimas dos semanas.

Todos los suscriptores del boletín quincenal del CSIRT-CV han recibido el último ejemplar en sus correos.

Si queréis ser de los primeros en recibir nuestra publicación, podéis suscribiros aquí o, si preferís leerlo en nuestra página podéis hacerlo desde este enlace.

Boletín 24/04/2021 – 07/05/2021

Una quincena más os comentamos las noticias de seguridad más relevantes de estos días.

Comenzamos con una campaña que afectó a políticos europeos. Entre los objetivos de esta campaña se encontraban el presidente de la Comisión de Asuntos Exteriores del Parlamento de Letonia, y el presidente del Comité de Asuntos Exteriores del Reino Unido. Los ciberdelincuentes utilizaron tecnología deepfake para imitar a algunos miembros de la clase política rusa y realizar videollamadas falsas a algunos representantes de parlamentos europeos.

La semana también se conoció una operación llevada por la Europol contra Emotet. Se lanzó una actualización a la botnet con EmotetLoader.dll, una DLL que ejecuta una rutina para eliminar el malware de los equipos infectados. Recordamos que Emotet comenzó siendo un troyano bancario, por el año 2014. Después, fue evolucionando a un malware modular siendo capaz de enviar spam vía email, efectuar robo de dinero o incluso, actuar como downloader para descargar y ejecutar otros tipos de malware.

Por otra parte, se ha publicado un estudio donde se indica que casi tres cuartas partes, de los ataques de ransomware de 2020, terminaron pudiendo cifrar los datos en empresas dedicadas a las TI de 26 países diferentes. Y solamente el 26% de los encuestados pudieron recuperar los datos cifrados. Se recomienda a las empresas aplicar medidas de seguridad efectivas, porque los ataques de ransomware continúan sucediendo ya que son una fuente principal de ingresos.

De hecho, esta semana se ha conocido un ataque de ese tipo en una empresa importante de servicios en la nube, Swiss Cloud. Se trata de una de las compañías tecnológicas más importantes de Suiza, y el ataque habría afectado a cientos de organizaciones que recurren a esta plataforma de hosting; hasta 6.500 clientes podrían haberse visto afectados.

Respecto a las alertas más importantes sobre actualizaciones destacan las siguientes:

    • Ya se encuentra disponible el parche para corregir la vulnerabilidad crítica que se detectó en Pulse Secure VPN.

    • Descubiertos cinco fallos graves de seguridad agrupados en una única vulnerabilidad, CVE-2021-21551, que afectan a equipos Dell. Se recomienda seguir las instrucciones que Dell ha publicado en su aviso de seguridad DSA-2021-088, para corregir los fallos en el controlador “dbutil”.

    • Actualización del sistema operativo macOS tras la vulnerabilidad 0-day detectada en la función Gatekeeper, la cual permite que solo se ejecuten aplicaciones confiables verificando que el software ha sido firmado por la App Store.

Vulnerabilidades en equipos Dell

Se han descubierto cinco fallos de seguridad agrupados en una única vulnerabilidad, CVE-2021-21551, de alta gravedad cuya explotación permitiría bloquear sistemas, robar información y escalar privilegios para tomar el control en equipos de escritorio, portátiles e incluso tablets de la marca Dell.

Análisis

Los problemas detectados residen en el controlador ‘dbutil’ que la compañía utiliza para actualizar los firmwares (BIOS) de sus equipos. Este controlador acepta ‘llamadas’ a las cuentas de cualquier usuario o programa y no hay controles de seguridad ni una lista de control de acceso para ver si el usuario que accede tiene los suficientes privilegios o si está autorizada. Estas llamadas al sistema, pueden indicar al controlador de nivel de kernel que mueva el contenido de la memoria de una dirección a otra, lo que permite a un atacante leer y escribir RAM arbitraria del kernel e incluso en puertos de entrada y salida en hardware subyacente.

Recomendaciones

Se recomienda revisar la existencia de equipos afectados y seguir las instrucciones que Dell ha publicado en su aviso de seguridad DSA-2021-088 para corregir los fallos en el controlador dbutil. En este mismo enlace se indican exactamente los productos afectados y sin soporte.

Referencias

(1) https://www.bleepingcomputer.com/news/security/vulnerable-dell-driver-puts-hundreds-of-millions-of-systems-at-risk/
(2)https://www.dell.com/support/kbdoc/es-es/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability

Vulnerabilidad crítica en Pulse Secure VPN

Se ha descubierto una vulnerabilidad crítica 0-day en dispositivos VPN Pulse Secure que permitiría a un atacante que la explote con éxito autenticarse remotamente y ejecutar código arbitrario.

ACTUALIZACIÓN 05/05/2021: Ya se encuentra disponible el parche para corregir el problema [2].

Análisis

El grupo de investigadores de ciberamenazas Mandiant (perteneciente a FireEye) ha publicado un boletín informativo en el que detallan cómo han descubierto tras el estudio de incidentes recientes, compromisos de aplicativos de Pulse Secure VPN [1]. Al parecer, una vulnerabilidad en las versiones Pulse Secure Connect (PCS) 9.0R3 y superiores, permitiría eludir la autenticación y ejecutar archivos de forma arbitraria.

CVE Puntuación CVSS Descripción Versiones afectadas

10 Crítica
3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Una vulnerabilidad en Pulse Secure Connect permitiría a un atacante remoto no autenticado ejecutar código arbitrario

PCS 9.0R3 y superiores

Recomendaciones

Se recomienda aplicar los correctivos en cuanto sean publicados en el siguiente enlace [2].
Preventivamente, la vulnerabilidad puede mitigarse deshabilitando dos funcionalidades del aplicativo PCS (Windows File Share Browser y Pulse Secure Collaboration). Para ello se puede descargar el archivo «Workaround-2104.xml» y seguir las instrucciones detalladas en el enlace anterior, apartado «workaround».

Se recomienda además, descargar y ejecutar la herramienta de comprobación de integridad [3] proporcionada por Ivanti (empresa matriz de Pulse Secure) para determinar el posible impacto. Por último, Mandiant ha publicado unas reglas de detección para Snort y Yara que se encuentran disponibles en el siguiente enlace de GitHub [4] que permitirían detectar un posible compromiso.

Referencias