Lima, 11 de julio de 2020 · Actualizar los parches de seguridad en cuanto estén disponibles del...
12
Transcript of Lima, 11 de julio de 2020 · Actualizar los parches de seguridad en cuanto estén disponibles del...
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 11 de julio de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Múltiples vulnerabilidades días cero en CentOS. .......................................................................................... 3
Intrusión a URL mediante alteración de código fuente ................................................................................ 4
Se han integrado dos nuevas vulnerabilidades para Microsoft al Purple Fox EK.......................................... 6
Los errores de Citrix permiten la inyección de código no autenticado y el robo de datos ........................... 7
Vulnerabilidad en Smartwatch permite filtrar información .......................................................................... 8
Detección del ransomware CONTI ................................................................................................................ 9
Índice alfabético ..........................................................................................................................................11
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 098
Fecha: 11-07-2020
Página: 3 de 11
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Múltiples vulnerabilidades días cero en CentOS.
Tipo de ataque Explotación de vulnerabilidades días cero Abreviatura EVDC
Medios de propagación Red e internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de Intrusión
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que especialistas en ciberseguridad, han detectado catorce (14) fallas de seguridad en CentOS. Estas vulnerabilidades podrían permitir escenarios como inyección SQL o escaladas de directorios.
2. Las fallas evaluadas son:
La insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “user” de “ajax_mail_autoreply.php”, permitiría a los atacantes remotos ejecutar consultas SQL arbitrarias en la base de datos objetivo.
Una insuficiente depuración de los datos proporcionados por el usuario en el parámetro “domain” de “ajax_new_account.php” permitiría a los actores de amenazas ejecutar consultas SQL arbitrarias y obtener información potencialmente confidencial.
Una desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “status” en “ajax_list_accounts.php”, permite a los usuarios remotos ejecutar consultas SQL arbitrarias en la base de datos objetivo, mencionan los especialistas en análisis de vulnerabilidades.
La falla existe debido a la insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “search” de “ajax_mail_autoreply.php”.
La desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “package” en “ajax_list_accounts.php”.
Esta falla existe debido a una insuficiente desinfección insuficiente de datos enviados por el usuario en el parámetro “username” de “ajax_list_accounts.php”.
Una insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “type” de “ajax_list_accounts.php” permitiría a los actores de amenazas remotos ejecutar consultas SQL arbitrarias.
Esta falla existe debido a la inadecuada depuración de los datos proporcionados por los usuarios. La falla permitiría obtener información confidencial ejecutando consultas SQL arbitrarias.
Una insuficiente depuración de los datos proporcionados por el usuario en el parámetro “email” en “ajax_mail_autoreply.php” permitiría a los hackers maliciosos ejecutar consultas SQL arbitrarias en la base de datos.
Un error de validación de entrada al procesar secuencias transversales dentro del parámetro “ajax_mod_security.php” en “file” permitiría a los atacantes ejecutar ataques de escalada de directorios.
La falla existe por la incorrecta depuración de los datos proporcionados por el usuario en el parámetro “username” en “ajax_add_mailbox.php”.
La validación de entrada incorrecta dentro de “ajax_ftp_manager.php”.
La desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “term” en “ajax_dashboard.php”.
La vulnerabilidad existe debido a la desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “account” en “ajax_mail_autoreply.php”.
Las vulnerabilidades no han recibido una clave de identificación según el Common Vulnerability Scoring System (CVSS).
3. Recomendaciones:
Actualizar los parches de seguridad en cuanto estén disponibles del sitio web oficial del proveedor.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 098
Fecha: 11-07-2020
Página: 4 de 11
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Intrusión a URL mediante alteración de código fuente
Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb
Medios de propagación Red, internet
Código de familia L Código de subfamilia L01
Clasificación temática familia Vandalismo
Descripción
Tener presencia en internet mediante una página o portal web es una urgencia para las instituciones. Esto permite ofrecer servicios digitales, una comunicación personalizada con el cliente, reducción de recursos, propaganda constante, expectación de servicios online.
Una página web es un servicio que ofrece desde un servidor conectado a internet, con un software específico. El contenido de la web se gestiona a través de un gestor de contenidos o CMS.
En esta oportunidad conoceremos sobre los tipos de ataques comunes que utilizan los ciberdelincuentes al intentar vulnerar sistemas CMS.
1. INTRODUCCIÓN
¿Qué tienen en común WordPress, Joomla y Drupal?, Son los sistemas de gestión de contenido (CMS) más populares en uso hoy en día.
Un sistema de gestión de contenidos (CMS, por sus siglas en inglés) es un sistema que permite a uno o varios usuarios crear, editar y publicar contenido web (texto, vídeo, imagen) sin conocimientos de programación, mediante una interfaz gráfica web para su administración.
De acuerdo a las estadísticas de Web Technology Surveys, estos tres sistemas se combinan para indicar que más del 72% de todos los sitios web están usando uno de estos CMS actualmente.
Según las estadísticas se encuentran entre los objetivos de hackeo más comunes en internet, no porque sea más vulnerable sino por ser lo más usado en internet.
El CMS puede tener múltiples puntos de ataque, debemos poner mucho énfasis en la seguridad ya que son utilizados por entidades públicas o privadas. ¿Cómo puede el personal de TI, administradores, Oficiales de Seguridad, Creadores de contenidos y/o desarrolladores garantizar la seguridad de un CMS?
Su implementación podría resultar muy económica ya que la mayoría es de código abierto, esto podría resultar un arma de doble filo, ya que cualquiera puede tener acceso a su código fuente y hallar una vulnerabilidad, por ello la importancia de aplicar todas las medidas de seguridad correspondiente.
2. FUNCIONALIDADES EXTRA
Los CMS sin funcionalidades extra puede tener muchos límites de uso, por ello nace la necesidad de integrar módulos comúnmente llamados Plugins, combinado con temas personalizados suma eficiencia y más funcionalidad hasta la capacidad de integrar a otros sistemas de la institución.
Los plugin o complementos suelen ser desarrollado por terceros, empresas o comunidades que colaboran con el desarrollo principal (core), algunos gratuitos y otros comerciales, el principal problema es que dichos plugin pueden tener también vulnerabilidades de forma independiente, por lo que para una actualización se tiene que realizar a la par.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
3. COMO PROTEGERNOS DE LAS VULNERABILIDADES DE CMS
Hay una serie de actividades que podemos realizar para protegernos:
Actualización periódica:
Revisar periódicamente la página oficial en busca de nuevas actualizaciones y parchar su CMS y todos los plugins y temas instalados. Esto asegurará que todos los módulos estén actualizados.
Disponer de una buena política de Copias de Seguridad.
Realice regularmente copias de seguridad del CMS y su base de datos, de ser posible de forma diaria y semanal.
Suscribirse a la lista de actualización oficial del CMS
Suscríbase a una lista actualizada regularmente de vulnerabilidades para el CMS específico que se utiliza (por ejemplo, WordPress, Joomla, etc.).
Disuade al atacante
Elimine los nombres de usuario admin predeterminados (p. Ej., 'admin’) y use contraseñas seguras (al menos ocho caracteres de largo, con una combinación de mayúsculas y minúsculas, así como letras y caracteres numéricos).
Plugin de Seguridad
Si bien, es muy recomendable eliminar plugin no necesarios, pero si se recomienda usar un plugin que haga la función de WAF, del mismo modo usar otro para una autenticación fuerte, o autenticación de dos factores (2FA) , eso sumara como una capa de seguridad adicional.
4. PROTECCIÓN DE UN FIREWALL DE APLICACIONES WEB
También podemos optar por un firewall de aplicaciones web (WAF), que protege automáticamente hasta cierto nivel contra las vulnerabilidades de CMS.
Un WAF es un producto o dispositivo de seguridad para sitios web en un modelo de "seguridad como servicio" basado en la nube (incapsula) o también on premise como parte integral del servidor web (Shadow daemon). La función del WAF es de monitorear el trafico HTTP saliente y entrante, utilizando un conjunto de reglas de seguridad que permite identificar y bloquear métodos de ataque del marco OWASP.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 098
Fecha: 11-07-2020
Página: 6 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Se han integrado dos nuevas vulnerabilidades para Microsoft al Purple Fox EK. Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 11 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 07 de julio de 2020 por Security Affairs, sobre Purple Fox EK continúa siendo mejorado por sus autores que implementaron dos nuevas vulnerabilidades para Microsoft que son críticos y de alta gravedad.
2. La nueva versión del kit de exploits incluye el código para la explotación de CVE-2020-0674 y CVE-2019-1458. Un atacante podría explotar la falla para obtener los mismos permisos de usuario que el usuario que inició sesión en el dispositivo Windows comprometido. Si el usuario inicia sesión con permisos administrativos, el atacante puede explotar la falla para tomar el control total del sistema.
3. La falla CVE-2020-0674 podría desencadenarse engañando a las víctimas para que visiten un sitio web que aloja un contenido especialmente diseñado para explotar el problema a través de internet Explorer.
4. La vulnerabilidad CVE-2019-1458 es un problema de escalada de privilegios relacionado con la forma en que el componente Win32k maneja los objetos en la memoria.
5. El exploit CVE-2020-0674 apunta al uso que hace internet Explorer de jscript.dll, una biblioteca de Windows. Al comenzar el ataque, el script malicioso intenta filtrar una dirección de la implementación de RegExp dentro de jscript.dll, luego usa la dirección para buscar el encabezado PE de jscript.dll y luego lo usa para localizar un descriptor de importación para kernel32.dll.
6. El descriptor para kernel32.dll contiene el proceso y las funciones de manipulación de memoria requeridas para que el EK cargue el shellcode real.
7. Se recomienda:
Se recomienda utilizar los últimos parches de seguridad que resuelven completamente todos los problemas. Fuentes de información https[:]//securityaffairs.co/wordpress/105615/malware/purple-fox-ek-evolutions.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 098
Fecha: 11-07-2020
Página: 7 de 11
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ Nombre de la alerta Los errores de Citrix permiten la inyección de código no autenticado y el robo de datos Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, internet Código de familia H Código de subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 11 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 08 de julio de 2020 por Threat Post, sobre múltiples vulnerabilidades en Citrix Application Delivery Controller (ADC) y Gateway permitirían la inyección de código, la divulgación de información y la denegación de servicio.
2. Los productos Citrix (anteriormente conocidos como NetScaler ADC y Gateway) se utilizan para la gestión del tráfico con reconocimiento de aplicaciones y el acceso remoto seguro, respectivamente, y se instalan en al menos 80,000 empresas en 158 países.
3. Los ataques a la interfaz de administración de los productos podrían resultar en un compromiso del sistema por parte de un usuario no autenticado en la red de administración; o compromiso del sistema a través de secuencias de comandos entre sitios (XSS). Los atacantes también podrían crear un enlace de descarga para el dispositivo que, si es descargado y luego ejecutado por un usuario no autenticado en la red de administración, podría comprometer una computadora local.
4. Los actores de amenazas también podrían montar ataques en IP virtuales (VIP). Las VIP, entre otras cosas, se utilizan para proporcionar a los usuarios una dirección IP única para comunicarse con los recursos de red para aplicaciones que no permiten múltiples conexiones o usuarios desde la misma dirección IP.
5. Los ataques VIP incluyen la denegación de servicio contra los servidores virtuales de puerta de enlace o de autenticación por parte de un usuario no autenticado; o escaneo remoto de puertos de la red interna por un usuario autenticado de Citrix Gateway.
6. Se recomienda:
Se recomienda utilizar los últimos parches de seguridad que resuelven completamente todos los problemas.
Fuentes de información https[:]//threatpost.com/citrix-bugs-allow-unauthenticated-code-injection-data-theft/157214/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE
SEGURIDAD DIGITAL N° 098
Fecha: 11-07-2020
Página: 8 de 11
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Vulnerabilidad en Smartwatch permite filtrar información
Tipo de ataque Abuso de privilegios de políticas de seguridad
Abreviatura AbuPrivPolSeg
Medios de propagación Red, internet
Código de familia K Código de subfamilia K01
Clasificación temática familia Uso inapropiado de recursos
Descripción
1. El 11 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó una vulnerabilidad en el smartwatch “SETtracker”, de la compañía 3G Electronics, que permite a un atacante realizar envíos de mensajes personalizados a través de un archivo de respaldo “backup” del código fuente de la aplicación, el cual podía descargarse en hxxp://ser.3g-elec.com.
2. Asimismo, la vulnerabilidad permite filtrar información sensible que puede ser extraida del dispositivo tales como contraseñas de todas las bases de datos de MySQL, credenciales de los buckets de AliYun (equivalente al bucket de Amazon S3 en servidores de Alibaba Cloud), credenciales de e-mail, SMS y de Redis, direcciones IP y el código fuente del servidor de SETtracker, entre otros.
3. Se recomienda:
Los usuarios que hagan uso del Smart watch de la compañía 3G Electronics, deberán actualizar el Sistema Operativo de sus dispositivos a fin de evitar posibles fugas de información de sus equipos como datos personales, entre otros.
Fuentes de información https[:]//unaaldia.hispasec.com/2020/07/una-vulnerabilidad-permite-hackear-una-app-rastreadora-en-smartwatch.html
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 098
Fecha: 11-07-2020
Página: 9 de 11
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección del ransomware CONTI
Tipo de ataque Ransomware Abreviatura Ransomware
Medios de propagación Correo electrónico, redes sociales, entre otros
Código de familia C Código de subfamilia C09
Clasificación temática familia Código malicioso
Descripción
1. El 11 de julio de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “bleepingcomputer”, se informa sobre la detección del ransomware Conti, dirigido a empresas corporativas, que al ser ejecutado violan la privacidad de las redes y se extienden lateralmente hasta que obtengan credenciales de administrador de dominio, una vez que se logra los privilegios administrativos, los actores de la amenaza implementan el ransomware para cifrar los dispositivos, a fin de solicitar un rescate a cambio de la recuperación de la información encriptada.
El Ransomware para su propagación realiza las siguientes acciones:
o Conti prepara la computadora para el cifrado, al detener 146 servicios de Windows relacionados con soluciones de seguridad, respaldo, base de datos y correo electrónico.
o Utiliza una gran cantidad de subprocesos independientes para realizar el cifrado.
o Borrará las copias de Shadow Volumen y comienza a cifrar una computadora.
o Al encriptar una computadora el ransomware agrega la extensión “CONTI” a los archivos encriptados y coloca una nota de rescate llamada “CONTI_README.txt” en cada carpeta.
o Omite| el cifrado de archivos locales y solo apuntar a recursos compartidos SMB en red, incluidos los de direcciones IP.
o usa una clave de cifrado AES-256 única por archivo, que luego se cifra con una clave de cifrado pública RSA-4096 incluida.
o Brinda detalles sobre el ataque y cómo debe contactarse con los actores de la amenaza.
Imagen:
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Indicadores de compromiso.
o Archivos analizados:
Nombre: direct-cpu-clock-access
Tipo de archivo: Win32.EXE
Tamaño: 101.00 KB (103424 bytes)
Máquina de destino: PE32 ejecutable (GUI) Intel 80386, para MS Windows
MD5: b7b5e1253710d8927cbe07d52d2d2e10
SHA-1: 596f1fdb5a3de40cccfe1d8183692928b94b8afb
SHA-256: eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe
2. Que es el ransomware:
Es un tipo de programa dañino o malicioso que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.
3. Algunas Recomendaciones:
Mantener un protocolo de actualizaciones de sistemas operativos, antivirus y todas las aplicaciones.
Concienciar constantemente a los usuarios en temas relacionados a seguridad de la información.
Bloquear los indicadores de compromisos (IOC) mostrados.
No abra documentos adjuntos de remitentes desconocido.
Fuentes de información https[:]//www.bleepingcomputer.com/news/security/conti-ransomware-shows-signs-of-being-ryuks-successor/
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 11 de 11
Índice alfabético
Código malicioso ................................................................................................................................................................ 9 Correo electrónico ............................................................................................................................................................. 9 Correo electrónico, redes sociales, entre otros ................................................................................................................ 9 exploits .............................................................................................................................................................................. 6 Explotación de vulnerabilidades conocidas ................................................................................................................... 6, 7 hxxp ................................................................................................................................................................................... 8 Intento de intrusión ....................................................................................................................................................... 6, 7 internet ...................................................................................................................................................................... 3, 4, 6 malware ............................................................................................................................................................................. 6 Modificación del sitio web ................................................................................................................................................. 4 ransomware ................................................................................................................................................................. 9, 10 Ransomware .................................................................................................................................................................. 2, 9 Red, internet .......................................................................................................................................................... 4, 6, 7, 8 redes sociales ..................................................................................................................................................................... 1 servidor ...................................................................................................................................................................... 4, 5, 8 servidores ...................................................................................................................................................................... 7, 8 software ............................................................................................................................................................................. 4 Uso inapropiado de recursos ............................................................................................................................................. 8 Vandalismo ........................................................................................................................................................................ 4 Vulnerabilidad................................................................................................................................................................ 2, 8
