servici de inteligencia cntra amenaas sia” de seguridad...construida con más de 500.000 routers...

SERVICIO DE INTELIGENCIA CONTRA AMENAZAS “SIA”

www.coreoneit.com

servicio de inteligencia sobre amenazas [sia]

año 01 edición 2.53

www.coreoneit.com@coreoneit


www.coreoneit.com

¿Qué es EL Servicio de Inteligencia sobre Amenazas [SIA]?

Es una combinación de información de amenazas existentes en la red con el aná-lisis e inteligencia del grupo de especialistas de CORE ONE IT, quienes analizan exhaustivamente todo tipo de amenazas informáticas y desarrollan una serie de recomendaciones adaptadas a cada tipo de cliente.

Alcance

Se personaliza de acuerdo al tipo de infraestructura y entorno de red del cliente basado en los tipos de dispositivos, modelos y fabricantes, con el fin de recibir solo información relevante y que pudiera afectar de manera directa o indirecta, la continuidad del negocio.

Definiciones

•Riesgo: Probabilidad que una amenaza particular explote una vulnerabilidad particular de un sistema.

•Amenaza: Es la causa potencial de un incidente no deseado, el cual puede re-sultar en un daño a un sistema de información u organización.

•Ataque: Acción de tratar de traspasar controles de seguridad en un sistema. Un ataque puede ser activo, resultando en la modificación de datos, o pasivo, resul-tando en la divulgación de información. El hecho de que un ataque sea realizado no significa que será exitoso, el grado de éxito depende de la vulnerabilidad del sistema o actividad y de la eficiencia de las medidas existentes.

•Vulnerabilidad: Debilidad en los procedimientos de seguridad de un sistema, en el diseño del sistema, en la implementación, en los controles internos, y que puede ser explotada para violar la política de seguridad del sistema.

•API: Interfaz de Programación de Aplicaciones (Application Programming Interfa-ce, por sus siglas en inglés). Conjunto de subrutinas, funciones y procedimientos de una biblioteca para ser utilizado por otro software.

•Malware: también llamado badware, código maligno, software malicioso, sof-tware dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el con-sentimiento de su propietario.

•Ransomware: Es un tipo especial de malware que amenaza con destruir los docu-mentos y otros archivos de las víctimas.

•Troyano: Software malicioso que se presenta al usuario como un programa apa-rentemente legítimo e inofensivo.

•ISP: Proveedor de servicios de Internet (Internet Service Provider, por sus siglas en inglés).

•Keylogger: Software de vigilancia, el cual cuenta con la capacidad de grabar cada tecla pulsada en el sistema en un archivo, usualmente cifrado.

•BSOD: Blue Screen Of Death, “pantalla azul de la muerte”; se refiere a la panta-lla mostrada por el sistema operativo de Windows cuando éste no puede recupe-rarse de un error del sistema.


www.coreoneit.com

Descubren una botnet compuesta por 500.000 routers hackeados

Los routers son algo a lo que la mayoría no presta mucha atención cuando se trata de cuidar la ciberseguridad, y esta es una circunstancia de la que se aprovechan los cibercrminales. Los inverstigadores de Cisco han descubierto una gigantesca botnet construida con más de 500.000 routers ubicados en 54 países que han sido infectados con el malware VPNFilter.

Los investigadores de Cisco creen que esto podría responder a una camapaña patro-cinada por un estado, ya que la botnet creada está preparada para lanzar poderosos ciberataques. Por otro lado VPNFilter comparte mucho código con BlackEnergy, un malware que ha sido utilizado para llevar a cabo extensos ciberataques en Ucrania, por lo que se sospecha que podría tener vínculos con el Gobierno de Rusia, cosa que no mencionan los investigadores.

Sin embargo, en Daily Beast informan que agentes del FBI han tomado mediante orden judicial el control del servidor clave de una botnet presuntamente pertene-ciente al gobierno ruso, la cual se compone de unos 500.000 routers hackeados.

Entre las marcas de routers afectadas por VPNFilter se encuentran TP-Link, NET-GEAR, Linksys y MicroTik. El malware contiene código para robar credenciales de acceso a sitios web, inutiliza el router infectado y puede dejar sin acceso a Internet a cientos de miles de personas (algo factible viendo la cantidad dispositivos afecta-dos) de todo el mundo.

VPNFilter es un malware de plataforma modular en múltiples etapas. En su etapa inicial lo que hace es persistir a través de un reinicio, algo que lo diferencia de la mayoría de los programas maliciosos contra el Internet de las Cosas, que general-mente no sobreviven al reinicio del dispositivo. El objetivo es obtener un punto de apoyo persistente y habilitar el despliegue de la segunda etapa. Para ello, en la pri-mera etapa se utilizan múltiples mecanismos de mando y control para descubrir la dirección IP del servidor de implementación de la segunda etapa, haciendo que este malware sea extremadamente robusto y capaz de lidiar con cambios impredecibles en la estructura de mando y control.

La segunda etapa, que no persiste a un reinicio, posee la capacidad que se espera de una plataforma de recolección de inteligencia, como recolección de ficheros, ejecu-ción de órdenes, filtración de datos y gestión del dispositivo. Sin embargo, algunas versiones de la segunda etapa también poseen capacidades autodestructivas para sobreescribir en una parte crítica del firmware del router y luego reiniciarlo para dejarlo inutilizable. Los investigadores creen que los atacantes podrían llevar a cabo con éxito el proceso de neutralización del dispositivo en la mayoría de los modelos afectados.


www.coreoneit.com

También hay múltiples módulos de la tercera etapa que sirven como complementos para el malware de la segunda etapa para proporcionar a estas últimas funcionali-dades adicionales. Uno de los módulos es un rastreador de paquetes sniffer que se dedica a recolectar el tráfico que pasa a través del dispositivos, incluyendo el robo de credenciales de los sitios web a los que acceden los usuarios y la supervisión de los protocolos Modbus SCADA. El otro módulo es uno de comunicación que permite a la segunda etapa comunicarse a través de la red Tor. Los investigadores creen que hay otros módulos, pero que estos todavía no han sido descubiertos.

Para propagar VPNFilter, se cree que los atacantes han podido abusar de la falta de una autenticación fuerte para acceder a los routers, dejando las credenciales por defecto del fabricante. Cisco descarta de momento la explotación activa de vulnera-bilidades.

Fuentes:Eduardo Medina. (2018). Descubren una botnet compuesta por 500.000 routers hackeados. 26 de mayo de 2018, de Muyseguridad Sitio web: https://www.muyse-guridad.net/2018/05/24/botnet-500000-routers-hackeados/Traducción Recuperada:fossbytes. (2018). 500,000 Routers In 54 Countries Hacked To Create Massive Botnet Army. 26 de mayo de 2018, de fossbytes Sitio web: https://fossbytes.com/rou-ters-hacked-botnet-army-vpnkill-malware/

Speculative Store Bypass: Intel, ARM y AMD afectados

Investigadores de Microsoft y Google han descubierto una cuarta variantes de los fallos de seguridad de Meltdown-Spectre que filtran datos que afectan a las CPU mo-dernas.

Hasta ahora, solo conocíamos de 3 variantes sobre esta falla:Variante 1 y 2: CVE-2017-5357 y CVE 2017-5715 conocidas como Spectre.Variante 3: CVE-2017-5754 conocida como Meltdown.

Ahora, los investigadores de seguridad han descubierto una cuarta (CVE-2018-36-39) conocida como Speculative Store Bypass. Se trata de una variante que aprovecha la ejecución especulativa que usan las CPU modernas para exponer datos confidenciales a través de un canal lateral.


www.coreoneit.com

A diferencia de Meltdown que impactó principalmente a los chips de Intel, esta afecta también a otros fabricantes. Destaca Intel, AMD y ARM, así como CPU Power 8, Power 9 y System Z de IBM. Es decir, esta vulnerabilidad afecta a casi todos los PC, teléfonos inteligentes, tabletas y dispositivos electrónicos integrados, independientemente del fabricante o sistema operativo.

La mitigación, que está desactivada por defecto, produce una bajada del rendimiento de entre un 2 y un 8 por ciento generalmente.

De momento, hasta que Intel y otros fabricantes no liberen chips actualizados, no habrá una solución permanente. Únicamente dispondremos de mitigaciones a modo de parches, los cuáles ralentizarán el funcionamiento de nuestra CPU.

Fuentes:Daniel Púa. Speculative Store Bypass: Intel, ARM y AMD afectados. Mayo 2018 HIS-PASEC Sitio Web.https://unaaldia.hispasec.com/2018/05/ontsi-presenta-una-nueva-edicion-del.html


www.coreoneit.com

Vulnerabilidades críticas de seguridad para tomar las medidas preventivas y correctivas

frente a las amenazas tecnológicas

Melting y las vulnerabilidades de la clase Spectre

Criticidad: MedioImpacto: Divulgación de información, escalada de privilegiosVulnerabilidad: -Ejecución: Plataforma(s) afectada(s): FortiOS, FortiAP, FortiSwitch, FortiAnalyzerReferencia: CVE-2017-5753, CVE-2017-5715, CVE-2017-5754, CVE-2018-3640, CVE-2018-3639

Descripción:

Un nuevo tipo de ataques de canal lateral afecta a la mayoría de los procesadores, incluidos Intel, AMD, ARM, etc. Estos ataques permiten que los procesos malintencio-nados del espacio de usuario lean la memoria del kernel, lo que puede causar la fuga de información confidencial.

Estos ataques se conocen como vulnerabilidades de clase Meltdown y Spectre y va-riantes de ellos:

• CVE-2017-5753 Variante 1, Bypass de comprobación de límites (Spectre) • CVE-2017-5715 Variante 2, Inyección de blanco de derivación (Spectre) • CVE-2017-5754 Variante 3, Carga de caché de datos ilegales (Fusión) • CVE-2018 -3640 Variante 3a, Rogue System Register Read (RSRE) • CVE-2018-3639 Variante 4: Speculative Store Bypass (SSB) • No CVE asignado: Ocho fallas adicionales de la clase Specter (Spectre-NG)

Solución:

Para reducir su riesgo de ataque a Meltdown / Spectre y reducir la posibilidad de una “vulnerabilidad de ejecución de código local o remota ya existente”, es altamente re-comendable actualizar a nuestra última versión de software disponible públicamente.

Por el momento, Fortinet todavía está evaluando un plan de parche del kernel del sis-tema operativo. Debido al hecho de que el parche del kernel del sistema operativo, por naturaleza, ralentiza el rendimiento, y considerando el bajo riesgo, se pueden producir parches del kernel del sistema operativo y se proporcionarán detalles de la actualiza-ción, si los hay, en las notas de la versión del producto.

Tenga en cuenta que, en cualquier caso, cualquier vulnerabilidad (ejecución de código local o ejecución remota de código) que permita la explotabilidad de las vulnerabili-dades de la clase Spectre / Meltdown siempre será tratada como una vulnerabilidad de gravedad alta / crítica y rápidamente corregida.

Fuentes:PSIRT Advisories. (2018). Melting y las vulnerabilidades de la clase Spectre. Mayo 23, de Fortiguard Sitio web: https://fortiguard.com/psirt/FG-IR-18-002


www.coreoneit.com

Ejecución de código remoto NETGEAR DGN2200 CVE-2017-5521)

Criticidad: MedioImpacto: Infracción de aplicación del servidor web Vulnerabilidad: -Ejecución: RemotoPlataforma(s) afectada(s): NETGEAR DGN2200Referencia: CVE-2017-5521, CPAI-2018-0478

Descripción:

Se informó una vulnerabilidad de ejecución remota de código en enrutadores NETGEAR DGN2200. La explotación exitosa podría llevar a la ejecución de código arbitrario.

Solución:

Actualice su producto Security Gateway a la última actualización de IPS.

Security Gateway R80 / R77 / R76 / R75 1. En la pestaña IPS, haga clic en Protecciones y busque la protección NET GEAR DGN2200 Ejecución remota de código (CVE-2017-5521) con la herramienta de búsqueda y edite la configuración de la protección. 2. Instalar la política en todos los módulos.

Fuentes:Check Point Advisories. (2018). Ejecución de código remoto NETGEAR DGN2200 (CVE-2017-5521). Mayo 24, de Checkpoint Sitio web: https://www.checkpoint.com/defense/advisories/public/2018/cpai-2018-0478.html

Vulnerabilidad de denegación de servicio del sistema de notificaciones de Cisco SocialMiner

Criticidad: CriticoImpacto: Infracción de protección de servidores de aplicacionesVulnerabilidad: -Ejecución: RemotoPlataforma(s) afectada(s): Red Hat Linux y sus derivadosReferencia: CVE-2018-1111, CPAI-2018-0476

Descripción:

Existe una vulnerabilidad de ejecución remota de comandos en la implementación del cliente DHCP de Red Hat Linux. Un atacante remoto podría aprovechar esta vulnera-bilidad enviando una solicitud maliciosa a la víctima. La explotación exitosa de esta vulnerabilidad puede resultar en la ejecución de código arbitrario en el contexto del usuario objetivo.

Solución:

Actualice su producto Security Gateway a la última actualización de IPS.

Security Gateway R80 / R77 / R76 / R75 1. En la pestaña IPS, haga clic en Protecciones y busque la protección de inyección de comandos del cliente DHCP de Red Hat Linux utilizando la herramienta de búsqueda y edite la configuración de la protección. 2. Instalar la política en todos los módulos.Fuentes:Check Point Advisories. (2018). Inyección de comandos del cliente DHCP de Red Hat Linux (CVE-2018-1111). Mayo 21, de Checkpoint Sitio web: https://www.checkpoint.com/defense/advisories/public/2018/cpai-2018-0476.html


www.coreoneit.com

SA167: desvío de autenticación de SAML

Criticidad: MedioImpacto: Acceso no autorizadoVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): • Advanced Secure Gateway:Los ASG 6.6 y 6.7 son vulnerables al autenticar a los usuarios de la red en el tráfico proxy interceptado con un dominio de autenticación SAMLReferencia: CVE-2018-5241

Descripción:

CVE-2018-5241 es una vulnerabilidad de omisión de autenticación SAML en ASG y ProxySG (CVE-2018-5241). Los dispositivos se pueden configurar con un dominio de au-tenticación SAML para autenticar a los usuarios de la red en el tráfico de proxy inter-ceptado. Al analizar las respuestas SAML, ASG y ProxySG manejan incorrectamente los nodos XML con comentarios. Un atacante remoto puede modificar una respuesta SAML válida sin invalidar su firma criptográfica. Esto puede permitir al atacante eludir los controles de seguridad de autenticación de usuario en ASG y ProxySG.

Esta vulnerabilidad solo afecta la autenticación de los usuarios de la red en el trá-fico interceptado. No afecta la autenticación del usuario administrador para las consolas de administración ASG y ProxySG.

Solución:

Parches:Puerta de enlace segura avanzadaASG 6.7: una solución no está disponible en este momento.ASG 6.6: una solución no está disponible en este momento.

ProxySGProxySG 6.7: una solución no está disponible en este momento.ProxySG 6.6: una solución no está disponible en este momento.ProxySG 6.5: una solución no está disponible en este momento.

Referencias Adicionales:

Duo Finds SAML Vulnerabilities Affecting Multiple Implementations - https://duo.com/blog/duo-finds-saml-vulnerabilities-affecting-multiple-implementationsCERT VU#475445 - https://www.kb.cert.org/vuls/id/475445CVE-2018-5241 - https://nvd.nist.gov/vuln/detail/CVE-2018-5241

Fuentes:Symantec. (2018). SA167: SAML Authentication Bypass. 26 de mayo de 2018, de Symantec Sitio web: https://www.symantec.com/security-center/network-protection-security-advisories/SA167


www.coreoneit.com

Vulnerabilidades de divulgación de información de canal lateral de CPU

Criticidad: MedioImpacto: Divulgación de información Vulnerabilidad: -Ejecución: LocalPlataforma(s) afectada(s):


www.coreoneit.com


www.coreoneit.com

Referencia: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Descripción:

El 3 de enero de 2018, los investigadores revelaron tres vulnerabilidades que aprove-chan la implementación de la ejecución especulativa de instrucciones en muchas arqui-tecturas modernas de microprocesadores para realizar ataques de divulgación de infor-mación de canal lateral. Estas vulnerabilidades podrían permitir a un atacante local sin privilegios, en circunstancias específicas, leer la memoria privilegiada que pertenece a otros procesos o memoria asignada al kernel del sistema operativo.

Las dos primeras vulnerabilidades, CVE-2017-5753 y CVE-2017-5715, se conocen colec-tivamente como Spectre. La tercera vulnerabilidad, CVE-2017-5754, se conoce como Meltdown. Las vulnerabilidades son todas variantes del mismo ataque y difieren en la forma en que se explota la ejecución especulativa.

Para explotar cualquiera de estas vulnerabilidades, un atacante debe ser capaz de eje-cutar código elaborado en un dispositivo afectado.


www.coreoneit.com

Aunque la combinación subyacente de CPU y sistema operativo en un producto o ser-vicio puede verse afectada por estas vulnerabilidades, la mayoría de los productos de Cisco son sistemas cerrados que no permiten a los clientes ejecutar código personaliza-do y, por lo tanto, no son vulnerables. No hay un vector para explotarlos. Los productos de Cisco se consideran potencialmente vulnerables solo si permiten que los clientes ejecuten código personalizado al mismo tiempo que el código de Cisco en el mismo microprocesador.

Un producto de Cisco que pueda implementarse como una máquina virtual o un conte-nedor, incluso cuando no esté directamente afectado por ninguna de estas vulnerabi-lidades, podría ser el objetivo de tales ataques si el entorno de alojamiento es vulne-rable. Cisco recomienda que los clientes fortalezcan sus entornos virtuales, controlen estrictamente el acceso de los usuarios y se aseguren de que todas las actualizaciones de seguridad estén instaladas. Los clientes que están implementando productos como un dispositivo virtual en entornos de alojamiento multi-tenant deben asegurarse de que el hardware subyacente, así como el sistema operativo o el hipervisor, estén actua-lizados contra las vulnerabilidades en cuestión.

Aunque los servicios en la nube de Cisco no se ven directamente afectados por estas vulnerabilidades, la infraestructura en la que se ejecutan puede verse afectada. Con-sulte la sección “Productos afectados” de este documento informativo para obtener información sobre el impacto de estas vulnerabilidades en los servicios en la nube de Cisco.

Cisco lanzará actualizaciones de software que abordan estas vulnerabilidades.

Fuentes:Seguridad de Cisco. (Mayo 2018) Vulnerabilidades de divulgación de información de canal lateral de CPU. Mayo 2018, de Cisco Sitio web:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180104-cpu-sidechannel

Vulnerabilidades de divulgación de información de canal lateral de CPU: mayo de 2018

Criticidad: MedioImpacto: Divulgación de información Vulnerabilidad: -Ejecución: LocalPlataforma(s) afectada(s):


www.coreoneit.com

Referencia: CVE-2018-3639, CVE-2018-3640


www.coreoneit.com

Descripción:

El 21 de mayo de 2018, los investigadores revelaron dos vulnerabilidades que apro-vechan la implementación de la ejecución especulativa de instrucciones en muchas arquitecturas modernas de microprocesadores para realizar ataques de divulgación de información de canal lateral. Estas vulnerabilidades podrían permitir a un atacante local sin privilegios, en circunstancias específicas, leer la memoria privilegiada perte-neciente a otros procesos.

La primera vulnerabilidad, CVE-2018-3639, se conoce como Spectre Variant 4 o Spec-treNG . La segunda vulnerabilidad, CVE-2018-3640, se conoce como Espectro variante 3a . Ambos ataques son variantes de los ataques divulgados en enero de 2018 y aprove-chan los ataques de sincronización de caché para inferir cualquier dato revelado.

Para aprovechar cualquiera de estas vulnerabilidades, un atacante debe ser capaz de ejecutar código creado o script en un dispositivo afectado. Aunque la combinación subyacente de CPU y sistema operativo en un producto o servicio puede verse afectada por estas vulnerabilidades, la mayoría de los productos de Cisco son sistemas cerrados que no permiten a los clientes ejecutar código personalizado y, por lo tanto, no son vulnerables. No hay un vector para explotarlos. Los productos de Cisco se consideran potencialmente vulnerables solo si permiten que los clientes ejecuten código persona-lizado al mismo tiempo que el código de Cisco en el mismo microprocesador.

Un producto de Cisco que pueda implementarse como una máquina virtual o un con-tenedor, incluso cuando no esté directamente afectado por ninguna de estas vulne-rabilidades, podría ser el objetivo de tales ataques si el entorno de alojamiento es vulnerable. Fuentes:

Seguridad de Cisco. (Mayo 2018) Vulnerabilidades de divulgación de información de canal lateral de CPU: mayo de 2018, de Cisco Sitio web:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180521-cpu-sidechannel

Cisco recomienda que los clientes fortalezcan sus entornos virtuales, controlen estric-tamente el acceso de los usuarios y se aseguren de que todas las actualizaciones de seguridad estén instaladas. Los clientes que están implementando productos como un dispositivo virtual en entornos de alojamiento multi-tenant deben asegurarse de que el hardware subyacente, así como el sistema operativo o el hipervisor, estén actuali-zados contra las vulnerabilidades en cuestión.

Aunque los servicios en la nube de Cisco no se ven directamente afectados por estas vulnerabilidades, la infraestructura en la que se ejecutan puede verse afectada. Con-sulte la sección “Productos afectados” de este documento informativo para obtener información sobre el impacto de estas vulnerabilidades en los servicios en la nube de Cisco.

Cisco lanzará actualizaciones de software que abordan estas vulnerabilidades. No hay soluciones alternativas que aborden estas vulnerabilidades.

servici de inteligencia cntra amenaas sia” de seguridad...construida con más de 500.000 routers...

Documents