Ciberataques mediante BlueKeep con nuevo malware tipo Wannacry
Existen nuevos reportes sobre ciberataques a varias empresas internacionales, los atacantes explotaron la vulnerabilidad BlueKeep, que permite ejecución de código remoto mediante RDP (Remote Desktop Protocol) en equipos con sistemas operativos Windows 7, Windows Server 2008, and Windows Server 2008 R2.
Similar a Wannacry en estos ataques se infectaron ordenadores con ransomware dejando la información cifrada e inaccesible. En los ordenadores afectados se muestran mensajes de los atacantes solicitando rescate de la información a cambio de pago con criptomonedas (no especifica monto).
Se debe considerar que este malware puede propagarse rápidamente en una red vulnerable a BlueKeep.
Cabe mencionar que en mayo del presente año, Microsoft lanzó un parche de seguridad con la remediación de la vulnerabilidad BlueKeep, sin embargo muchos ordenadores no han sido actualizados y podrían ser comprometidos.
Telconet, con el fin de precautelar la disponibilidad e integridad de la información de nuestros clientes, recomienda lo siguiente:
- Es importante mantener los equipos actualizados, caso contrario aplicar las actualizaciones pendientes con Windows Update.
- Si tiene el protocolo de escritorio remoto (RDP) abierto a Internet, se recomienda restringir mediante firewall el acceso RDP sólo a IPs de confianza.
- En caso de no acceder remotamente a sus equipos mediante RDP, se recomienda bloquear el acceso al puerto 3389 en sus equipos de seguridad perimetrales.
Mayor información se puede encontrar en los siguientes artículos:
Fallo en ‘sudo’ permite ejecución irrestricta de código con privilegios de root
Se ha hecho pública una nueva vulnerabilidad (CVE-2019-14287) que afecta al comando central sudo que viene instalado en casi todos los sistemas operativos basados en UNIX y Linux. Este fallo podría permitir que un usuario malintencionado o un programa ejecute comandos arbitrarios como usuario root en un sistema Linux objetivo.
Las distribuciones afectadas son las siguientes versiones de Ubuntu y sus derivados:
- Ubuntu 19.04
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS
- Ubuntu 14.04 ESM
- Ubuntu 12.04 ESM
El fallo de seguridad puede ser corregido actualizando el paquete afectado, sudo, a la versión más reciente.
Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda actualizar el paquete afectado mediante la ejecución de los siguientes comandos:
$ sudo apt-get update
$ sudo apt-get --only-upgrade install sudo
Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:
- https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html
- https://usn.ubuntu.com/4154-1/
- https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14287.html
- https://unaaldia.hispasec.com/2019/10/fallo-en-sudo-permite-ejecucion-irrestricta-de-codigo-con-privilegios-de-root.html
Gracias de antemano por su atención.
TeamViewer Hackeado
FireEye, una de las comañías con mayor credibilidad entre la comunidad de la ciberseguridad, afirma que la aplicación TeamViewer fue hackeada por APT41, los atacantes tendrían acceso y podrían controlar cualquier computadora que haya iniciado sesión en la aplicación.
A pesar de no existir un comunicado oficial por parte de TeamViewer respecto a parches de seguridad, Telconet con el fin de precautelar la disponibilidad e integridad de su información, recomienda lo siguiente:
- Desinstalar y evitar el uso de la aplicación TeamViewer.
- En caso de ser indispensable su uso, realizar cambio inmediato de credenciales de acceso.
Para mayor información sobre la vulnerabilidad descrita consultar el siguiente enlace:
Nueva botnet aprovecha el 0day en vBulletin para infiltrar sus bots
El día 25 de septiembre de 2019 hablábamos de una vulnerabilidad zero-day que afectaba a instalaciones de vBulletin en su versión 5, en la publicación https://csirt.telconet.net/comunicacion/noticias-seguridad/zero-day-en-vbulletin/.
El mismo día que informábamos de la noticia, el experto en ciberseguridad Troy Mursch, detectó la actividad de una nueva botnet que aprovecha este fallo en el popular sistema de foros para comprometer las máquinas donde se encuentra.
Como dato curioso, el malware no solo compromete el sistema y lo convierte en un esclavo más del administrador de la botnet, sino que también bloquea a otros atacantes que intenten explotar la vulnerabilidad.
Para llevar a cabo sus acciones, los atacantes han utilizado un exploit que modifica el código del archivo «includes/vb5/frontend/controller/bbcode.php» permitiendo la ejecución de código de forma remota y bloqueando además a otros atacantes a través del parámetro $_REQUEST[«epass»], que requerirá una contraseña al atacante antes de ejecutar el eval($code) utilizado para ejecutar comandos en la máquina vulnerable.
En la captura de pantalla ofrecida por el equipo de Bad Packets puede verse la clave utilizada por el atacante: «2dmfrb28nu3c6s9j«.
Según Chaouki Bekrar, CEO y fundador de Zerodium, la empresa dedicada a la compra-venta de exploits, pudieron estar vendiendo este zero-day y su correspondiente exploit desde hace al menos tres años.
Según Mursch, la mayor actividad se concentra en los países de Vietnam, India o Brasil.
Les recordamos a todos los usuarios de vBulletin que podrían estar en riesgo y deberían aplicar cuanto antes el parche para la vulnerabilidad CVE-2019-16759.
Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces: