Nuevo 0-day en Google Chrome está siendo utilizado para realizar ataques
Se ha detectado una reciente vulnerabilidad que afecta al navegador de Google que está siendo utilizada para atacar a usuarios y tomar el control de sus equipos.
Google ha lanzado la versión 78.0.3904.87 de su navegador, y está pidiendo a sus usuarios que actualicen su navegador lo antes posible. Esta nueva versión corrige dos vulnerabilidades graves.
La primera de las vulnerabilidades se encuentra en el componente de audio del navegador (CVE-2019-13720), mientras que la segunda afecta a la librería ‘PDFdium’ (CVE-2019-13721), utilizada por Chrome para la lectura de ficheros PDF.
Según Anton Ivanov y Alexey Kulaev, investigadores de Kaspersky, se han detectado ataques que utilizan la vulnerabilidad en el componente de audio como vector de entrada para la ejecución de código malicioso en el sistema de la víctima.
Google ha confirmado que tiene constancia de estos ataques en los que se aprovecha la vulnerabilidad en su navegador para atacar a sus usuarios. Además, ha asegurado que no proporcionará detalles sobre los fallos hasta que la mayoría de los usuarios hayan actualizado sus navegadores.
Ambas vulnerabilidades son de las conocidas como ‘use-after-free’. Este tipo de vulnerabilidades son las más habituales en el navegador de Google en los últimos meses. De hecho, hace un mes Google lanzó una actualización en la que corregía cuatro vulnerabilidades de este tipo, una de las cuales podía utilizarse para ejecutar código malicioso en el equipo.
Según los investigadores de Kaspersky, los ataques se han realizado a través de una web de noticias coreana comprometida por los atacantes. Estos colocaron los ‘exploits‘ en la web con el objetivo de comprometer a los visitantes que utilizasen una versión de Chrome vulnerable.
Script malicioso añadido a la web comprometida (Fuente: TheHackerNews)
El ‘exploit‘ es la primera etapa del ataque, que sirve para la instalación de un malware en el equipo comprometido. Según han afirmado los investigadores, dicho malware contiene en su código la información relativa al servidor de control, por lo que no se genera de forma dinámica.
Aún no se conocen los autores del ataque, sin embargo, Kaspersky ha afirmado que hay algunas similitudes con otros ataques del grupo ‘Lazarus’, aunque podría tratarse de simple coincidencia.
Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda lo siguiente:
- Actualizar a la última versión más reciente del navegador Google Chrome, disponible en la página oficial.
Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:
Ciberataques mediante BlueKeep con nuevo malware tipo Wannacry
Existen nuevos reportes sobre ciberataques a varias empresas internacionales, los atacantes explotaron la vulnerabilidad BlueKeep, que permite ejecución de código remoto mediante RDP (Remote Desktop Protocol) en equipos con sistemas operativos Windows 7, Windows Server 2008, and Windows Server 2008 R2.
Similar a Wannacry en estos ataques se infectaron ordenadores con ransomware dejando la información cifrada e inaccesible. En los ordenadores afectados se muestran mensajes de los atacantes solicitando rescate de la información a cambio de pago con criptomonedas (no especifica monto).
Se debe considerar que este malware puede propagarse rápidamente en una red vulnerable a BlueKeep.
Cabe mencionar que en mayo del presente año, Microsoft lanzó un parche de seguridad con la remediación de la vulnerabilidad BlueKeep, sin embargo muchos ordenadores no han sido actualizados y podrían ser comprometidos.
Telconet, con el fin de precautelar la disponibilidad e integridad de la información de nuestros clientes, recomienda lo siguiente:
- Es importante mantener los equipos actualizados, caso contrario aplicar las actualizaciones pendientes con Windows Update.
- Si tiene el protocolo de escritorio remoto (RDP) abierto a Internet, se recomienda restringir mediante firewall el acceso RDP sólo a IPs de confianza.
- En caso de no acceder remotamente a sus equipos mediante RDP, se recomienda bloquear el acceso al puerto 3389 en sus equipos de seguridad perimetrales.
Mayor información se puede encontrar en los siguientes artículos:
Fallo en ‘sudo’ permite ejecución irrestricta de código con privilegios de root
Se ha hecho pública una nueva vulnerabilidad (CVE-2019-14287) que afecta al comando central sudo que viene instalado en casi todos los sistemas operativos basados en UNIX y Linux. Este fallo podría permitir que un usuario malintencionado o un programa ejecute comandos arbitrarios como usuario root en un sistema Linux objetivo.
Las distribuciones afectadas son las siguientes versiones de Ubuntu y sus derivados:
- Ubuntu 19.04
- Ubuntu 18.04 LTS
- Ubuntu 16.04 LTS
- Ubuntu 14.04 ESM
- Ubuntu 12.04 ESM
El fallo de seguridad puede ser corregido actualizando el paquete afectado, sudo, a la versión más reciente.
Telconet, con el fin de precautelar la disponibilidad e integridad de su servicio, y el de nuestros clientes, recomienda actualizar el paquete afectado mediante la ejecución de los siguientes comandos:
$ sudo apt-get update
$ sudo apt-get --only-upgrade install sudo
Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces:
- https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html
- https://usn.ubuntu.com/4154-1/
- https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14287.html
- https://unaaldia.hispasec.com/2019/10/fallo-en-sudo-permite-ejecucion-irrestricta-de-codigo-con-privilegios-de-root.html
Gracias de antemano por su atención.
TeamViewer Hackeado
FireEye, una de las comañías con mayor credibilidad entre la comunidad de la ciberseguridad, afirma que la aplicación TeamViewer fue hackeada por APT41, los atacantes tendrían acceso y podrían controlar cualquier computadora que haya iniciado sesión en la aplicación.
A pesar de no existir un comunicado oficial por parte de TeamViewer respecto a parches de seguridad, Telconet con el fin de precautelar la disponibilidad e integridad de su información, recomienda lo siguiente:
- Desinstalar y evitar el uso de la aplicación TeamViewer.
- En caso de ser indispensable su uso, realizar cambio inmediato de credenciales de acceso.
Para mayor información sobre la vulnerabilidad descrita consultar el siguiente enlace:
Nueva botnet aprovecha el 0day en vBulletin para infiltrar sus bots
El día 25 de septiembre de 2019 hablábamos de una vulnerabilidad zero-day que afectaba a instalaciones de vBulletin en su versión 5, en la publicación https://csirt.telconet.net/comunicacion/noticias-seguridad/zero-day-en-vbulletin/.
El mismo día que informábamos de la noticia, el experto en ciberseguridad Troy Mursch, detectó la actividad de una nueva botnet que aprovecha este fallo en el popular sistema de foros para comprometer las máquinas donde se encuentra.
Como dato curioso, el malware no solo compromete el sistema y lo convierte en un esclavo más del administrador de la botnet, sino que también bloquea a otros atacantes que intenten explotar la vulnerabilidad.
Para llevar a cabo sus acciones, los atacantes han utilizado un exploit que modifica el código del archivo «includes/vb5/frontend/controller/bbcode.php» permitiendo la ejecución de código de forma remota y bloqueando además a otros atacantes a través del parámetro $_REQUEST[«epass»], que requerirá una contraseña al atacante antes de ejecutar el eval($code) utilizado para ejecutar comandos en la máquina vulnerable.
En la captura de pantalla ofrecida por el equipo de Bad Packets puede verse la clave utilizada por el atacante: «2dmfrb28nu3c6s9j«.
Según Chaouki Bekrar, CEO y fundador de Zerodium, la empresa dedicada a la compra-venta de exploits, pudieron estar vendiendo este zero-day y su correspondiente exploit desde hace al menos tres años.
Según Mursch, la mayor actividad se concentra en los países de Vietnam, India o Brasil.
Les recordamos a todos los usuarios de vBulletin que podrían estar en riesgo y deberían aplicar cuanto antes el parche para la vulnerabilidad CVE-2019-16759.
Para mayor información sobre la vulnerabilidad descrita consultar los siguientes enlaces: