RegreSSHion: cómo funciona el bug en OpenSSH; aparece una nueva campaña del troyano Mekotio en Argentina
La vulnerabilidad da permisos root pero es muy difícil de explotar, TeamViewer contó cómo los hackearon y Wise fue afectado por el ransomware a Evolve Bank and Trust.
Dark News es un resumen semanal de noticias de ciberseguridad. Los temas están seleccionados y producidos por Juan Brodersen según estos criterios de edición.
28 jun>
5 jul
⚡ TL;DR
Una nueva vulnerabilidad crítica puso al mundo de la ciberseguridad a hablar de un mismo tema esta semana: regreSSHion, un bug que afecta a OpenSSH en Linux (glbic), con una buena y una mala noticia. La mala es que es muy peligroso, ya que permite conseguir privilegios root y correr código en equipos remotos. La buena, que es muy difícil de explotar.
El bug fue descubierto y publicado por Qualys y, según coincidieron diversos expertos, el alcance es grande pero el nivel de condiciones que se tienen que dar para su explotación es muy alto, además de ser más difícil en sistemas modernos (64 bit). Sin embargo, el caso generó diversos intentos para obtener PoCs e investigaciones para entender ante qué tipo de vulnerabilidad se enfrentan los servidores alrededor del mundo.
En el plano local, la semana pasada terminó con una gran campaña de phishing de Mekotio, uno de los troyanos bancarios más conocidos de América Latina, que esta vez tuvo un foco particular en Argentina. Durante la tarde del viernes 28 de junio, varios bancos mandaron comunicaciones internas para advertir sobre la situación.
Entre las amenazas, hubo un caso de ransomware que no llegó a los medios y algunos robos de datos que aparecieron en foros cibercriminales, como una base de datos a la venta del Casino de Buenos Aires. En Santa Fe, llegaron a bloquear 385 sitios de apuestas ilegales online.
A nivel regional, un usuario colocó a la venta una base de datos que pertenecería a la empresa de envíos colombiana Rappi con lo que serían 52 millones de registros. Afectaría a Colombia, Perú, México, Brasil y Chile. Nic Chile, el administrador de dominios chileno, reportó un incidente de seguridad. Y Brasil fue noticia en relación a temas de privacidad: la Agencia de Protección de Datos Personales le prohibió a Meta usar información generada en el país para entrenar a sus modelos de IA.
En el campo de los análisis, identificaron a un nuevo actor de ransomware llamado Volcano Demon, salió un reporte nuevo sobre FakeBat y MalwareBytes detectó un nuevo stealer para Mac que se propaga por Google Ads, llamado Poseidon.
Otro research que me llamó la atención durante la semana fue una investigación en la cual se usaron infostealers para identificar a pedófilos y consumidores de pornografía infantil. Y Brian Krebs publicó un reportaje sobre uno de los brokers de accesos más conocidos del underground, “x999xx”, que vale la pena leer para entender las conexiones que tuvo durante los últimos años con el grupo de ransomware LockBit.
Cierro con un tema que no está estrictamente relacionado a ciberseguridad, pero sí vinculado. Esta semana se llevó a cabo la versión 2024 de ISCA, el International Symposium on Computer Architecture, en Argentina. Se trata de un congreso donde hay discusiones de elite sobre arquitectura computacional, y es la primera vez que se realiza en el país. Vinieron personalidades como Dean Tullsen, uno de los padres del multithreading, para que se entienda el calibre del evento.
A pesar del perfil técnico de la conferencia, me pareció interesante cubrirlo para el diario. Dentro del universo del research académico, hubo una serie de discusiones sobre encriptado homomórfico, algo que se viene charlando hace rato en el ambiente y que, aseguran, podría cambiar el estándar en el manejo de datos: procesar la información encriptada, algo que lleva muchísimos más recursos que los que se usan actualmente, aunque las principales empresas que trabajan con grandes volúmenes de datos ya la están discutiendo (AWS, Azure, Google).
Si bien no es una propuesta nueva, parece ser un tema para investigar con más detenimiento en un futuro, tanto desde el lado de la industria como el del impacto en el usuario final.
Dark News #89
Leer este correo te va a llevar 14 minutos.
Bloka, el líder en Servicios de Seguridad Gestionados (MSSP) y SOC-as-a-Service (SOCaaS) en Argentina, ofrece protección continua, inteligente, adaptativa y accesible. Su equipo de expertos garantiza soluciones personalizadas y un acompañamiento integral, protegiendo los activos digitales y la continuidad operativa de sus clientes con calidad y transparencia.
👾 Qué se sabe de regreSSHion, el bug del que habló la comunidad toda la semana
Durante el lunes, Qualys dio a conocer una nueva vulnerabilidad en OpenSSH, registrada como CVE-2024-6387, que permite correr código en sistemas remotos con privilegios root. Se habla de al menos 14 millones de instancias de servers afectadas, en tanto el bug afecta a sistemas Linux basados en el compilador glibc. Impacta a todas las versiones desde 2020 para acá.
“regreSSHion es una ejecución de código remoto no autenticado en servidores OpenSSH (sshd) que habilita permisos root completos. Afecta las configuraciones por defecto y no requiere interacción de usuario. Representa un riesgo de explotación significativo”, explicó Qualys, que desarrolló el exploit para sistemas de 32 bit. También es posible correrlo en 64, aunque más difícil.
Su nombre se debe a que funciona del mismo modo que CVE-2006-5051, pubicado en 2006. Dark News consultó a Teno, researcher independiente, para entender qué alcance tiene este bug. Lo primero que aclaró es qué es una vulnerabilidad race condition:
Podemos definir que una vulnerabilidad dada por una race condition es cuando el comportamiento de un sistema depende de un cronometrado (o secuencia) de eventos. Cuando ese cronometrado o secuenciado es pobre, ya sea por mala programación o por tecnología de programación obsoleta, permite a un atacante inyectar código propio dentro de esa cadena de eventos.
Hecha esta aclaración, Teno explicó el alcance del exploit y coincidió en que la explotación es difícil, aunque el reward es grande: privilegios root.
El objetivo de la explotación de este fallo es generar una caída en cascada de posiciones de memoria que usa el servicio OpenSSH (y cuyo usuario ejecutor es root) y de esta manera poner el servicio en modo inconsistente para recién ahí lograr una ejecución remota de comandos, con elevación de privilegios directa. Pero para que esta situación sea favorable, el cronograma del ataque tiene que ser perfecto, se debe conocer de antemano la arquitectura del sistema y al ser llevado a cabo mediante una race en la RAM, cualquier cosa en el medio que afecte ese timing te tira abajo y tenes que empezar otra vez. Esto se debe a cómo se organiza la RAM (la parte libre y dinámica, el "heap").
Acá viene la parte técnica. Según Teno es necesario dividir el exploit en distintos pasos. En su explicación:
Race Condition jugando con las conexiones y apostando a que OpenSSH coloque bloques de memoria de forma conocida, que puedan tumbarse para lograr el estado inconsistente
Ejecución remota de comandos ya con la elevación de privilegios, porque el servicio OpenSSH lo ejecuta root
Esto hace que la cantidad de intentos para lograr uno efectivo y eficiente sea muy alta (estamos hablando de horas ejecutando un exploit sobre un sistema vulnerable)
En cuanto a qué sistemas son más vulnerables, explicó:
Es más vulnerable un sistema de 32 bit porque el manejo del heap es más robusto, en líneas generales, en un sistema de 64b (es mejor 64b que 32b). Es efectivo en sistemas Linux basados en glibc por el manejador de memoria, pero deja una ventana abierta a firmwares embebidos que usen OpenSSH.
Sobre la gravedad del fallo, el analista explicó:
Es un fallo muy severo por dónde lo mires, porque cronometrando conexiones podés prever cómo se va a comportar la RAM de un sistema, cómo vas a causar una situación inestable del servicio y, ya generada esa ventana, el código a ejecutar remotamente ya queda cargado en la memoria RAM porque lo llevaste en esas "fichas de dominó" que usaste antes.
En cuanto a detectabilidad, Teno asegura que es detectable porque “es bastante ruidoso si la red está monitoreada de forma correcta e incluso es altamente mitigable si la red tiene un IPS, porque la naturaleza del ataque genera tráfico de red predecible (literalmente vas a ver que un server recibe tráfico SSH durante horas)”.
Por otro lado, Sheila Berta, investigadora argentina y review board en Black Hat USA, hizo un verificador de la vulnerabilidad. Explicó, en diálogo con este medio:
Las versiones de OpenSSH afectadas son muchas, una serie de versiones muy viejas y otras más nuevas. Por ese motivo, muchos comentaban que era complicado saber si tus servidores tienen una de las versiones vulnerables. Entonces escribí una regex que “matchea” correctamente las versiones de OpenSSH vulnerables, para facilitar la detección. Armé un template para Nuclei que extrae el banner (versión de software) del servidor y verifica la versión utilizando dicha regex. En caso de ser vulnerable, el template dará positivo.
La vulnerabilidad ya tiene parche, y se puede acceder en este elnace.
📧 Nueva campaña de Mekotio apunta a Argentina
Una campaña de phishing llamó la atención el viernes pasado por la tarde, cuando una gran cantidad de clientes recibió correos electrónicos con un PDF. Al bajarlo, se iniciaba una cadena de infección que terminaba en la descarga del conocido troyano bancario Mekotio, uno de los más populares de la región junto a Grandoreiro.
El caso impactó fuerte en Argentina: todos los sectores de ciberseguridad de los bancos comenzaron a alertar la situación, y los principales jugadores como Santander, Galicia y BBVA enviaron comunicaciones internas para alertar a potenciales clientes afectados.
Dark News contactó a Agustín Merlo, analista de malware, para entender el alcance de este ataque y la cadena de infección:
El viernes pasado se detectó una campaña masiva por mail del troyano bancario Mekotio. Los correos tenían contenidos relacionado a citaciones, facturas vencidas, multas, intimaciones y temas relacionados a AFIP. En uno de los casos que analicé, el mensaje contenía un archivo PDF con una imagen que, al hacerle click, nos redirigía a un sitio que descargaba una supuesta factura. Al bajarla, captcha mediante, esto nos daba un archivo .zip que tenía comprimido otro archivo con extensión .msi. Una vez ejecutado, comienza la infección del equipo y ya pasaría a ser monitoreado por los ciberdelincuentes.
Merlo recordó además cómo proceden estos dos troyanos, muy populares en América Latina, en particular en Brasil y Argentina:
Tanto Mekotio como Grandoreiro, una vez que infectan un equipo, detectan cuando la víctima abre su Home Banking a través del navegador. Allí el delincuente recibe una alerta y empieza a tomar el control del equipo víctima mostrando imágenes que simulan ser una actualización, mientras que detrás de la imagen el operador del troyano continúa navegando por el homebanking para hacer transferencias desde la cuenta de la víctima. Al solicitar un token, ellos utilizan el mismo método de mostrar imágenes junto a un espacio para que la víctima ingrese por su cuenta el Token para aceptar la transferencia.
En cuanto a medidas de seguridad, no está de más recordar:
Es recomendable estar atentos con los mails de facturas, multas y pagos que recibimos por mail. También si al estar navegando por nuestro Home Banking aparece una imagen de actualización que no nos permita utilizar el equipo, al mismo tiempo entender que el Token del banco debe ser utilizado solamente para transferencias, es decir, hay que sospechar inmediatamente que si nos piden el token es porque se está por realizar una transferencia.
Diversos analistas publicaron indicadores de compromiso y dominios de landings fraudulentas. Mekotio lleva años operando en la región y no es nuevo, pero lo interesante de esta campaña tiene que ver con la cantidad de pasos que tiene el ataque hasta llegar al momento en el que, efectivamente, se instala un software malicioso.
Trend Micro publicó este jueves un reporte, junto a los IoC.
En febrero de este año, la base operativa de Grandoreiro fue desarticulada por un conjunto de fuerzas de seguridad. Sin embargo, tanto Mekotio como Grandoreiro siguen siguen muy activos.
🏦 Wise, impactada por el ransomware a Evolve Bank and Trust
Dos grandes compañías fueron afectadas por cadena de suministro luego del ransomware al banco Evolve Bank & Trust: la plataforma financiera Wise y Affirm, fintech basada en préstamos y cuotas.
Se trata de un ataque supply chain puro y duro: Evolve Bank and Trust reveló un ciberataque que derivó en el robo de una gran cantidad de datos de usuarios, expuso información sensible vinculada a más de 150.000 cuentas y también fallos de seguridad. Y, más allá de los datos de usuarios internos, esto provocó un efecto cascada en distintos partners que lo fueron comunicando durante la semana.
Entre las aplicaciones afectadas está Wise, muy usada en todo el mundo para cobrar en divisa norteamericana. La empresa emitió un comunicado sobre el breach: “Evolve Bank & Trust es un banco regulado con el que trabajamos entre 2020 y 2023, para poder proporcionarte en el pasado los datos de tu cuenta en la divisa de USD. Recientemente, se han visto afectados por una filtración de datos y es posible que algunos de tus datos personales también se hayan visto afectados”.
Además, explicaron que “para que Evolve Bank & Trust pudiera proporcionar datos de cuenta en USD a los clientes de Wise, necesitaban conservar información de identidad” y que Wise ya no trabaja con Evolve luego del breach. La plataforma envió correos a sus usuarios para advertir sobre la situación.
Los datos robados originalmente incluyen información personal identificable, como nombres, direcciones, números de la seguridad social y de identificación fiscal, fechas de nacimiento, saldos de cuentas y direcciones de correo electrónico. Y en esa cadena de suministro, los datos quedaron vinculados a 155.586 cuentas asociadas también a otras empresas como Bitfinex, Nomad y Copper Banking.
El caso de Evolve and Trust también dejó algunas piezas en el rompecabezas global del ransomware, en tanto el histórico grupo Lockbit, que sufrió un takedown de su sitio a comienzos de año, subió un posteo en el que aseguraba tener información de la Reserva Federal de los Estados Unidos. Sin embargo, luego se supo que esto no era cierto y que la víctima era la entidad bancaria.
💻 TeamViewer explicó cómo lograron filtrar información interna
TeamViewer, uno de los programas de acceso remoto más usados del mundo, comunicó durante la semana pasada un ciberataque que derivó en un breach. Además de apuntar contra APT29 (Cozy Bear, Midnight Blizard para Microsoft) como responsable del ataque, ahora dieron detalles sobre cómo entraron.
Según explicaron en un comunicado, el acceso fue por una cuenta comprometida de un empleado que le permitió a los hackers breachear el ecosistema IT de la compañía, luego de lo cual pudieron robar passwords encriptados. Destacaron, además, que el ataque no llegó a la instancia de producto, es decir, al programa al que acceden los usuarios. Explicaron en el comunicado:
El actor de amenazas aprovechó una cuenta comprometida de un empleado para copiar datos del directorio de empleados, es decir, nombres, información de contacto corporativa y contraseñas cifradas para nuestro entorno de IT corporativo interno. El riesgo asociado a las contraseñas cifradas contenidas en el directorio se mitigó en colaboración con los principales expertos de nuestro socio de respuesta a incidentes, Microsoft. Hemos reforzado al máximo los procedimientos de autenticación internos y hemos implantado más capas de protección.
Por el tipo de software que es TeamViewer, diversas organizaciones publicaron advertencias internas sobre el programa, aunque el breach no afectaría este entorno del usuario final.
Diversos medios especializados le consultaron a TeamViewer cómo fue el acceso, debido a que el robo de contraseñas denota un ataque con cierta sofisticación para bypassear medidas de seguridad (MFA). Sin embargo, la empresa no hizo declaraciones sobre este punto.
APT29 es un conocido grupo patrocinado por estados cuyas operaciones se atribuyen con alto grado de confianza a Rusia. Está activo desde 2008 y es conocido como Cozy Bear, aunque Microsoft la renombró a Midnight Blizzard según su (ya no tan) nuevo sistema de nomenclaturas. La propia Microsoft fue víctima de un breach, producto de un password-spraying, a principios de año.
TeamViewer es usado por 640 mil clientes y se estima que está instalado en 2.5 mil millones de dispositivos en todo el mundo.
🤖 Brasil: prohíben a Meta usar información para entrenar sus modelos de IA
La Autoridad Nacional de Protección de Datos (ANPD) brasileña determinó este martes que Meta, empresa matriz de Instagram, Facebook y WhatsApp -entre otras-, no podrá usar más información originada en Brasil par entrenar sus modelos de inteligencia artificial.
La medida preventiva de la ANPD se publicó el martes en el boletín oficial de Brasil y pone en suspenso el tratamiento de datos personales en todos los productos de Meta. La autoridad, dependiente del Ministerio de Justicia brasileña, fijó una multa diaria de 50 mil reales (unos 8 mil dólares) en caso de incumplimiento.
La ANPD citó en su decisión el "riesgo inminente de daños graves e irreparables o de difícil reparación a los derechos fundamentales de los titulares afectados."
Meta tendrá que adaptar su política de privacidad para excluir la sección relacionada con el tratamiento de datos personales para el entrenamiento generativo de IA. También tendrá que presentar una declaración oficial diciendo que suspendió el tratamiento de datos personales para ese fin.
La empresa dijo, a través de un vocero, que está “decepcionada” e insiste en que su método “cumple con las leyes y reglas de privacidad de Brasil”.
🔗 Más info
La Fédération Internationale de l'Automobile, bajo la que se encuentra la F1, sufre un breach
Roban datos de 2.5 millones de clientes de Prudential
Twilio comunica que hackers lograron acceder a números de teléfono de usuarios de la app 2FA Authy
Breach en el mailing de Ethereum
Proton lanza una “versión privada” de Google Docs
Arrestan a 54 españoles que eran parte de un esquema de vishing
Descubren tres nuevos grupos cibercriminales que realizan phishing para apuntar a compañías de alto target