Esta semana en seguridad: GoDaddy, Joomla y ClamAV
Hemos visto algunos fallos de seguridad graves a lo largo de los años, y la reciente noticia de GoDaddy sobre una brecha que conduce a redireccionamientos de sitios web fraudulentos podría hacer el carrete más destacado. La parte realmente jugosa está enterrada en la página 30 de una presentación en PDF a la SEC.
Basándonos en nuestra investigación, creemos que estos incidentes forman parte de una campaña de varios años de un sofisticado grupo de actores de amenazas que, entre otras cosas, instaló malware en nuestros sistemas y obtuvo piezas de código relacionadas con algunos servicios dentro de GoDaddy.
Esa campaña de varios años parece remontarse al menos a octubre de 2019, cuando se accedió a un archivo SSH y se alteró, lo que llevó a que 28,000 nombres de usuario y contraseñas SSH de clientes quedaran expuestos. También hubo una brecha en 2021 en el entorno de WordPress de GoDaddy, que se ha vinculado al mismo grupo.
Leyendo entre líneas, puede haber una implicación aquí de que los atacantes tenían una presencia continua en la red interna de GoDaddy durante todo ese período de varios años - tenga en cuenta que la cita anterior se refiere a una sola campaña, y no a múltiples campañas del mismo actor. Eso sería decididamente malo.
Persuasión por la fuerza de Joomla
Joomla tiene una vulnerabilidad crítica, CVE-2023-23752, que es una fuga de información trivial desde un endpoint web. Este fallo está presente en todas las versiones 4.x, hasta la 4.2.8, que contiene la corrección. El problema es la API Rest, que da acceso a casi todo sobre un sitio determinado. Tiene un componente de autenticación, por supuesto. La solución es simplemente añadir ?public=true
. Sí, es una buena vieja sugerencia de fuerza "No necesitas ver su identificación".
Hay incluso un script PoC que ejecuta la petición y escupe los datos más interesantes: el nombre de usuario, la contraseña y el identificador de usuario contenidos en los datos. No es tan desastroso como parece: la API no está filtrando el nombre de usuario y la contraseña administrativos, ni siquiera el hash de la contraseña. Está filtrando la información de la base de datos SQL. Aunque si su base de datos es accesible desde Internet, entonces eso es casi tan malo como podría ser.
ClamAV se ahoga con DMG y HFS
Puede que no esté familiarizado con ClamAV. Es un antivirus de código abierto, y se utiliza principalmente para escanear automáticamente correos electrónicos y archivos adjuntos. Si su correo electrónico fluye a través de un servidor de correo basado en Linux, hay una buena probabilidad de que ClamAV haga una comprobación de virus en su correo entrante. Por eso, el par de vulnerabilidades que se acaban de anunciar podrían ser muy malas noticias.
ClamAV hace más que simples comparaciones de valores hash y, para algunos tipos de archivos, los procesa, descomprime y analiza en busca de datos maliciosos. Este tipo de investigación detallada es un arma de doble filo. Sí, detectará más malware, pero basta un error en un analizador para tener un problema. Y ClamAV tenía dos.
CVE-2023-20052 es una inyección de entidad XML eXterna (XXE) en el manejo de archivos DMG. Esta inyección puede potencialmente conducir a una fuga de información remota, y detalles rudimentarios están disponibles en línea. Investigadores de terceros han logrado una fuga de archivos cuando ClamAV se ejecuta en modo de depuración. Basándonos en el aviso, hay más en la historia.
Y luego CVE-2023-20032 es el malo. Los archivos HFS+ pueden ser malformados para desencadenar un desbordamiento del buffer heap. Es un fallo simple, que permite a un atacante especificar la asignación de memoria, los datos a copiar, así como la longitud de los datos a escribir. Suena a Ejecución Remota de Código trivial - excepto que, como señalan los investigadores de OneKey, toda distribución de Linux que se precie utiliza el bit NX, un canario de pila, ejecutables independientes de posición y otras técnicas de endurecimiento para dificultar la explotación. Como mínimo, convertir esto en un RCE completo va a requerir una vulnerabilidad adicional de fuga de información, probablemente una más utilizable que el problema XML mencionado anteriormente. Incluso sin eso, este fallo hace que sea trivial bloquear el proceso ClamAV en un servidor de correo. En cualquier caso, se han publicado actualizaciones que solucionan estos dos problemas.
Bits y Bytes
Después de que las empresas legítimas abrieran camino con ofertas *-as-a-Service, los delincuentes han seguido su ejemplo, sobre todo con ofertas de spam y ransomware. Ahora podemos añadir otro servicio más a las filas, el phishing como servicio. Y es una lectura divertida, porque los investigadores de Cyberark encontraron un archivo en el servidor de phishing, y utilizaron la información para infiltrarse en el canal de Telegram del estafador.
Extensiones del navegador. ¿Hasta qué punto pueden ser peligrosas? [Matt Frisbie] echa un vistazo y demuestra lo que ya deberíamos saber: ejecutar código no fiable es una mala idea. La buena noticia es que la solicitud de permisos es correcta, pero la mayoría de las extensiones del navegador necesitan permisos peligrosos para hacer algo útil. Y ten en cuenta que cualquier extensión de navegador de confianza está a una actualización de ser maliciosa, a-la The Great Suspender y otras.
¿Quieres sumergirte en la madriguera del conejo de la vulnerabilidad de PlayStation y la investigación homebrew? Es la continuación de mast1c0re, que trata de activar un error en la emulación PS2 de PS4 y PS5, y luego escapar de ese contexto de emulación. ¿Quizás veamos un retorno de la instalación de Linux en las nuevas PlayStation como resultado?
La investigación de seguridad en las plataformas MacOS e iOS de Apple continúa, con el reciente descubrimiento de una nueva vulnerabilidad. Esta se basa en See No Eval, y se trata de abusar de la función NSPredicate
de Apple. Parece una clase de uso limitado para filtrar datos, pero en realidad permite ejecutar código arbitrario en otro proceso. La nueva noticia es que algunas de las mitigaciones para este exploit son fáciles de eludir, simplemente preguntando amablemente.
Y ahora, un par de noticias que aún no están listas esta semana: Esperamos una nueva versión estable de ZoneMinder para corregir algunos fallos encontrados en un evento de Captura la Bandera Próximamente. Actualización: Ya está aquí ¿Y por qué ha publicado Intel un nuevo aviso de seguridad para un fallo de BMC que se encontró y solucionó en 2021? Abundan los misterios.