Esta semana en seguridad: Zombieload, ¿y su enrutador se está agotando?

¿Sabes lo que hace tu enrutador? Tenemos dos historias sobre el mal comportamiento de los dispositivos integrados. Primero, los enrutadores "inteligentes" de Linksys rastrean cada dispositivo que se conecta a su red. Bien, también lo son todos los demás enrutadores. Sin embargo, estos enrutadores también muestran de manera útil estos datos almacenados a través de JNAP / HNAP.

Aquí se necesitan algunos antecedentes. Primero, HNAP es el Protocolo de administración de redes domésticas, diseñado para administrar enrutadores y dispositivos de red. Originalmente diseñado por Pure Networks, HNAP es un protocolo basado en SOAP y ha sido parte de problemas de seguridad en el pasado. También puede ver el término JNAP. Parece que JNAP es el protocolo de administración de red JSON, idéntico a HNAP, excepto que usa JSON en lugar de SOAP.

La parte extraña es que este es un problema antiguo. CVE-2014-8244 se reveló y solucionó en 2014. Según la entrada en Badpackets.net, el problema se redescubrió como resultado de la observación de ataques de red activos dirigidos a JNAP. Cuando se informó a Linksys del problema recuperado, respondieron que el problema se solucionó en 2014 y que los dispositivos con firmware actualizado y configuraciones predeterminadas no son accesibles desde la Internet pública. La presencia de más de 20.000 dispositivos que filtran datos arroja dudas sobre su respuesta.

Enrutadores maliciosos y almacenamiento en la nube

Los investigadores de Eset estudiaron una puerta trasera llamada "Plead", dirigida principalmente a empresas asiáticas. En una publicación de blog reciente, describen un aumento en las infecciones derivadas de un nombre ejecutable "AsusWSPanel.exe". Sí, Asus vuelve a aparecer en nuestra columna semanal. Eset ha considerado la posibilidad de otro ataque a la cadena de suministro y, aunque no lo descartan por completo, sospechan firmemente que se trata de un ataque masculino. Cuando la aplicación Asus WebStorage busca actualizaciones, no utiliza conexiones cifradas ni ningún control. ¿El servidor tiene un número de versión más alto? Genial, descárgalo y ejecútalo. Se sabe que el grupo detrás de Plead ha utilizado vulnerabilidades de enrutadores en el pasado, por lo que no es posible suponer que la actualización de Asus sea secuestrada por un enrutador comprometido. Desafortunadamente, el escritor de Eset no revela qué enrutadores sospecha que son vulnerables.

Hablemos de enrutadores. Son computadoras integradas. Muchos de ellos se ejecutan en versiones anteriores de Linux sin empaquetar. Son pequeñas computadoras en tu red que no controlas y eso debería preocuparte. Muchos de ellos abren su interfaz de control por defecto a conexiones externas, a veces sin siquiera poder deshabilitar ese mal funcionamiento. Al considerar la seguridad de su red, no olvide el enrutador. OpenWRT, PFSense y otros son excelentes opciones.

Zombieload, o fusión con cualquier otro nombre

Probablemente hayas oído hablar de Zombieload, la próxima versión de Weak Melt. Esta clase de vulnerabilidades apunta a la ejecución especulativa, la capacidad de los procesadores modernos para ejecutar código para acelerar el proceso de ejecución general. Con el descubrimiento de Meltdown y Spectre en 2017, se abrió una nueva vía de investigación que condujo a Spectre-NG, Foreshadow, Spoiler, Fallout, RIDL y ahora Zombieload. Todos los ataques son similares en el sentido de que abusan de la ejecución especulativa para extraer el contenido de la memoria a un proceso irregular.

Zombieload se dirige específicamente a los procesos que operan en el mismo núcleo físico que el proceso de ataque. El póster que contiene su demostración muestra la capacidad de extraer información incluso cuando el atacante se está ejecutando dentro de una máquina virtual.

El concepto central de Zombieload es que debido a que los datos se cargan desde la memoria al caché del procesador, esos datos continúan en búferes entre la RAM y el caché. Un atacante puede abusar de la ejecución especulativa para determinar el contenido de esos búferes. Básicamente, esto le da al atacante una ventana al flujo de datos que fluyen hacia el procesador físico en el que opera, incluso si esos datos son de otro proceso o incluso de otra VM.

Hasta ahora, solo los procesadores Intel son vulnerables a Zombieload, y se ha lanzado un microcódigo actualizado para procesadores tan antiguos como los procesadores Core de segunda generación. Este microcódigo en realidad no resuelve el problema, sino que hace obsoleto un comando obsoleto, "VERW". Este comando permite que el sistema operativo elimine por la fuerza los búferes vulnerables al cambiar entre procesos o computadoras. El código de Linux es el más disponible para estudios posteriores. Windows y MacOS también han impulsado actualizaciones para realizar actualizaciones parciales de forma predeterminada, en los procesadores que han recibido las actualizaciones de microcódigo requeridas.

El último surco de Zombieload es SMT o Hyperthreading. El suavizado anterior ocurre cuando el kernel hace un "cambio de contexto", cuando descarga un hilo de ejecución y cambia a otro. Hyperthreading es básicamente el hardware del procesador que realiza el cambio de contexto, en lugar del kernel. Hace que algunas tareas sean mucho más rápidas, pero en este caso evita que el núcleo se asegure de que se lleve a cabo la mitigación de Zombieload. Para los casos de uso en los que es absolutamente necesario mitigar completamente Zombieload, la única solución posible es deshabilitar por completo SMT / Hyperthreading en los chips Intel.

Errata

La vulnerabilidad de RDP que abordamos la semana pasada tiene un nombre: Bluekeep. Es mejor que "Thrangrycat", al menos. También hay un código de prueba de concepto, así como una herramienta de escaneo.

  • D00med dice:

    Bajé mi enrutador a un punto de acceso simple hace mucho tiempo y ahora uso Raspberry Pi como mi enrutador (fácil de personalizar excepto que funciona el lado IPv6). Las razones incluyen lo desagradable que falla cada vez que no se han lanzado parches para él. edades, y tengo un control mucho mayor sobre las cosas con Raspberry Pi. Algo extraño que noté con mi enrutador (ahora como AP), por alguna razón satisface las solicitudes de ARP para cada dirección en la subred cada vez.

  • kdev dice:

    Oh, Intel, Intel, Intel ... ¿Alguien en esa empresa entiende el hardware a nivel de hardware? Y la solución es matar siempre el rendimiento del procesador en un 50%. Mientras tanto, los chips AMD pueden seguir funcionando al 100% sin filtrar datos importantes en todas partes.

    Piénselo, no recuerdo ni un ejemplo de un error de seguridad que afectó a AMD y no a Intel. ¿Alguien?

    • TT dice:

      Se volverá pesimista aquí. Casi me pregunto si no se han encontrado vulnerabilidades de AMD (de las que sabemos) simplemente porque los objetivos que los piratas informáticos malintencionados tienen en mente son más que probablemente utilizados por las CPU de Intel.

    • MBC dice:

      Todos los atajos de teclado que Intel usó para acelerar sus procesadores regresaron para morderlos en el trasero.

      • Ostraco dice:

        Sí, ¿y quién siguió exigiendo esas mejoras? Un rendimiento de un solo subproceso es lo que todo el mundo seguía golpeando (incluidos los revisores), sosteniéndolo sobre la cabeza de AMD en el inevitable pene E de "nuestro mejor que el tuyo", que se jacta. La gente consiguió lo que quería y ahora se queja del precio que supuso esa decisión. Si querían seguridad, sabían lo que podían comprar.

    • Salida151 dice:

      Es irónico y no entiendo cómo esto afecta a la AMD porque ...
      AMD otorga licencias de la tecnología x64 a Intel. Intel vendió (¿vende?) Derechos X86 a AMD, pero AMD derrotó a Intel en el juego de 64 bits (menos IA-64) e Intel básicamente pagó a AMD por el x64 / x86-64. Entonces, considerando las similitudes con lo que Intel usa al igual que AMD, ¿cómo es que (AMD) no afectan en absoluto?

      • Joel dice:

        AMD no especula

        • Jonathan Bennett dice:

          No creo que eso sea cierto. Solo utilizan diferentes enfoques y técnicas. Las mejoras de IPC de las que se jactan con cada nuevo procesador son el resultado directo de mejoras especulativas.

Fernando Román
Fernando Román

Deja una respuesta

Tu dirección de correo electrónico no será publicada.