5.4 C
Madrid
viernes, febrero 23, 2024
spot_img

Esta semana segura: GoDaddy, Joomla y ClamAV

Hemos visto algunas fallas graves de seguridad a lo largo de los años, y las noticias recientes de GoDaddy sobre una brecha que conduce a redireccionamientos de sitios web maliciosos podrían llamar la atención. La parte realmente jugosa está enterrada en la página 30 de una presentación en PDF en la SEC.

Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años de un grupo de actores sofisticados que, entre otras cosas, instalaron malware en nuestros sistemas y obtuvieron fragmentos de código relacionados con ciertos servicios dentro de GoDaddy.

Esta campaña de varios años parece remontarse al menos a octubre de 2019, cuando se accedió y modificó un archivo SSH, lo que resultó en la exposición de 28 000 nombres de usuario y contraseñas SSH de clientes. También hubo una brecha en 2021 del entorno de WordPress de GoDaddy, que estaba vinculado al mismo grupo.

Leyendo entre líneas, puede haber una implicación aquí de que los atacantes tenían una presencia continua en la red interna de GoDaddy durante este período de varios años; tenga en cuenta que la cita anterior se refiere a una sola campaña, no a varias campañas del mismo actor. Eso definitivamente sería malo.

El poder de persuasión de Joomla

Joomla tiene una vulnerabilidad crítica, CVE-2023-23752, que es una fuga de información trivial de un extremo web. Esta falla está presente en todas las versiones 4.x, hasta la 4.2.8, que contiene la corrección. El problema es la API Rest, que brinda acceso a prácticamente todo en un sitio determinado. Tiene un componente de autenticación, por supuesto. La solución es simplemente agregar ?public=true. Sí, es una buena y antigua sugerencia de fuerza «No necesitas ver su ID».

Incluso hay un script PoC que ejecuta la consulta y arroja los datos más interesantes: el nombre de usuario, la contraseña y la identificación de usuario contenida en los datos. No es tan grave como parece: la API en realidad no filtra el nombre de usuario y la contraseña administrativos, ni siquiera el hash de la contraseña. Filtra información de la base de datos SQL. Sin embargo, si se puede acceder a su base de datos desde Internet, eso es tan malo como parece.

ClamAV se ahoga en DMG y HFS

Es posible que no esté familiarizado con ClamAV. Es un antivirus de código abierto y se utiliza principalmente para escanear automáticamente correos electrónicos y archivos adjuntos. Si su correo electrónico pasa por un servidor de correo basado en Linux, es muy probable que ClamAV realice una verificación de virus en su correo entrante. Es por esto que el par de vulnerabilidades que acabamos de anunciar podrían ser muy malas noticias.

ClamAV hace más que simples comparaciones de valores hash y, para algunos tipos de archivos, procesa, descomprime y escanea el archivo en busca de datos maliciosos. Este tipo de investigación detallada es un arma de doble filo. Sí, detectará más malware, pero solo se necesita un error en un escáner para tener un problema. Y ClamAV tenía dos.

CVE-2023-20052 es una inyección de XML eXternal Entity (XXE) en el manejo de archivos DMG. Esta inyección puede conducir potencialmente a una fuga de información remota, y los detalles rudimentarios están disponibles en línea. Investigadores externos han abordado una fuga de archivos cuando ClamAV se ejecuta en modo de depuración. Basado en la revisión, hay más en la historia.

Y luego CVE-2023-20032 es el malo. Los archivos HFS+ pueden tener un formato incorrecto para desencadenar un desbordamiento de búfer. Es una falla simple, que permite a un atacante especificar la asignación de memoria, los datos para copiar, así como la longitud de los datos para escribir. Suena como una ejecución remota de código trivial, excepto que, como señalaron los investigadores de OneKey, todas las distribuciones de Linux que valen la pena usan el bit NX, un canary de pila, ejecutables independientes de la posición y técnicas de endurecimiento similares para dificultar la operación. Como mínimo, convertir esto en un RCE completo requerirá una vulnerabilidad de fuga de información adicional, probablemente más utilizable que el problema de XML mencionado anteriormente. Incluso sin esto, esta falla hace que sea trivial que el proceso de ClamAV se bloquee en un servidor de correo. De todos modos, se han lanzado actualizaciones para solucionar ambos problemas.

Bits y bytes

Después de que las empresas legítimas abrieran el camino con ofertas *-as-a-Service, los delincuentes siguieron su ejemplo, especialmente con ofertas de spam y ransomware. Ahora podemos agregar otro servicio a las filas, el phishing como servicio. Y es una lectura divertida, ya que los investigadores de Cyberark encontraron un archivo en el servidor de phishing y usaron la información para infiltrarse en el canal de Telegram del estafador.

Extensiones del navegador. ¿Qué tan peligrosos pueden ser? [Matt Frisbie] eche un vistazo y muestre lo que ya deberíamos saber: ejecutar código no confiable es una mala idea. La buena noticia es que la solicitud de permiso es precisa, pero la mayoría de las extensiones del navegador necesitan permisos peligrosos para hacer algo útil. Y tenga en cuenta que cualquier extensión de navegador confiable está lejos de ser una actualización maliciosa, al estilo de The Great Suspender y similares.

¿Quieres sumergirte en la madriguera del conejo de la vulnerabilidad de PlayStation y la investigación casera? Es una secuela de mast1c0re, que implica activar un error en la emulación de PS2 de PS4 y PS5, y luego escapar de ese contexto de emulación. ¿Quizás veamos un regreso a la instalación de Linux en PlayStations más nuevas como resultado?

La investigación de seguridad en las plataformas macOS e iOS de Apple continúa, con el reciente descubrimiento de una nueva vulnerabilidad. Este se basa en See No Eval, y se trata de abusar de la función NSPredicate. Parece una clase de uso limitado para filtrar datos, pero realmente permite ejecutar código arbitrario en otro proceso. La noticia es que algunas de las mitigaciones de este exploit se eluden fácilmente, simplemente preguntando amablemente.

Ahora, para un último par de historias que aún no están terminadas esta semana: espere una nueva versión estable de ZoneMinder para corregir algunas fallas encontradas en un evento Capture the Flag, ¡próximamente ™! Actualización: está aquí ¿Y por qué Intel lanzó un nuevo aviso de seguridad para una falla de BMC que se descubrió y parchó en 2021? Abundan los misterios.

Artículos relacionados

Dejar respuesta

Please enter your comment!
Please enter your name here

- Anuncio -spot_img

Últimos artículos

3,913SeguidoresSeguir
0suscriptoresSuscribirte