Investigadores han demostrado una nueva clase de ataques que permitirían romper a la integridad de documentos PDF con firma digital
Denominada como “Shadow attacks” por los investigadores, la técnica
no explota ningún bug en los clientes, sino que se aprovecha de la
enorme flexibilidad del estándar PDF.
La idea principal detrás de este ataque es el concepto de capas.
Diferentes conjuntos de contenido que pueden apilarse unos encima de
otros, dentro de un mismo documentos PDF. Una vez firmado el documento, es posible realizar modificaciones que no afectan a la firma, pero que permiten alterar qué capa está visible.
Para llevar a cabo el ataque, se prepara un documento PDF con dos
contenidos distintos: uno que será presentado a la persona que va a
realizar la firma digital , y otro que será visible tras ésta, y que
puede alterar la integridad del mensaje firmado.
La técnica fue presentada el pasado día 22 en el NDSS, y está
disponible en un paper donde se analizan en detalle las diferentes
maneras de alterar los documentos, abusando de características propias
del estándar PDF y que, en el momento de su descubrimiento, afectaba a
16 de las 29 aplicaciones que se analizaron.
Cisco ha publicado nuevos parches de seguridad que corrigen vulnerabilidades críticas que afectan a los productos Application Centric Infrastructure (ACI) Multi-Site Orchestrator (MSO), la familia de switches Cisco Nexus 3000 y Cisco Nexus 9000, y el motor de servicios Cisco Application Services Engine.
Algunas de las vulnerabilidades detectadas han sido establecidas con una puntuación de 10 (sobre 10) en el sistema de puntuación CVSS (Common Vulnerability Scoring System) v3.
El parche de seguridad que afecta a los productos ACI MSO, corrige un fallo de seguridad en el sistema de autenticación. La vulnerabilidad, con código CVE-2021-1388, ha sido clasificada con una puntuación de 10 en CVSS v3.
CVE-2021-1388: Esta permite a un atacante, sin
necesidad de estar autenticado, realizar un bypass del sistema de
autenticación a través de una petición especialmente diseñada sobre la
API de los productos ACI MSO. El parche de seguridad se encuentra
disponible en el siguiente enlace.
Además, Cisco a publicado un parche para corregir un fallo en la implementación de la gestión de ficheros interna que afecta a la serie de switches Cisco Nexus 3000 y Cisco Nexus 9000. La vulnerabilidad ha sido identificada con el código CVE-2021-1361,
con una puntuación de 9.8 en CVSS v3. La vulnerabilidad afecta a todos
los productos de las series Cisco Nexus 3000 y 9000 por defecto.
CVE-2021-1361: La vulnerabilidad permite a un
atacante crear, borrar o sobreescribir ficheros con privilegios de
administración (root), y por consiguiente, pudiendo crear cuentas de
usuario del dispositivo afectado sin la autorización del usuario
administrador legítimo. El parche de seguridad se encuentra disponible
en el siguiente enlace.
Por último, se ha liberado un parche de seguridad sobre el motor de servicios Cisco Application Services Engine, que corrige un fallo de seguridad sobre el sistema de control de acceso basado en privilegios de la API. Las vulnerabilidades han sido identificadas con los códigos CVE-2021-1393 y CVE-2021-1396, con una puntuación de 9.8 en el sistema CVSS v3.
CVE-2021-1393 y CVE-2021-1396:
Ambas vulnerabilidades permiten a un atacante acceder a servicios
privados con necesidad de privilegios sobre la API, evitando el sistema
de control de acceso del mismo. El parche de seguridad se encuentra
disponible en el siguiente enlace.
Además de las anteriores, Cisco ha publicado parches de seguridad sobre vulnerabilidades de riesgo alto que afectan a múltiples productos de la compañía. Las vulnerabilidades han sido identificadas con los códigos CVE-2021-3156, CVE-2021-1228, CVE-2021-1227, CVE-2021-1387 y CVE-2021-1230.
Desde Hispasec, y debido al alto riesgo de las vulnerabilidades detectadas, recomendamos aplicar los parches de seguridad de Cisco sobre los productos afectados a la mayor brevedad posible.
El año pasado ya pronosticaban los expertos que 2021 seguiría cargado de ransomware. No se hizo esperar con Babuk
(Babuk Locker, Babyk Ransomware. Vasa Locker), un nuevo ransomware que
asomó a nuestras vidas a principios de Enero de 2021, y que usa algunas
de las técnicas presentes en otras familias.
Entra dentro de lo que conocemos como RaaS (Ransomware-as-a-Service),
donde diferentes actores participan en la creación del código y su
posterior distribución. Los atacantes por lo general pedirán rescate,
pero también amenazarán con la publicación del contenido. Precisamente,
como se describe en un artículo anterior de este mismo medio, el código de CyberPunk 2007 fue vendido este febrero justamente tras ser la compañía víctima de un ransomware.
Conforme al informe publicado por McAfee el pasado 23 de Febrero,
diferentes sectores se han visto afectados en todo el mundo por Babuk,
entre los que destacan: servicios de asistencia sanitaria, instituciones
bancarias y financieras, hosting y transportes. El mapa de severidad
proporcionado por la herramienta MVISION de McAfee muestra que España y
Chile son dos de los países más afectados en el momento de redacción de
este artículo.
Los informes de los analistas indican que por lo general el código no
se encuentra ofuscado, aunque las últimas variantes registradas en
febrero aparecen empaquetadas.
Algunos comentarios de autores vinculados con este malware (biba99,
RAIDforums), apuntan a nuevas variantes para sistemas Unix.
Comentario de usuario biba99 en RAIDforums
Entre la operativa habitual comprueba los servicios en ejecución para detener aquellos que permitirían su detección o análisis.
También incluye una lista de procesos que cerrar en caso de encontrarse
en la máquina afectada. Tras preparar el entorno empleará comandos para
cifrar los recursos de la máquina, afectando también a los recursos
compartidos.
Babuk usa su propio esquema de cifrado. Emplea ChaCha8, una variante
de Salsa20, cifrado de flujo usado por ejemplo en el malware REvil (Sodinokibi),
así como criptografía de curva elíptica (ECDH). Durante el cifrado
lanzará múltiples hebras para cifrar los discos, variando la carga de
las hebras conforme el tamaño del disco.
Aunque no es un malware complejo de analizar, y tampoco emplea
técnicas novedosas, ya hay empresas que han sido víctimas de este
ransomware, por los mecanismos de engaño habituales. Los precios
anunciados en la nota de rescate oscilan entre 65.000 y 85.000 dólares
(algo menos de 70.000 euros). Como medidas preventivas más allá de la
concienciación sobre ciberseguridad y la monitorización de los recursos,
se encuentran la política de backups y la segmentación de la red de la organización.
