Después de la escapada de Acción de Gracias, tenemos dos semanas de noticias para cubrir, así que aferrarse a una entrada extra larga. La primera vez es GoDaddy, que sufrió una brecha a partir del 6 de septiembre. Según una presentación de la SEC, notaron el problema el 17 de noviembre, y determinaron que no había acceso no autorizado a su sistema de aprovisionamiento para su servicio de alojamiento de WordPress. Para aquellos que hacen un seguimiento en el hogar, son dos meses y once días en que un actor malicioso tenía acceso. ¿Y qué se comprometió todo? La dirección de correo electrónico y el número de cliente de los usuarios aproximados de 1.2 millones de palabras de palabras de Godaddy; la contraseña inicial de WordPress, en el claro; Las contraseñas SFTP y de la base de datos, también en el claro; y para algunos clientes, su clave SSL privada.
La gracia de salvamento es que parece que los sistemas de Godaddy están segregados lo suficiente como para que este incumplimiento no parece haber llevado a un compromiso generalizado. No está claro por qué las contraseñas se almacenaron en el claro más allá del procedimiento de configuración inicial. Para estar seguro, si tiene una instancia de WordPress alojada por GODADDY, debe examinarla con mucho cuidado para detectar signos de compromiso y rotar las contraseñas asociadas. Las claves SSL pueden ser las más preocupantes, ya que esto permitiría que un atacante se haga pasar por el dominio. Dado el período de tiempo que tuvo acceso, no me sorprendería saber que más la infraestructura de Godaddy estaba realmente comprometida.
Tardígrado – tal vez
Hace poco más de una semana, se rompió las noticias de una nueva campaña de malware apt. Dirigido al sector biofabricante. Esta nueva amenaza viene con una “nota de rescate halferrida”, fue adaptativa, sigilosa y exhibió acción autónoma. Los investigadores de BioBright describen Tardígrado como recompilarse dinámicamente en función del medio ambiente, cambiando constantemente las firmas.
Si eso suena un poco sin aliento y sobrecaldas, no estás solo. Un investigador que publica bajo el seudónimo de [Infosec Coproscribe] ha reunido una revisión condenada de la divulgación de Tardígrado. “Coproscribe” aquí probablemente se refiere a la práctica de prosticitar un medicamento antídoto cuando se prohíbe un opiáceo potencialmente peligroso, y parece implicar que la publicación está destinada a ser el antídoto a algunos informes de infosec de información incompletos. Los comentaristas han señalado que los médicos prescriben, no proscríbese. “COPRO” es un prefijo que se refiere a las heces. Te dejaré trabajar el significado de allí por su cuenta.
[INFOSEC] hace que el caso de que la divulgación tardígrada no muestre signos de trabajo realmente extenso, y apunta a los indicadores informados de compromiso (OOC) como ejemplo. Esos IOCS de la red son: “Lote aleatorio de los servicios web de Amazon (AWS)”, GODADDY y Akamai. Es un desafío encontrar una red que * no está hablando constantemente con los dominios de AWS, Godaddy y el Akamai CDN. El malware binario que parece ser la base de esta investigación es una muestra de cobaltstrike, una herramienta conocida. Sin más aclaraciones y detalles, toda la historia de Tardígrado como un apartamento parece tembloroso. Es demasiado pronto para llamarlo seguro. Esto realmente podría ser otra operación de nivel de estufa, o simplemente podría ser un equipo de respuesta inexperto saltando en las sombras.
Monox y un error de contrato inteligente tonto
Los contratos inteligentes están cambiando lentamente al mundo, al menos de acuerdo con ciertos entusiastas de la criptocoína. Lo que es más fácilmente demostrable es que las vulnerabilidades en los contratos inteligentes pueden destruir rápidamente las solicitudes de finanzas descentralizadas (DEFI). El último ejemplo es Monox, un defi que tiene como objetivo hacer que el comercio de token sea más fácil. El problema es que era posible intercambiar un token mono para sí mismo. Para pedir prestado un término de programación, esto resultó en un comportamiento indefinido. El token fue cambiado repetidamente, y con cada operación su valor aumentó. El precio de Mono finalmente se había bombeado lo suficientemente alto, el atacante pudo deshacerse de sus fichas para los tokens de polígono y Ethereum. El valor total perdido fue de $ 31 millones. Cuando el dinero es el código, el dinero tendrá errores.
Bigsig
Corto para la gran firma, [Tavis Ormandy] ha denominado su vulnerabilidad NSS BigSig. No hay logotipo llamativo, así que hace de eso lo que lo harás. Es un error sencillo: se asigna un tampón para la firma válida más grande, y al procesar una firma mal formada que es aún más grande, escribe justo después del final del búfer. El CVE-2021-43527 es simple, y bastante sencillo de explotar. Se solucionó en NSS 3.73, lanzado en el primero. Mientras que el error no afecta a Firefox, otras aplicaciones como Thunderbird, Libreffice y otros hacen uso de la biblioteca NSS, y pueden ser vulnerables.
El aspecto más interesante de esta historia es que este Código ha sido vulnerable desde 2012. Este no es uno de esos notorios proyectos de un solo mantenedor, pero es parte de Mozilla, que se enfrenta a su manera de obtener la seguridad correcta. La biblioteca NSS tiene una buena cobertura de prueba, ha sido sometida a Fuzzing, y es parte del programa Bug Bounty de Mozilla. No estoy seguro de quién acuñó la frase, pero esto definitivamente demuestra que “el código quiere estar equivocado”. [Tavis] encontró el error mientras trabajaba en un nuevo enfoque para Fuzzing para cobertura de código. Señala que uno de los principales falla en la estrategia de prueba de código existente es que los módulos individuales de NSS se probaron de forma aislada, pero no en un enfoque de extremo a extremo. El módulo de entrada puede ser capaz de analizar una solicitud entrante en una estructura de contexto, pero es importante probar el contexto resultante contra el resto del código del proyecto.
AT & T Hosts Ewdoor
Parece que hay una campaña de malware activa dirigida a Hardware AT & T, el controlador de fronteras EDGEMARC Enterprise Session. Una falla se reveló en 2017, se podría usar una contraseña predeterminada (configurada en “predeterminada”) con un punto final de la web oculto, lo que permite que se ejecuten comandos arbitrarios. Esta historia antigua se volvió repentinamente relevante nuevamente, cuando NetLAB 360 descubrió una nueva bott asumiendo estos dispositivos. Ewdoor se puede utilizar para ataques de DDOS, robo de datos e incluye una cáscara inversa. Es un pequeño paquete desagradable, y la vergüenza en AT & T para, parece que no logró parchear una vulnerabilidad tan cortada en el hardware que poseen y logran sus clientes.
Cómo se equivocan las curvas elípticas
El Grupo NCC tiene una imprimación excelente sobre los desafíos de la validación adecuada de la curva elíptica Crypto. Los trucos que advierten son tan simples como enviar puntos inválidos, y con la esperanza de que el otro lado no se dé cuenta. Otro enfoque interesante es enviar un punto que se encuentra en el infinito. Este parece ser el equivalente a elegir cero como la base en un intercambio de Diffie Hellman, que corta el proceso completo. El artículo completo vale la pena leer.
Canario de WireGuard
Thinkst tiene una premisa interesante para su servicio de Canarytokens: coloque las credenciales falsas en dispositivos reales y descubra cuándo se utilizan las falsificaciones. Han agregado WireGuard a su cartera. En lugar de tratar de usar una implementación completa de WireGuard, han reempliando el código de iniciación del apretón de manos, llamando a su Mini-Project Windgate. Es una idea inteligente, y han liberado la fuente. Convertir la idea en su cabeza, parece que el paquete de iniciación de WireGuard también podría usarse como un token de golpe de puerto, si alguien estaba tan inclinado.
Linux – detectando la persistencia
¿Su máquina Linux se comprometió? Sabes qué hacer. Tire del enchufe, cambie la unidad y vuelva a instalar desde cero. Pero … ¿Qué estás buscando, tanto para descubrir el compromiso, y también al investigar el disco comprometido? [Pepe Berba] ha publicado las dos primeras partes de una serie sobre técnicas de persistencia para máquinas Linux. La primera entrada sirve como una introducción, y luego discute utilizando Syssonmy y Auditd para descubrir posibles problemas, como webshells. La segunda parte cubre la creación de la cuenta y la manipulación, y nuevamente da consejos para la captura de cambios de inmediato. Parece ser una serie bien escrita, llena de buenos consejos, así que vigilo.