CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/detectan-vulnerabilidad-dia-cero-en-google-chrome/
El equipo de seguridad informática de Google acaba de lanzar una actualización de seguridad para el navegador Chrome con el objetivo de corregir tres fallas críticas, incluyendo una vulnerabilidad día cero de la cual ya existen reportes de explotación activa en escenarios reales. Los detalles técnicos sobre estas fallas y su explotación aún no son revelados; las consecuencias del ataque para los usuarios también son información reservada.
Aunque son realmente escasos los detalles confirmados, la comunidad de la seguridad informática ha podido saber sobre una serie de ataques detectados el pasado 18 de febrero por el investigador Clement Lecigne, miembro del Grupo de Análisis de Amenazas de Google. Este es un equipo especial que investiga y rastrea las actividades de los más peligrosos grupos de hackers.
clem1@_clem1Found and analyzed with a lot of help from @5aelo and Sergei. https://twitter.com/anttitikkanen/status/1232070933063577600 …
Antti Tikkanen@anttitikkanenLatest Chrome update patches CVE-2020-6418, 0day found in the wild by @_clem1 : https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html?m=1 …
Los encargados del navegador incluyeron los parches para corregir la vulnerabilidad día cero no especificada en el lanzamiento de la versión 80.0.3987.122 de Chrome. Los parches de seguridad están disponibles para sistemas Windows, Linux y Mac. Los sistemas operativos iOS, Android y Chrome OS aún no han sido actualizados.
Esta falla ha sido identificada como CVE-2020-6418, y sólo se sabe que los miembros del equipo de Google la describen como una “confusión de tipos en V8”. Este es un componente de Chrome responsable de procesar el código JavaScript. En seguridad informática, la confusión de tipos se refiere a errores de codificación durante los cuales una app inicializa las operaciones de ejecución de datos empleando la entrada de un tipo específico, pero es engañada para tratar la entrada como si fuera de un tipo diferente.
Esta confusión conduce a errores lógicos en la memoria de la aplicación, generando las condiciones propicias para la intervención de un actor de amenazas, que tratará de ejecutar código malicioso sin restricciones dentro de la aplicación objetivo.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), esta es la tercera vulnerabilidad día cero en Chrome explotada en escenarios reales en el último año. Anteriormente, Google lanzó parches de seguridad para corregir dos fallas día cero en el navegador:
Se espera que la compañía revele mayores detalles en cuanto el peligro de explotación haya pasado; cabe mencionar que no existen reportes de explotación de las otras dos fallas de seguridad corregidas en la más reciente versión de Chrome.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/cve-2020-2732-una-vez-mas-encuentran-vulnerabilidad-critica-en-intel-kvm-virtualization/
Acorde a un reporte de especialistas en análisis de vulnerabilidades, el software de virtualización Intel KVM ha sido impactado por una vulnerabilidad existente debido a código no terminado. La falla, identificada como CVE-2020-2732, está presente en Intel VMX, para el soporte de la máquina virtual basada en el kernel de Linux (KMV).
La vulnerabilidad no ha sido divulgada públicamente, aunque múltiples grupos de especialistas comenzaron a darle seguimiento desde el lanzamiento de una serie de inusuales actualizaciones de seguridad, aunque al día de hoy siguen sin confirmarse mayores detalles.
Los desarrolladores lanzaron tres parches de seguridad para la corrección de CVE-2020-2732 como parte de las correcciones de KVM dirigidas al ciclo actual del kernel del sistema operativo Linux 5.6.
Respecto al lanzamiento de las actualizaciones, los desarrolladores mencionaron: “vmx_check_intercept aún no está completamente implementado por KVM en los procesadores Intel, lo que hace que no se verifiquen los mapas de bits de interceptación de entrada y salida o MSR”, mencionan los especialistas en análisis de vulnerabilidades. “En general, no podemos permitir la emulación de instrucciones en nombre de L1, pero esta serie también implementa comprobaciones de puertos de entrada y salida”.
La función vmx_check_intercept dentro del kernel de Linux incluso tiene un “TODO: verifique más intercepciones…” pero parece que esta vulnerabilidad se debe al hecho de que esta función no estaba verificando todas las intercepciones y, como tal, podría terminar emulando instrucciones no permitidas por el hipervisor de la virtualización, ya que el comportamiento hasta ahora era continuar en la ruta de código predeterminada.
Acorde a los especialistas en análisis de vulnerabilidades, la solución es deshabilitar las instrucciones de emulación de forma predeterminada hasta que el código haya terminado. La serie también agrega controles para mapas de bits de entrada y salida. Los detalles sobre la vulnerabilidad aún son escasos, pues es necesario esperar a que se divulgue públicamente.
Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), además de las plataformas de comunicación oficiales de las compañías tecnológicas que actualmente trabajan por corregir estos incidentes.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/25/zero-day-vulnerability-detected-in-google-chrome/
Google’s information security team has just released a security update for the Chrome browser aiming to fix three critical flaws, including a zero-day vulnerability from which active exploit in the wild reports already exist. Technical details about these flaws and their exploitation are not yet disclosed; the consequences of the attack for users are also reserved information.
Although there are really few confirmed details, the information security community has been able to learn about a series of attacks detected on February 18th by researcher Clement Lecigne, a member of Google’s Threat Analysis Group. This is a special team that investigates and tracks the activities of the most dangerous hacker groups.
clem1@_clem1Found and analyzed with a lot of help from @5aelo and Sergei. https://twitter.com/anttitikkanen/status/1232070933063577600 …
Antti Tikkanen@anttitikkanenLatest Chrome update patches CVE-2020-6418, 0day found in the wild by @_clem1 : https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html?m=1 …
Chrome browser maintainers included patches to fix the unspecified zero-day vulnerability in the release of Chrome version 80.0.3987.122. Security patches are available for Windows, Linux, and Mac systems. The iOS, Android and Chrome OS operating systems have not yet been updated.
This flaw has been tracked as CVE-2020-6418, and it is only known that members of the Google team describe it as “a type confusion in V8”. This is a Chrome component responsible for processing JavaScript code. In information security, type confusion refers to coding errors during which an app initializes data execution operations using input of a specific type, but is tricked into treating input as if it were of a different type.
This confusion leads to logical errors in the application’s memory, generating the conditions conducive to the intervention of a threat actor, which will try to execute malicious code without restrictions within the target application.
According to the International Institute of Cyber Security (IICS), this is the third zero-day vulnerability in Chrome exploited in the wild in the last year. Previously, Google released security patches to fix two zero-day browser flaws:
The company is expected to reveal further details as the danger of exploitation has passed; it is worth mentioning that there are no exploit reports of the other two security flaws fixed in the latest version of Chrome.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/25/cve-2020-2732-once-again-experts-found-critical-vulnerability-in-intel-kvm-virtualization/
According to a report by vulnerability testing specialists, Intel KVM virtualization software has been impacted by a critical vulnerability existing due to unfinished code. The vulnerability, tracked as CVE-2020-2732, is present in Intel VMX, for Linux kernel-based virtual machine (KMV) support.
The vulnerability has not been publicly disclosed, although multiple groups of specialists have begun to follow it up since the release of a number of unusual security updates, although further details remain unconfirmed to this day.
Developers released three security patches for CVE-2020-2732 remediation as part of KVM fixes targeting the current kernel cycle of the Linux 5.6 operating system.
Regarding the release of the updates, the developers mentioned: “vmx_check_intercept is not yet fully implemented by KVM on Intel processors, which causes input and output intercept bitmaps to not be verified or MSR”, mention the vulnerability testing specialists. “In general, we cannot allow instruction emulation on behalf of L1, but this series also implements input and output port checks”.
The function vmx_check_intercept within the Linux kernel even has an “ALL: verify more intercepts…”” but it seems that this vulnerability is due to the fact that this feature was not verifying all interceptions and, as such, could end up emulating instructions not allowed by the virtualization hypervisor, because the behavior until now was to continue in the default code path.
According to vulnerability testing specialists, the solution is to disable emulation instructions by default until the code is finished. The series also adds controls for input and output bitmaps. Details about the vulnerability are still scarce, as it is necessary to wait for it to be publicly disclosed.
For more information on recently encountered security flaws, exploits, cyberattacks, and malware analysis, you can visit the official website of the International Institute of Cyber Security (IICS), as well as the official communication platforms of the technology companies currently working to correct these incidents.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/se-revela-el-hallazgo-de-una-vulnerabilidad-critica-en-open-xchange/
Se ha revelado un reporte de seguridad informática en referencia al hallazgo de múltiples vulnerabilidades en el software de productividad Open-Xchange, algunas consideradas de gravedad severa. La mayoría de las fallas de seguridad encontradas permiten a los actores de amenazas realizar falsificación de solicitudes del lado del servidor.
A continuación se presenta de forma breve un reporte de las fallas encontradas, además del método empleado para su mitigación.
CVE-2019-18846: Esta es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF, por sus siglas en inglés) presente en las versiones 7.10.2 y anteriores de One-Xchange. La API de archivos adjuntos para Calendario, Tareas, y demás permite definir referencias a archivos adjuntos de correo electrónico que deben agregarse. Esta referencia no es verificada con un protocolo adecuado y una lista negra de hosts. Los usuarios podrían activar llamadas API que invocan archivos locales o URLs. El contenido proporcionado por estos recursos se agregaría como archivo adjunto.
La falla recibió un puntaje de 6.5/10 en la escala del Common Vulnerability Scoring System (CVSS). Los desarrolladores ya han corregido la vulnerabilidad, implementando un protocolo y una lista negra de host para evitar invocar referencias de sistemas de archivos y direcciones locales.
CVE-2019-18846: Una segunda vulnerabilidad SSRF fue detectada en el backend de One-Xchange, presente en las versiones 7.10.2 y anteriores. La función RSS permite a los actores de amenazas agregar fuentes de datos arbitrarias. Para evitar la exposición de datos confidenciales, se implementó una lista negra de host y una lista blanca de protocolos. Debido a un error, la lista negra del host no se verificó en caso de que el protocolo pasara la lista blanca
La explotación de esta falla permitiría realizar un mapeo de las redes internas y servicios potencialmente expuestos. La falla recibió un puntaje de 5.0/10 en la escala CVSS, mencionan los especialistas en seguridad informática.
CVE-2019-9853: Esta es una falla de falta de escape presente en las versiones 7.10.2 y anteriores que afecta al componente readerengine en Open-Xchange. Las vulnerabilidades existentes en proyectos ascendentes podrían usarse en el contexto de OX App Suite/OX Documents, por lo que los desarrolladores actualizaron las versiones recientes de LibreOffice empleadas por el componente readerengine para prevenir la explotación de fallas no relacionadas directamente con este componente, por lo que esta es en sentido estricto, una medida de precaución.
Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), además de las plataformas de comunicación oficiales de las compañías tecnológicas que actualmente trabajan por corregir incidentes de seguridad informática.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/resultados-de-busqueda-de-google-incluiran-chats-privados-de-whatsapp-las-conversaciones-en-esta-plataforma-no-son-seguras/
WhatsApp es el servicio de mensajería más utilizado en todo el mundo, y a diario circulan por esta plataforma miles de millones de mensajes protegidos por cifrado de extremo a extremo, lo que significa que sólo los participantes de una conversación o grupo de chat pueden acceder al contenido de los mensajes y a la información de los usuarios, o al menos eso pensábamos, pues el investigador de ciberseguridad Jordan Wildon reportó un extraño comportamiento relacionado con los grupos de chat y el buscador de Google.
Acorde a Wildon, Google ha indexado los enlaces a grupos de WhatsApp, dejando expuestas las conversaciones, archivos, números telefónicos y otros datos de los miembros de estos grupos, supuestamente privados. En otras palabras, cualquier usuario puede acceder a uno de estos grupos gracias a una simple búsqueda de Google.
Tal como mencionan expertos en ciberseguridad, al crear un grupo de WhatsApp se crea un código (enlace) privado, que puede ser enviado por los administradores para invitar a nuevos miembros. Debido a una falla no identificada, los enlaces se han expuesto al alcance de cualquiera vía el buscador de Internet; al parecer la falla ya había sido reportada a WhatsApp hace un par de meses, aunque sigue presente.
Al parecer, los usuarios sólo tienen que hacer una búsqueda empleando el dominio chat.whatsapp.com, seguido de cualquier palabra clave (amigos, familia, etcétera). Al comprobar el reporte, Wildon encontró grupos de pornografía, grupos de trabajo, organizaciones no gubernamentales, venta de artículos diversos, búsqueda de empleo y muchos temas más de países como Estados Unidos, México y América Latina.
Facebook, compañía propietaria de WhatsApp, no ha publicado un comunicado oficial sobre esta falla, aunque se espera que la firma ya esté trabajando en una solución, pues el reporte se ha hecho público desde hace tiempo. Por lo pronto, firmas e investigadores en ciberseguridad recomiendan a los administradores de grupos de WhatsApp deshabilitar el enlace al grupo, lo que impedirá que cualquier usuario trate de unirse, aunque esto no dejará de exponer la información de los usuarios en línea. Eliminar el grupo de chat definitivamente también podría ser funcional.
El Instituto Internacional de Seguridad Cibernética (IICS) ha reportado frecuentes fallas de seguridad en la plataforma que pueden derivar en el secuestro de sesiones de WhatsApp, envío de mensajes falsos y otras acciones maliciosas. Los usuarios pueden protegerse de estas fallas manteniendo su aplicación siempre actualizada y evadiendo el uso de WhatsApp Web, versión del servicio para equipos de escritorio, además de probar con algunas alternativas al uso de esta plataforma, como Telegram.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/24/critical-vulnerability-affecting-open-xchange-is-revealed/
An information security report has been revealed regarding the finding of multiple vulnerabilities in the productivity software Open-Xchange, some considered as severe. Most of the security flaws found allow threat actors to perform server-side request forgery.
Below is a brief report of the flaws found, in addition to the methods used to mitigate their exploitation risk.
CVE-2019-18846: This is a server-side request forgery (SSRF) vulnerability present in One-Xchange versions 7.10.2 and earlier. The API for Attachments, Calendar, Tasks, and so on allows users to define references to email attachments that need to be added. This reference is not verified with an appropriate protocol and a host blacklist. Users could activate API calls that invoke local files or URLs. The content provided by these resources would be added as an attachment.
The flaw received a score of 6.5/10 on the Common Vulnerability Scoring System (CVSS) scale. Developers have already corrected the vulnerability, implementing a protocol and host blacklist to avoid invoking file system references and local addresses.
CVE-2019-18846: A second SSRF vulnerability was detected in the One-Xchange backend, present in versions 7.10.2 and earlier. The RSS feature allows threat actors to add arbitrary data sources. To prevent sensitive data from being exposed, a host blacklist and protocol whitelist were implemented. Due to an error, the host blacklist was not checked in case the protocol passed the whitelist
The exploitation of this failure would allow mapping of the internal networks and potentially exposed services. The flaw received a score of 5.0/10 on the CVSS scale, information security specialists mentioned.
CVE-2019-9853: This is a lack of escape failure present in versions 7.10.2 and earlier that affects the readerengine component in Open-Xchange. Existing vulnerabilities in upstream projects could be used in the context of OX App Suite/OX Documents, so developers updated recent versions of LibreOffice used by the readerengine component to prevent the exploitation of flaws not directly related to this component, so this is strictly a precautionary measure.
For more information on recently encountered security flaws, exploits, cyberattacks, and malware analysis, you can visit the official website of the International Institute of Cyber Security (IICS), as well as website of technology companies currently working to correct information security incidents.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/24/google-set-to-include-whatsapp-chats-in-search-results-conversations-on-this-platform-are-not-secure/
WhatsApp is the most widely used messaging service worldwide and every day billions of messages protected by end-to-end encryption circulate through this platform, meaning that only participants in a conversation or chat group can access the content of messages and user information, or at least we thought so, as cybersecurity researcher Jordan Wildon reported a strange behavior related to chat groups and Google’s search engine.
According to Wildon, Google has indexed links to WhatsApp groups, exposing the conversations, files, phone numbers and other data of the members of these supposedly private groups. In other words, any user can access one of these groups thanks to a simple Google search.
As cybersecurity experts mention, when someone creates a WhatsApp group, a private code is linked to it, this link can be sent by administrators to invite possible new members. Due to an unidentified security flaw, the links have been exposed to the reach of any user via the Internet browser; apparently the flaw had already been reported to WhatsApp a couple of months ago, although it is still present.
Apparently, users only have to do an Internet search using the domain chat.whatsapp.com, followed by any keyword (friends, family and so on). While verifying the finding, Wildon found pornography groups, working groups, non-governmental organizations, sale of various items, job search, and many more topics from countries such as the United States, Mexico, and Latin America.
Facebook, the company that owns WhatsApp, has not published an official statement about this flaw, although the firm is expected to be already working on a solution, as the report has been made public for some time. For the time being, cybersecurity firms and researchers recommend WhatsApp group administrators to disable the link to the group, which will prevent any user from trying to join, although this will not stop exposing user information online. Deleting the chat group could definitely also be functional.
The International Institute of Cyber Security (IICS) has reported frequent security flaws on the platform that can lead to the hijacking of WhatsApp sessions, sending fake messages and other malicious actions. Users can protect themselves from these flaws by keeping their application always updated and avoiding the use of WhatsApp Web, version of the service for desktops, as well as trying some alternatives to the use of this platform, such as Telegram.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/despues-del-departamento-de-defensa-de-eu-ministerio-de-defensa-de-japon-sufre-brecha-de-datos/
Los encargados de la ciberseguridad en la defensa de Japón se encuentran en alerta máxima luego de que dos contratistas revelaran haber sufrido brechas de datos en años recientes. Hace un par de semanas, Taro Kono, ministro de defensa de Japón, reveló que algunas organizaciones vinculadas al ejército habían sido atacadas.
Apenas hace unos días, el Departamento de Defensa de E.U. reveló que la Agencia de Sistemas de la Información de la Defensa (DISA), también sufrió una brecha de datos que comprometió información confidencial de miembros y contratistas.
Las dos compañías afectadas son Pasco y Kobe Steel, que prestan servicios de topografía geoespacial. En ambos casos, las redes de las compañías fueron infectadas con una variante de malware para extraer información y archivos confidenciales. Anteriormente, el Ministerio de Defensa reconoció que las firmas Mitsubishi Electric y NEC también experimentaron incidentes de ciberseguridad similares.
El ataque a Mitsubishi podría afectar seriamente los intereses de la Defensa de Japón, puesto que la compañía está profundamente involucrada en múltiples proyectos de tecnología e infraestructura del país asiático; versiones no oficiales aseguran que los atacantes extrajeron más de 200 MB de información confidencial de la compañía. Por otra parte, NCE también confirmó el acceso no autorizado a sus sistemas, aunque la compañía afirma que los atacantes no lograron extraer información confidencial.
Todavía no existen informes oficiales respecto a la identidad de los responsables de los ataques. Sin embargo, reportes no oficiales atribuyen estos ataques a Tick, un reconocido grupo cibercriminal patrocinado por el gobierno de China. Estos hackers han participado en múltiples campañas maliciosas a lo largo de todo el continente asiático, apuntando especialmente contra compañías japonesas.
Las sospechas de los especialistas en ciberseguridad derivan de una declaración de un importante ejecutivo de Pasco, que afirma que Tick comprometió las redes de la compañía en 2018. Estas declaraciones también se refieren a un exploit en una herramienta de la firma de seguridad Trend Micro empleada en las compañías afectadas.
Finalmente, aún no está claro si las firmas atacadas no habían detectado las brechas de datos, o simplemente decidieron no notificar a las autoridades, escenario probable puesto que Japón carece de una legislación sobre el reporte de incidentes de ciberseguridad. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), incidentes similares resaltan la necesidad de contar con legislación en materia de protección de datos y reporte de incidentes.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/royal-enfield-es-hackeada-datos-financieros-de-motociclistas-son-expuestos-en-linea/
Después de leer esta nota, tal vez prefiera seguir usando su bicicleta. El reconocido investigador de seguridad informática Bon Diachenko informó el hallazgo de una base de datos expuesta en línea, la cual contenía al menos 450 mil registros de la compañía de motocicletas Royal Enfield.
Entre la información comprometida se encuentran detalles confidenciales de los clientes de la firma que cuentan con un perfil de usuario en el sitio web de Royal Enfield, incluyendo nombres, direcciones email, números telefónicos, contraseñas cifradas e incluso enlaces a algunos perfiles de redes sociales.
En su informe, el especialista en seguridad informática menciona haber encontrado “tres direcciones IP con bases de datos erróneamente configuradas (en otras palabras, sin contraseña o inicio de sesión); la información expuesta sugiere que la base de datos es propiedad de Royal Enfield”. Además, Diachenko asegura que la base de datos incluye registros de “al menos mil 400 clientes y distribuidores destacados”.
Bob Diachenko menciona que detectó la vulnerabilidad el pasado 19 de enero, notificando de inmediato al equipo de seguridad informática de la compañía de motocicletas. Unas horas después, el acceso a la información comprometida había sido cerrado, no obstante, Diachenko cree que la información estuvo expuesta por al menos dos semanas. Ningún representante de Royal Enfield ha ofrecido declaraciones públicas respecto al incidente.
Diachenko ha colaborado en diversos informes sobre incidentes de brecha de datos recientemente, incluyendo a organizaciones gubernamentales como la Organización de Investigación Espacial de India (ISRO), el Centro de Investigación Atómica de Bhabha (BARC) y la Junta de Valores e Intercambios de India (SEBI), que se han visto comprometidas por errores de configuración de bases de datos. Las organizaciones afectadas han corrido con suerte, aunque en otros casos la información comprometida puede llegar rápidamente a las manos de los actores de amenazas, que venden estas bases de datos robadas en múltiples foros de hacking malicioso. Las bases de datos filtradas son objeto de deseo de los cibercriminales, especialmente cuando incluyen información financiera de las víctimas.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), los errores de los administradores de estas implementaciones son la principal causa de estos incidentes, por lo que las organizaciones deben actualizar sus métodos y establecer lineamientos de seguridad de datos más estrictos.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/21/after-us-department-of-defense-japans-defense-ministry-becomes-a-data-breach-victim/
Japan’s defense cybersecurity officers are on high alert after two contractors revealed they have suffered data breaches in recent years. A couple of weeks ago, Taro Kono, Japan’s defense minister, revealed that some army-linked organizations had been attacked.
Just a few days ago, the US Department of Defense revealed that the Defense Information Systems Agency (DISA) also suffered a data breach that compromised confidential information from members and contractors.
The two affected companies are Pasco and Kobe Steel, which provide geospatial surveying services. In both cases, the companies’ networks were infected with a malware variant to extract sensitive information and files. Previously, the Ministry of Defense recognized that Mitsubishi Electric and NEC firms also experienced similar cybersecurity incidents.
The attack on Mitsubishi could seriously affect the interests of the Defense of Japan, as the company is deeply involved in multiple technology and infrastructure projects in the Asian country; unofficial versions claim that the attackers extracted more than 200 MB of sensitive information from the company. On the other hand, NCE also confirmed unauthorized access to its systems, although the company claims that the attackers failed to extract sensitive information.
There are still no official reports on the identity of those responsible for the attacks. However, unofficial reports attribute these attacks to Tick, a well-known Chinese government-sponsored cybercriminal group. These hackers have engaged in multiple malicious campaigns throughout the Asian continent, especially targeting Japanese companies.
The suspicions of cybersecurity specialists stem from a statement from a major Pasco executive, who claims Tick compromised the company’s networks in 2018. These statements also refer to an exploit in a trend micro security firm tool used in the affected companies.
Finally, it is not yet clear whether the signatures under attack had not detected data breaches, or simply decided not to notify the authorities, a likely scenario since Japan lacks legislation on reporting cybersecurity incidents. According to the International Institute of Cyber Security (IICS), similar incidents highlight the need for data protection and incident reporting legislation.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/21/royal-enfield-was-hacked-motorcycle-owners-financial-data-is-exposed-online/
After reading this note, you may rather keep using your old bike. Renowned information security researcher Bon Diachenko reported the discovery of a database exposed online, which contained at least 450,000 records belonging to motorcycle company Royal Enfield.
The compromised information include confidential details of the firm’s clients that have a user profile on the Royal Enfield website, including full names, email addresses, phone numbers, encrypted passwords and even links to some social media profiles.
In his report, the information security specialist mentions having found “three IP addresses with misconfigured databases (in other words, with no password or login); the exposed information suggests that the database is owned by Royal Enfield.” In addition, Diachenko ensures that the database includes records of “at least 1,400 privileged customers and distributors”.
Bob Diachenko mentions that he detected the vulnerability on January 19, and immediately notified the motorcycle company’s information security team. A few hours later, access to the compromised information had been shut down; however, Diachenko believes that the information was exposed for at least two weeks. No representative of Royal Enfield has offered public statements regarding the incident.
Diachenko has collaborated on a number of reports on data breach incidents recently, including government organizations such as the Indian Space Research Organization (ISRO), the Bhabha Atomic Research Center (BARC) and the Securities and Exchanges Board of India (SEBI), which have been compromised by database configuration errors. Affected organizations have been lucky enough to get the reports, although in other cases the compromised information can quickly reach the hands of the threat actors, who sell these stolen databases on multiple malicious hacking forums. Leaked databases are the object of desire of cybercriminals, especially when they include financial information of victims.
According to the International Institute of Cyber Security (IICS), oversights and errors of the administrators of these implementations are the main cause of these incidents, so organizations must update their methods and establish guidelines for stricter data security.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/20/us-department-of-defense-was-hacked-secrets-and-employees-data-leaked/
A US Government defense agency that provides technology services to multiple senior officials, including the president, has revealed that their networks could have been compromised. Through a series of letters sent to potentially affected people, the Defense Information Systems Agency (DISA) revealed a data breach involving one of its critical systems, digital forensics specialists say.
According to the information leaked so far, the data breach took place between May and July 2019, compromising sensitive data such as names, email addresses, Social Security numbers, among other details of members of the organization and collaborators in other areas of US Defense. It is so far unknown whether the information was stored on a classified system.
Although there was initially no official confirmation, Charles Prichard, DISA’s spokesperson, acknowledged the incident through a statement: “We have begun to notify people whose confidential information could have been compromised during this data breach in one of the systems hosted by DISA,” the spokesman says.
Although DISA mentions that no evidence of malicious use of compromised information has been found, digital forensics specialists consider it relevant that a protocol for protecting the information exposed be implemented.
Regarding the potential perpetrators of the incident, it is not ruled out that it is attributed to any group of threat actors sponsored by any US adversarial country, especially after the US government’s resolution on the security incident at Equifax. A few days ago, the Department of Justice (DOJ) charged four members of China military for their alleged involvement in the hacking against the financial firm, which ended in the exposure of more than 140 million confidential financial reports.
According to digital forensics specialists from the International Institute of Cyber Security (IICS), the DOJ has also attributed to Chinese hackers other relevant incidents related to data breaches, such as that at the Marriott hotel chain, although no Chinese government or army official has been formally charged regarding these attacks.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/20/iit-madras-hit-by-ransomware-all-research-and-exams-data-encrypted/
A serious incident appears to have jeopardized all the work of students, academics and researchers at the Madras Indian Institute of Technology, one of Asia’s leading technology research centers, according to data protection experts. Apparently, those affected have been infected with an unknown variant of ransomware. Although the administration claims to have support for all the compromised information, many fear that it will be impossible to recover their research, projects, documents, reference material and so on.
One of the affected researchers shared via Twitter a screenshot of the message they received after loggin into their servers, which is supposed to be a ransom note.
In this message, hackers assure all data stored on IIT’s systems has been encrypted and victims have to pay a ransom to get the decryption key. To contact the attackers, victims should use nothing but the email address they provide in their message (happychoose@cock.li). “After that, you are supposed to get a decryption tool with the instructions to use it”, mentioned the affected data protection expert.
In response to massive concern, IIT’s General Secretary has asked all staff, investigators and students to back up their data: “We are under a serious attack that has compromised all computers running Windows system used in the campus. We are asking users to backup their data as soon as possible”. Besides, campus’ administration fears that attackers are aiming to critical computers on IIT’s networks, as a point to access other parts of their systems and deploy second stage attacks.
Manu Zacharia, a data protection specialist, has told about this incident: “This is obviously a massive ransomware attack. Attack methods used by this hackers seems to be quite sophisticated, as ITT’s servers had stop working long before the ransomware were detected”. In addition to Zacharia’s statements, other cybersecurity firms assured IIT is a usual cyberattack target.
At this point, admins don’t seem to have a backup plan; nonetheless, International Institute of Cyber Security (IICS) considers that it could be a matter of time to know the firsts details on the incident, such as the malware variant used by the attackers, their method or the sum demanded to victims.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/el-departamento-de-defensa-de-e-u-fue-hackeado-secretos-y-datos-de-empleados-filtrados/
Una agencia de defensa del gobierno de E.U. que proporciona servicios tecnológicos a múltiples altos funcionarios, incluyendo al presidente, ha revelado que sus redes podrían haber sido comprometidas. A través de una serie de cartas a los posibles afectados, la Agencia de Sistemas de Información de la Defensa (DISA, por sus siglas en inglés) reveló una brecha de datos que involucra uno de sus sistemas críticos, afirman especialistas en forense digital.
Acorde a la información filtrada hasta el momento, la brecha de datos tuvo lugar entre mayo y julio de 2019, comprometiendo datos confidenciales como nombres, direcciones email, números de Seguridad Social, entre otros detalles de miembros de la organización y colaboradores en otras áreas de la Defensa de E.U. Hasta el momento se desconoce si la información estaba almacenada en un sistema clasificado.
A pesar de que inicialmente no hubo confirmación oficial, Charles Prichard, portavoz de DISA, reconoció el incidente mediante un comunicado: “Hemos comenzado a notificar a las personas cuya información confidencial pudiera haber sido comprometida durante esta brecha de datos en uno de los sistemas alojados por DISA”, menciona el portavoz.
A pesar de que DISA menciona que no se han encontrado indicios de uso malicioso de la información comprometida, especialistas en forense digital consideran pertinente que se implemente un protocolo de protección de la información expuesta.
Respecto a los posibles responsables del incidente, no se descarta que éste sea atribuido a algún grupo de actores de amenazas patrocinados por algún país adversario de E.U., sobre todo después de la resolución del gobierno americano sobre el incidente en Equifax. Hace unos días, el Departamento de Justicia (DOJ) acusó a cuatro miembros del ejército de China por su presunta participación en el hacking contra la firma financiera, que terminó en la exposición de más de 140 millones de informes confidenciales.
Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS), el DOJ también ha atribuido a los hackers chinos otros incidentes de brechas de datos relevantes, como el ocurrido en la cadena hotelera Marriott, aunque ningún oficial del gobierno o ejército chino ha sido formalmente acusado por estos ataques.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/un-alumno-hackeo-su-escuela-para-cambiar-las-calificaciones-de-sus-amigos-yo-quiero-un-amigo-asi/
Al igual que en cualquier otra profesión, se pueden registrar indicios de alto potencial para el hacking ético a temprana edad. Los funcionarios de una escuela en la ciudad de Chinhoyi, una ciudad en Zimbawe, afirman que uno de sus estudiantes encontró una debilidad en una base de datos académica, la cual explotó en repetidas ocasiones para alterar sus calificaciones y las de sus amigos.
Mejorar sus notas no fue la única idea del menor, pues los administrativos de la escuela mencionan que incluso decidió ponerle precio a sus habilidades de hacking y ofrecer sus servicios a otros estudiantes con bajas calificaciones, explotando la falla una y otra vez.
Según mencionaron los medios locales, este experto en hacking ético en potencia, solicitaba entre 20 y 80 dólares dependiendo de la cantidad de materias en las que sus ‘clientes’ desearan incrementar sus calificaciones.
Para su mala fortuna, el personal administrativo eventualmente descubrió la intrusión en la base de datos de la escuela, rastreando los registros de actividad para dar con el responsable. El estudiante fue presentado ante las autoridades, asegurando que había alterado los registros de al menos otros siete estudiantes.
Al cuestionarlo sobre sus actividades, el estudiante mencionó que encontró una vulnerabilidad en el servidor de base de datos de la escuela. Posteriormente, el menor encontró en un foro de hacking un script de Python para explotar la vulnerabilidad. Aún no se sabe qué medidas tomará la escuela para castigar al alumno responsable del hacking.
Aunque no es algo muy común, se tiene registro de incidentes similares en otras partes del mundo. Acorde a especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), hace algunos meses un niño de secundaria robó las credenciales de acceso al sistema de calificaciones de su escuela para alterar sus notas, debido a lo cual fue suspendido, aunque dejó demostrado al personal de su escuela la facilidad con la que un sistema informático puede ser comprometido.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/malware-virus/elimine-de-forma-facil-el-malware-xhelper-de-su-dispositivo-android/
Cientos de nuevas variantes de malware para dispositivos móviles fueron detectadas el año pasado. Entre todos estos desarrollos maliciosos, uno llamó la atención de especialistas y entusiastas del hacking ético. Usualmente conocido como xHelper, este malware logró infectar alrededor de 50 mil dispositivos Android en menos de medio año, convirtiéndose en una de las principales amenazas para los usuarios de este sistema operativo.
La característica principal de xHelper es la dificultad para ser removido del sistema infectado, pues el malware es capaz de auto instalarse en el dispositivo comprometido incluso si el usuario realiza una restauración de fábrica. Después de la instalación, xHelper comienza a mostrar anuncios invasivos a la víctima, además es capaz de instalar otras apps maliciosas.
Meses después de su detección, un grupo de investigadores de hacking ético al fin ha encontrado una forma de remover xHelper de un smartphone Android sin necesidad de usar la restauración de fábrica, por lo que los archivos almacenados en el dispositivo se mantendrán a salvo.
El procedimiento para remover xHelper se describe a continuación:
Los especialistas en hacking ético afirman que este método elimina cualquier rastro de xHelper en el dispositivo afectado, garantizando que el malware no se reinstalará nuevamente.
El Instituto Internacional de Seguridad Cibernética (IICS) menciona que las infecciones de xHelper siguen siendo una constante en escenarios reales, por lo que la difusión de este método puede resultar útil para combatir el alcance de los operadores de este malware.
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/como-hackear-paypal-y-robar-dinero-de-los-demas-como-un-profesional/
Los investigadores de la firma de ciberseguridad Cybernews publicaron un informe detallando el hallazgo de seis vulnerabilidades en el sistema de pagos electrónico PayPal que, de ser explotadas, permitirían a los actores de amenazas realizar diversos ataques, desde omisión de autenticación multifactor, hasta el envío de código malicioso.
A continuación se muestra una breve explicación de cada una de las vulnerabilidades encontradas. Como ya se ha mencionado, su explotación afecta principalmente a los usuarios finales del sistema.
Los especialistas en ciberseguridad descubrieron que es posible omitir la autenticación de dos factores (2FA) empleando la versión actual de la app de PayPal para Android; esta medida de seguridad se activa cuando el usuario trata de iniciar sesión en la plataforma desde un nuevo dispositivo, ubicación o dirección IP. Para esto, los investigadores emplearon un proxy MITM y, después de una serie de pasos, obtuvieron un token para ingresar a la cuenta.
La falla no ha sido corregida, por lo que no es posible revelar más detalles técnicos del ataque. Además, este proceso es poco complejo y toma unos cuantos minutos completarlo, por lo que los usuarios están expuestos a un peligro serio.
Los investigadores también descubrieron una forma de confirmar un nuevo número telefónico en PayPal sin el PIN de un solo uso (OTP), un sistema para verificar si un número telefónico está asociado al titular de una cuenta. En caso contrario, el número es rechazado.
Cuando un usuario registra un nuevo teléfono, se realiza una llamada a api-m.paypal.com, que envía el estado de la confirmación del teléfono. Los especialistas demostraron que es posible cambiar esta llamada de forma muy fácil, por lo que PayPal confirmará el registro del nuevo número de forma incorrecta.
Para evitar fraudes y otras conductas ilícitas, PayPal implementó, entre otras medidas, un mecanismo que se activa si se detecta una o más de las siguientes condiciones:
Si se cumplen estas condiciones, PayPal arroja algunos mensajes de errores a los usuarios como:
Durante la investigación se descubrió que este mecanismo de bloqueo de envíos es vulnerable a ataques de fuerza bruta, por lo que un atacante con acceso a credenciales de PayPal puede acceder a las cuentas comprometidas.
Una característica predeterminada en PayPal establece que los usuarios sólo pueden cambiar uno o dos caracteres de su nombre cada vez; posteriormente, dicha opción desaparece. Los especialistas en ciberseguridad crearon una cuenta de prueba para demostrar la presencia de una falla que permite la modificación completa del nombre.
SmartChat es un chat de autoayuda en PayPal que permite a los usuarios acceder a las preguntas y respuestas más frecuentes. Los especialistas en ciberseguridad descubrieron que esta implementación carece de una validación que verifique el texto que los usuarios ingresan. Empleando un ataque Man-in-The-Middle (MiTM), los investigadores lograron capturar el tráfico dirigido a los servidores de PayPal y añadirles una carga maliciosa.
Esta es una falla similar a la anterior y existe debido a que PayPal no depura su entrada de Preguntas de seguridad. La falla es explotable empleando el mismo método descrito en el párrafo anterior. A continuación se muestra una captura de pantalla que incluye el código de prueba inyectado en la cuenta objetivo, resultando en un enlace cliqueable:
Un actor de amenazas puede inyectar secuencias de comandos en las cuentas de otras personas con el fin de extraer datos confidenciales.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), las fallas reportadas no han sido corregidas, por lo que millones de usuarios de PayPal siguen expuestos a su explotación. Al igual que muchas otras firmas tecnológicas, PayPal cuenta con un programa de recompensa por reportes de vulnerabilidades, operado a través de la plataforma HackerOne. A pesar de que esta es una de las plataformas de divulgación más conocidas, especialistas en ciberseguridad consideran que el modelo vigente de reporte de HackerOne entorpece un poco la labor de los hackers éticos e incluso incentiva prácticas ilícitas como la venta de exploits en el mercado negro del hacking.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/19/easily-remove-xhelper-malware-from-your-android-device/
Hundreds of new variants of malware for mobile devices were detected last year. Among all these malicious developments, one caught the attention of ethical hacking specialists and enthusiasts. Usually known as xHelper, this malware managed to infect about 50,000 Android devices in less than six months, becoming one of the main threats to users of this operating system.
The main feature of xHelper is the difficulty in being removed from the infected system, as the malware is able to install itself on the compromised device even if the user performs a factory reset. After installation, xHelper begins to display invasive advertisements to the victims; in addition, it is able to install other malicious apps.
Months after its detection, a group of ethical hacking researchers has finally found a way to completely remove xHelper from an Android smartphone without using factory reset, so the files stored on the device will remain secured.
The procedure for removing xHelper is described below:
Ethical hacking specialists claim that this method removes any traces of xHelper on the affected device, ensuring that the malware will not be reinstalled again.
The International Institute of Cyber Security (IICS) mentions that xHelper infections remain a constant threat in the wild, so the dissemination of this method can be useful in combating the extent of the operators of this malware.
ORIGINAL CONTENT: https://www.securitynewspaper.com/2020/02/19/how-to-hack-paypal-and-steal-other-peoples-money-like-a-pro/
Researchers at cybersecurity firm Cybernews released a report detailing the finding of six vulnerabilities in the electronic payment system PayPal that, if exploited, would allow threat actors to carry out various attacks, from multi-factor authentication bypass, to malicious code sending, among others.
Below we found a brief explanation of each of the vulnerabilities found during this research. As already mentioned, its exploitation mainly affects the end users of the system.
Cybersecurity specialists discovered that it is possible to bypass two-factor authentication (2FA) using the current version of the PayPal app for Android; this security measure is activated when the user tries to log into the platform from a new device, location, or IP address. To do this, the researchers used a MiTM proxy and, after a series of steps, obtained a token to log into the account.
The flaw has not been corrected, so it is not possible to reveal more technical details of the attack. In addition, this process is little complex and takes a few minutes to complete, so users are exposed to serious danger.
Researchers also discovered a way to confirm a new phone number on PayPal without the one-time PIN (OTP), a system to check if a phone number is associated with the account holder. Otherwise, the number is rejected.
When a user registers a new phone, a call is made to api-m.paypal.com, which sends the status of the phone confirmation. Specialists demonstrated that it is possible to change this call very easily, so PayPal will confirm the registration of the new number incorrectly.
To prevent fraud and other unlawful conduct, PayPal implemented, among other measures, a mechanism that is activated if one or more of the following conditions are detected:
If these conditions are met, PayPal throws some error messages to users such as:
During the investigation it was discovered that this send blocking mechanism is vulnerable to brute force attacks, so an attacker with access to PayPal credentials can access the compromised accounts.
A default feature in PayPal states that users can only change one or two characters of their name at a time; after doing so, this option disappears. Cybersecurity specialists created a test account to demonstrate the presence of a flaw that allows full name modification at any time.
SmartChat is a self-help chat on PayPal that allows users to access the most frequent questions and answers. Cybersecurity specialists found that this implementation lacks validation that verifies the text that users enter. Using a Man-in-The-Middle (MiTM) attack, the researchers were able to capture traffic directed at PayPal’s servers and add a malicious payload to them.
This is a similar flaw to the above and exists because PayPal does not debug its Security Questions entry. The fault is exploitable using the same method described in the previous paragraph. Below is a screenshot that includes the test code injected into the target account, resulting in a clickable link:
A threat actor can inject scripts into other people’s accounts to extract sensitive data.
According to the International Institute of Cyber Security (IICS), reported flaws have not been corrected, so millions of PayPal users remain exposed to their exploitation. Like many other technology firms, PayPal has a vulnerability bounty program, operated through the HackerOne platform. Although this is one of the best-known disclosure platforms, cybersecurity specialists believe that HackerOne’s current reporting model somewhat hinders the work of ethical hackers and even encourages illicit practices such as the sale of exploits on the hacking black market.
Cyber Security 