Grave vulnerabilidad sin parche en Java

Se ha descubierto una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público. Es el peor escenario posible.

Todavía no se sabe mucho sobre la vulnerabilidad, puesto que no ha dado tiempo a realizar un estudio exhaustivo, pero lo divulgado por ahora nos sitúa en el peor escenario posible.

FireEye descubría un servidor con un .jar que aprovechaba una vulnerabilidad. Por tanto, alguien la conoce y está aprovechando el fallo. A través de un dominio de tercer nivel dinámico (aa24.net) y un servidor de correo web de una compañía china (que probablemente haya sido atacada), se está (todavía) distribuyendo malware gracias a ese fallo en Java.

A través de un índice en la carpeta "meeting" del servidor, muy ofuscado con Javascript, el malware que se está distribuyendo es este:

https://www.virustotal.com/file/09d10ae0f763e91982e1c276aad0b26a575840ad986b8f53553a4ea0a948200f/analysis/

y

https://www.virustotal.com/file/8c9483b6b29a7f75054a9520bafbfcec145e9bc4cac17494d61308dc71beadc0/analysis/

El problema afecta a la última versión de Java en su rama 7, hasta su "update 6". No afecta a la rama 6, que todavía se mantiene pero que se encuentra en periodo de "extinción". Funciona sobre los principales navegadores e incluso con EMET activo.

A pesar de que los investigadores que lo descubrieron no ofrecieron detalles, un tercero ha publicado una prueba de concepto para explotar el fallo, con lo que se abría la puerta a que cualquiera pudiera explotarla.

El código es sencillo, limpio, funcional y fiable. Compilar y lanzar. Poco después, se ha introducido como módulo en Metasploit.

Esto licencia a que cualquier atacante pueda comenzar a distribuir su propio malware (muy probablemente durante los próximos días se pueda ver en Blackhole, el kit de explotación de moda entre los atacantes). Si, como ya hemos mencionado en más de una ocasión, una máquina virtual de Java no actualizada es lo que más aprovechan los creadores de malware para distribuir sus muestras, esta vulnerabilidad permite "abrir el mercado" también entre los actualizados.

Extracto del código del .Jar

En ausencia de un parche eficaz, no existe una forma sencilla de mitigar el problema. Lo más recomendable es deshabilitar Java del navegador. No se sabe cuándo solucionará Oracle el problema. Su ciclo cuatrimestral de actualizaciones, sugiere que hasta el 16 de octubre puede que no parcheen el gravísimo problema. Desde luego, Oracle no suele publicar parches fuera de ciclo. En contadas ocasiones lo ha hecho con su base de datos, su producto estrella. Pero menos aún con Java desde que le pertenece.

En abril de 2010 Tavis Ormandy y Rubén Santamarta descubrieron un grave fallo de seguridad en JRE. A Ormandy le dijeron desde Oracle que no lo consideraban tan grave como para publicar nada antes del periodo establecido. Una semana después, publicaban un parche fuera de ciclo (Java 6 Update 20), que no acreditaba la corrección de la vulnerabilidad. Tuvieron que comprobar que, simplemente, el fallo dejaba de darse, pero no había confirmación oficial.

Fuente: http://unaaldia.hispasec.com/

Filtran más de 1TB de bases de datos; CIA y MIT entre los afectados

El grupo de hackers TeamGhostShell liberó más de un terabyte de información que supuestamente contiene miles de bases de datos de organizaciones públicas y privadas. 

Entre los afectados se encuentra la CIA, el MIT y diversos grupos financieros de Wall Street. Además de los gobiernos de Estados Unidos, China y Japón, aseguraron los hackers.

De acuerdo con un comunicado liberado por grupo, son más de 100 las organizaciones afectadas por la operación Project Hell Fire, que comenzó a principios de año.

Los hackers señalaron que sus principales objetivos fueron empresas proveedoras de gobierno, en especial las que trabajan con los ejércitos y cuerpos de seguridad.

En el documento los responsables de los embates no aclararon las áreas a las que pertenece la información, ni las fechas durante las que se realizó el robo de datos.

La filtración en números

El grupo indicó que entre los documentos filtrados se encuentran disponibles más de seis mil millones de bases de datos con información sobre desarrollos tecnológicos del gobierno japonés y chino.

Los enlaces publicados por los hackers incluyen más de 105,000 millones de datos relacionados con el mercado cambiario estadounidense y tres puertos de acceso para los servidores del Departamento de Seguridad Nacional de los Estados Unidos, afirmaron.

Lo cibercriminales indicaron que como parte de la operación obtuvieron más de un millon de nombres, claves de acceso y contraseñas bancarias de usuarios estadounidenses.

En el boletín, distribuido a través de Twitter, los hackers aclaran que sólo divulgarán una parte de la información en su poder. Sin embargo, explicaron que el resto será entregada a quien lo solicite.

En el documento los hackers amenazaron con continuar con los ataques y sentenciaron que para finales de año pondrán en marcha un par de operaciones en conjunto con Anonymous.

Fuente: http://www.bsecure.com.mx/