Vulnerabilidad Crítica en Linux, zero-day de Firefox, Filtraciones de Nvidia y Samsung Galaxy
En el notihack de esta semana:
- Revelan vulnerabilidad crítica en Linux
- Microsoft también dejará de proveer productos a Rusia
- Filtran miles de contraseñas de empleados de Nvidia
- NFT de la bandera de Ucrania fue vendido por millones de dólares
- Ciberdelincuentes robaron el código fuente de dispositivos Galaxy
- Vulnerabilidades zero-day de Firefox están siendo explotadas
Nueva vulnerabilidad de Linux permite acceso root en las distros más populares
Linux es conocido por su seguridad, de hecho muchos usuarios suelen jactarse de que no tienen que lidiar con vulnerabilidades como lo harían si usaran Windows. No obstante, en los últimos meses hemos conocido algunas vulnerabilidades críticas en Linux que demuestran que ningún sistema es 100% seguro.
Y es que resulta que una nueva vulnerabilidad de Linux conocida como ‘Dirty Pipe’ permite a los usuarios locales obtener privilegios de root a través de exploits disponibles públicamente.
El lunes, el investigador de seguridad Max Kellermann reveló responsablemente la vulnerabilidad ‘Dirty Pipe’ y afirmó que afecta al kernel de Linux 5.8 y versiones posteriores; incluso afecta dispositivos Android.
La vulnerabilidad permite que un usuario sin privilegios inyecte y sobrescriba datos en archivos de solo lectura, incluidos los procesos SUID que se ejecutan como root.
Kellerman descubrió la vulnerabilidad después de rastrear un error que estaba dañando los registros de acceso al servidor web de uno de sus clientes.
Como parte de la divulgación de Dirty Pipe, Kellerman lanzó un exploit de prueba de concepto (PoC) que permite a los usuarios locales inyectar sus propios datos en archivos confidenciales de solo lectura, eliminando restricciones o modificando configuraciones para proporcionar un mayor acceso del que normalmente tendrían.
La vulnerabilidad fue reportada responsablemente a varios desarrolladores de Linux a partir del 20 de febrero de 2022, incluido el equipo de seguridad del kernel de Linux y el equipo de seguridad de Android.
Si bien la vulnerabilidad se solucionó en los kernels de Linux 5.16.11, 5.15.25 y 5.10.102, muchos servidores continúan ejecutando kernels obsoletos, lo que hace que el lanzamiento de este exploit sea un problema importante para los administradores de servidores.
La vulnerabilidades especialmente preocupante para los proveedores de alojamiento web que ofrecen acceso de shell de Linux o universidades que comúnmente brindan acceso de shell a sistemas Linux multiusuario.
Microsoft suspende las ventas de productos y servicios en Rusia
Rusia sigue su implacable ataque hacia Ucrania y por ello muchas empresas han decidido dejar de brindar sus servicios a los ciudadanos rusos, una de las últimas empresas en unirse a esta iniciativa es Microsoft.
Microsoft anunció el pasado viernes que suspendía las nuevas ventas de sus productos y servicios en Rusia. De este modo se sumó a otras compañías en distanciarse de Moscú tras la invasión de Ucrania.
Con esta medida Microsoft siguió los pasos de algunas compañías tecnológicas como Apple, Google, Oracle y Dell que decidieron cortar o limitar las relaciones con el país gobernado por Putin.
El presidente de Microsoft Brad Smith, afirmó:
Al igual que el resto del mundo, estamos horrorizados, enojados y entristecidos por las imágenes y noticias que llegan de la guerra en Ucrania y condenamos esta invasión injustificada, no provocada e ilegal de Rusia.
Esta acción es el último movimiento de Microsoft sobre la guerra en Ucrania. A principios de la semana pasada Smith habló sobre la lucha contra los ataques cibernéticos y la desinformación durante la guerra en Ucrania.
Smith agregó que Microsoft está trabajando con los gobiernos de Estados Unidos, la Unión Europea y el Reino Unido para detener “muchos aspectos” de su negocio en Rusia.
Desde el comienzo de la guerra en Ucrania, Microsoft ha actuado contra los movimientos rusos que atacaron 20 organizaciones ucranianas del sector financiero, gubernamental e informático. Smith enfatizó que la protección de la ciberseguridad de Ucrania es casi con certeza el “área de trabajo más impactante” de Microsoft durante la guerra.
Microsoft continúa trabajando con el Comité Internacional de la Cruz Roja (CICR) y varias agencias de la ONU para ayudar a los refugiados.
A principios de la semana pasada también nos enteramos que Intel y AMD detuvieron los envíos y las ventas de procesadores a Rusia a la luz de las nuevas sanciones para tratar de detener a Rusia.
Ciberdelincuentes filtraron más de 71,000 credenciales de empleados de Nvidia
La semana pasada, el fabricante de chips Nvidia sufrió un ataque cibernético en el que robaron un terabyte de datos de la empresa. Por si no conoces los detalles, puedes echar un vistazo a nuestro notihack de la semana pasada para conocer la historia.
El grupo de ransomware Lapsus$ se atribuyó la culpa del ataque cibernético y amenazó a la empresa de revelar “secretos” si no cumplían con unas peticiones.
El pasado viernes nos enteramos que el grupo de hackers ya filtró algunos datos de los empleados de Nvidia. El sitio web de monitoreo de filtraciones de datos Have I Been Pwned (HIBP) reportó que el grupo de delincuentes cibernéticos robó las credenciales de más de 71,000 empleados de la compañía.
Entre los datos revelados se encuentran direcciones de correo electrónico y hashes de contraseñas de Windows. HIBP reportó que muchos de estos hashes “fueron posteriormente descifrados y distribuidos dentro de la comunidad de hackers”.
No obstante, la información robada no sorprendió a Nvidia. Cuando ocurrió el ataque, la compañía conoció que las credenciales de dichos empleados fueron robadas. Según informó TechCrunch, la compañía no confirmó si notificó o no a los afectados, o si se les sugirió restablecer las contraseñas de estas cuentas. Además, a pesar de las consecuencias y la cercanía de la fecha establecida en la amenaza del grupo de ciberdelincuentes, la página de respuesta a incidencias de la empresa no se ha actualizado desde el pasado martes.
Este ataque ha sido muy particular,en primer lugar porque la primera reacción de Nvidia fue atacar a los ciberdelincuentes con ransomware para evitar que la información robada fuese aprovechada. Y en segundo lugar por las demandas poco comunes de los atacantes.
Los ciberdelincuentes amenazaron con divulgar información más importante como los secretos comerciales de la empresa, a menos que Nvidia cumpla con las peticiones que se solicitan. Entre las peticiones solicitan que elimine su función Lite Hash Rate (LHR). Esta función ha sido bastante criticada ya que limita las capacidades de minar Ehtereum en las tarjetas gráficas de serie RTX30.
Además, Lapsus$ pidió a Nvidia liberar el código fuente de sus controladores de chips gráficos para dispositivos macOS, Windows y Linux.
Un NFT de la bandera ucraniana fue vendido por más de 2,000 ETH
Cuando las noticias de la guerra en Ucrania comenzaron a dominar las noticias y las redes sociales, un grupo de criptoactivistas y entusiastas se reunió rápidamente para apoyar a Ucrania.
Pero, ante la situación tan convulsa, ¿Cuál podría ser la estrategia ideal para apoyar? Sencillo: una subasta de un NFT de la bandera de Ucrania. Este NFT fue vendido por 2,100 ETH hace unos días. La cifra obtenida por la venta, según el precio de mercado actual, equivale a unos 6.5 millones de dólares. La venta fue organizada por UkraineDAO, una campaña de crowdfunding que busca ayudar económicamente a Ucrania en su actual guerra con Rusia.
Detrás de UkraineDAO se encuentran Pussy Riot y Trippy Labs, ampliamente conocidos en el mundo de los NFTs y las DAOs. Los donantes recibirán tokens llamdos “LOVE” que, según explicó UkraineDAO en su sitio web, no tienen utilidad o valor, pero dan testimonio de la contribución a una noble causa. La cantidad de tokens “LOVE” que reciban será equivalente al número de Ethereum que donó cada persona.
El dinero recaudado con este NFT se destinará a Come Back Alive, una organización que suministra bienes a civiles y militares en Ucrania. UkraineDAO ha recaudado tanto donaciones de PartyBird; una plataforma que permite subastas conjuntas para NFT, como donaciones directas de ETH.
Ahora bien, existen algunos aspectos llamativos detrás de la iniciativa. Por ejemplo, OnlyFans donó alrededor de 500 ETH a la causa. En otras palabras, si eres suscriptor de OnlyFans, puedes sentirte orgulloso de haber contribuido un poquito.
La iniciativa de UkraineDAO no es la única que hemos visto en el mundo de las criptomonedas con el objetivo de ayudar a Ucrania. De hecho, el pasado 26 de febrero, el propio gobierno tuiteó las direcciones de sus wallets de Bitcoin, Ethereum y USDT, entre otros, para que, quien quiera, pueda contribuir directamente con el país.
En total, las donaciones para ayudar a Ucrania en su conflicto con Rusia han superado los 52 millones de dólares, según Forbes.
Samsung confirma que ciberdelincuentes robaron el código fuente de sus teléfonos Galaxy
Los grupos de ciberdelincuentes han estado muy activos en los últimos días perpetrando ataques de alto perfil.
Esta semana, el gigante tecnológico de Corea del Sur, Samsung confirmó que ciberdelincuentes robaron con éxito datos internos de la empresa y el código fuente de los dispositivos Galaxy.
La noticia del incidente fue reportada por primera vez a principios de este mes, y un grupo de hackers llamado Lapsus$ se atribuyó la responsabilidad. El grupo, que recientemente hackeó Nvidia, compartió capturas de pantalla que supuestamente mostraban aproximadamente 200 GB de datos robados, incluido el código fuente utilizado por Samsung para el cifrado y las funciones de desbloqueo biométrico en el hardware Galaxy.
En el comunicado publicado, Samsung no confirmó ni negó la identidad de los hackers, ni si habían robado o no datos relacionados con el cifrado y la biometría. No obstante, la compañía dijo que no habían robado datos personales, ni de empleados ni de clientes.
Bloomberg News SamMobile compartieron el comunicado de Samsung en donde la empresa afirmó:
Hubo una brecha de seguridad relacionada con ciertos datos internos de la empresa. “Según nuestro análisis inicial, la infracción involucra algún código fuente relacionado con el funcionamiento de los dispositivos Galaxy, pero no incluye la información personal de nuestros consumidores o empleados. En este momento, no anticipamos ningún impacto en nuestro negocio o clientes. Hemos implementado medidas para evitar más incidentes de este tipo y continuaremos sirviendo a nuestros clientes sin interrupciones”.
En el caso del reciente ataque a Nvidia, el grupo de hackers Lapsus$ intentó chantajear a la empresa y amenazó con filtrar datos en línea a menos que Nvidia eliminara los limitadores de minería de criptomonedas de ciertas GPU e hiciera que los controladores de estas tarjetas de video fueran de código abierto. No está claro si Lapsus$ realizó alguna amenaza a Samsung tratando de obtener concesiones específicas.
Mozilla corrigió dos vulnerabilidades críticas de Firefox que están siendo explotadas activamente
Si utilizas el navegador Firefox debes actualizarlo inmediatamente para obtener los parches para dos fallas críticas que se están siendo explotadas en el entorno.
Mozilla lanzó a principios de esta semana Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 y Focus 97.3.0 para corregir dos vulnerabilidades críticas zero-day (día cero) que están siendo aprovechadas activamente en ataques.
Ambas vulnerabilidades de día cero son de tipo “Use-after-free”. Este tipo de vulnerabilidades ocurre cuando un programa intenta usar la memoria que se ha liberado previamente. Cuando los hackers explotan este tipo de vulnerabilidades, pueden lograr que el programa se bloquee y, al mismo tiempo, permitir que se ejecuten comandos en el dispositivo sin permiso.
Estas vulnerabilidades son críticas porque podrían permitir que un atacante remoto ejecute casi cualquier comando, incluida la descarga de malware para proporcionar más acceso al dispositivo.
Tal como explica el aviso de seguridad de Mozilla, los desarrolladores de Firefox están al tanto de los “informes de ataques en el entorno” que están explotando activamente estas vulnerabilidades.
Si bien Mozilla no compartió cómo los ciberdelincuentes pueden usar estas vulnerabilidades en los ataques, es probable que lo hagan redirigiendo a los usuarios de Firefox a páginas web creadas con fines malintencionados.
Las vulnerabilidades fueron descubiertas y reveladas a Mozilla por la empresa china de ciberseguridad Qihoo 360
Debido a la naturaleza crítica de estas vulnerabilidades y que se están explotando activamente, es necesario – tal como lo dije al principio de la nota – que todos los usuarios de Firefox actualicen sus navegadores de inmediato.