Si bien GoDaddy descubrió la brecha de seguridad luego de que múltiples clientes reportaran a principios de diciembre de 2022 de que sus sitios se estaban utilizando para redirigir a dominios aleatorios, los atacantes tuvieron acceso a la red de la empresa durante varios años.

"Según nuestra investigación, creemos que estos incidentes son parte de una campaña de varios años por parte de un sofisticado grupo de actores de amenazas que, entre otras cosas, instaló malware en nuestros sistemas y obtuvo fragmentos de código relacionados con algunos servicios dentro de GoDaddy", dijo la firma de hosting.

La compañía afirmó que las brechas anteriores reveladas en noviembre de 2021 y marzo de 2020 también están vinculadas a esta campaña de varios años.

El incidente de noviembre de 2021 condujo a una violación de datos que afectó a 1,2 millones de clientes con WordPress después de que los atacantes violaran el entorno de alojamiento de WordPress de GoDaddy utilizando una contraseña comprometida.

Obtuvieron acceso a las direcciones de correo electrónico de todos los clientes afectados, sus contraseñas de administrador de WordPress, credenciales de base de datos y sFTP, y claves privadas SSL de un subconjunto de clientes activos.

Después de la filtración de marzo de 2020, GoDaddy alertó a 28.000 clientes de que un atacante usó las credenciales de su cuenta de alojamiento web en octubre de 2019 para conectarse a su cuenta de alojamiento a través de SSH.

GoDaddy ahora está trabajando con expertos forenses de ciberseguridad externos y agencias gubernamentales en todo el mundo como parte de una investigación en curso sobre la causa raíz de la violación.

Vínculos a ataques dirigidos a otras empresas de hosting

GoDaddy dice que también encontró evidencia adicional que vincula a los actores de amenazas con una campaña más amplia dirigida a otras empresas de alojamiento en todo el mundo a lo largo de los años.

"Tenemos evidencia, y la policía lo ha confirmado, de que este incidente fue llevado a cabo por un grupo sofisticado y organizado que tenía como objetivo servicios de hosting como GoDaddy", dijo la compañía en un comunicado.

"Según la información que hemos recibido, su objetivo aparente es infectar sitios web y servidores con malware para campañas de phishing, distribución de malware y otras actividades maliciosas".

GoDaddy es uno de los registradores de dominios más grandes y también brinda servicios de alojamiento (hosting) a más de 20 millones de clientes en todo el mundo.

Fuente: BleepingComputer

¿Qué versiones de WhatsApp están afectadas?

¿Cómo actualizar WhatsApp?

Fuente: Derecho de la Red

Un documento interno del FBI fue publicado recientemente por "Rolling Stone" en donde se señala qué datos puede recolectar legalmente esta agencia de aplicaciones de mensajería instantánea como WhatsApp o iMessage.

Para ver la imagen y sus detalles en tamaño completo, haz click aquí (2048x1209).

Sin privacidad

Los fallos de seguridad fueron descubiertos e informados por la experta Natalie Silvanovich perteneciente al Proyecto de Google conocido como " Project Zero", estas vulnerabilidades afectan al cliente Zoom en todas las plataformas principales ( Windows, macOS, Linux, iOS y Android ) y podrían explotarse para ataques de ejecución de código (RCE).

La vulnerabilidad está presente en el complemento (plugin) de WordPress conocido como WP Reset PRO, que al momento de esta publicación es utilizado por más de 400.000 sitios web. Los investigadores de seguridad de Patchstack (anteriormente conocido como WebARX) han descubierto esta vulnerabilidad de alta gravedad que permite a los usuarios autenticados borrar datos de sitios web vulnerables.

Según su reporte, un atacante puede aprovechar la vulnerabilidad para borrar toda la base de datos del sitio web simplemente visitando la página de inicio del sitio para iniciar el proceso de instalación de WordPress. El CEO de Patschstack, Oliver Sild, lo llamó una "vulnerabilidad destructiva" que puede causar principalmente problemas para los sitios web de comercio electrónico que ofrecen registro abierto.

Sobre la vulnerabilidad

Es importante destacar que cualquier usuario autenticado (con cualquier tipo de rol o privilegio) puede aprovechar esta vulnerabilidad, ya sea que esté autorizado o no, y borrar todas las tablas almacenadas en una base de datos de instalación de WordPress para reiniciar el proceso de instalación de WordPress.

Un atacante malicioso puede abusar de esta falla para crear una cuenta de Administrador en el sitio web, lo cual es necesario para completar el proceso de instalación. Además, el atacante puede explotar esta nueva cuenta de administrador para cargar complementos maliciosos en el sitio web o instalar puertas traseras, troyanos y llevar al total compromiso del servidor.

"El problema en este complemento se debe a la falta de autorización y verificación del token nonce. El complemento registra algunas acciones en el scope admin_action_*. En el caso de esta vulnerabilidad, es admin_action_wpr_delete_snapshot_tables", informa el reporte.

"Desafortunadamente, el scope de admin_action_* no realiza una verificación para determinar si el usuario está autorizado para realizar dicha acción, ni valida o verifica un token nonce para prevenir ataques CSRF".

¿Qué versiones se ven afectadas?

Esta vulnerabilidad está clasificada como CVE-2021-36909 y afecta las versiones premium del complemento WP Reset, incluidas todas las versiones lanzadas hasta la v.5.98. El complemento está diseñado para ayudar a los administradores a restablecer todo el sitio web o algunas partes del mismo para realizar una depuración y pruebas más rápidas y restaurar el sitio a partir de instantáneas integradas. Todo esto se hace con un solo clic del mouse.

La parte del código vulnerable se encuentra en la función delete_snapshot_tables:

Se puede ver que el parámetro de consulta uid se toma de la URL, mismo que es usado como prefijo de las tablas que deben eliminarse. Dado que se usa el operador LIKE, se puede pasar un parámetro de consulta como "%% wp" para eliminar todas las tablas con el prefijo wp.

Sild explicó que el error podría aprovecharse para acceder a otros sitios web en el mismo servidor y permitir movimientos laterales que llevarían a compromisos más serios.

"Si hay un sitio antiguo olvidado en un subdirectorio (vemos eso mucho) que tiene ese complemento instalado y el entorno del servidor está conectado, entonces esto permitiría acceder a otros sitios en el mismo entorno", señaló Sild.

El fallo de seguridad se corrigió en la versión WP Reset PRO 5.99. Por lo que para mitigar esta vulnerabilidad se recomienda actualizar el complemento a la última versión emitida por el fabricante

• - Expositor: Ing. Galoget Latorre - Penetration Tester | Ethical Hacker | OSCP | OSWP
• - Tema: Explotación de Vulnerabilidades en Aplicaciones Web (from zero to root)
• - Fecha: Jueves, 23 de Septiembre 2021
• - Hora: 21h00 PM
• - Costo: Acceso Libre, Evento Gratuito
• - Plataforma: Facebook Live

¡Los esperamos!

Durante las últimas semanas en Ecuador distintas Instituciones públicas y privadas han sido el centro de atención gracias a que cibercriminales publicaron en la Dark Web supuesta información de estas empresas, lo que abrió la posibilidad de considerar si estas instituciones (o a su vez empresas terceras que trabajan y comparten información con las entidades afectadas) quizás hayan sido víctimas de ciberataques, este post te contamos brevemente algunas reflexiones sobre el tema.