Ir al contenido principal
BlogSeguridadLinode Security Digest del 2 al 9 de octubre de 2022

Linode Security Digest del 2 al 9 de octubre de 2022

Linode Security Digest

En el resumen de esta semana hablaremos de lo siguiente:

  • Rancher almacena credenciales en texto plano que permiten la toma de control del clúster;
  • ModSecurity WAF bypasses;
  • seis vulnerabilidades en BIND; y
  • Akamai marca como maliciosos más de 13 millones de dominios al mes en lo que va de año.

Rancher Almacena credenciales en texto plano que permiten la toma del clúster

Rancher es una plataforma Kubernetes de código abierto que permite a los usuarios desplegar y ejecutar clústeres de contenedores a través de proveedores. Un informe de error reciente muestra que campos sensibles como contraseñas, claves API y tokens de cuenta se almacenaban directamente en objetos Kubernetes en texto plano y estaban disponibles para cualquier persona con acceso al objeto en cuestión. Esto tiene graves implicaciones para los controles de seguridad dentro de los objetos Kubernetes propiedad de Rancher. Como explica Marco Stuurman, ingeniero de sistemas de Linux:

"El atacante sólo necesitaba los mínimos privilegios posibles para un clúster que gestiona Rancher . Por ejemplo, el único privilegio de nuestro usuario del robot de monitorización era delegar peticiones HTTP de Rancher a la instancia de monitorización que se ejecutaba en el clúster objetivo."

He aquí las recomendaciones vigentes de los proveedores para solucionar estos problemas.

  • Rote los tokens de cuenta de servicio de Rancher ; los mantenedores de Ranchers han proporcionado un script.
  • Limitar el acceso a las instancias posteriores de Rancher . 
  • Compruebe los grupos aguas abajo en busca de signos potenciales de una brecha.
  • Cambia las credenciales que puedan haberse filtrado.

ModSecurity WAF

Trece nuevos hallazgos, incluyendo vulnerabilidades excepcionales, críticas y altas, fueron descubiertos en una reciente evaluación de OWASP ModSecurity Core Rule Set (CRS) para su Web Application Firewall (WAF). 

Dos de los hallazgos se basaron en la confusión de tipo de contenido donde el WAF y el servidor backend interpretaron el contenido de la solicitud de manera diferente debido a las reglas recomendadas por ModSecurity. 

Una de estas vulnerabilidades se aprovechaba específicamente de cómo los comentarios XML son ignorados por el WAF y eran capaces de inyectar datos válidos "x-www-form-urlencoded" que el WAF ignoraba debido a que eran parseados como un comentario XML.

Otro conjunto de hallazgos se basó en el tipo de contenido "multipart/form-data" en el que se permite el desvío mediante el uso del encabezado "Content-Dispositions", que permite a un atacante inyectar cadenas maliciosas entrecortadas.

CVE-2022-39955 es otro ejemplo de una de las vulnerabilidades surgidas de esta evaluación. El uso de "utf-7" como conjunto de caracteres adicional y la codificación del cuerpo permiten un bypass ambiguo.

Estas vulnerabilidades y muchas más están corregidas en los parches más recientes realizados por ModSecurity y CRS.

Seis vulnerabilidades en BIND

El Consorcio de Sistemas de Internet (ISC) ha publicado en BIND en relación con la degradación del rendimiento de resolución, sobrecargas de búfer, fugas de memoria y terminaciones inesperadas.

CVE-2022-2795 es una vulnerabilidad que inunda el resolver de destino con consultas que explotan este fallo; un aviso puede degradar gravemente el rendimiento de un resolver, pudiendo resultar en un ataque DOS.

CVE-2022-2881 es un error subyacente que permite leer más allá de un búfer especificado. Esto puede provocar que se lea memoria que no debería leerse o incluso que el proceso se bloquee por completo.

CVE-2022-2906, CVE-2022-38177 y CVE-2022-38178 están relacionados con fugas de memoria. Estas fugas de memoria están causadas por firmas ECDSA o EdDSA mal formadas y otros defectos, lo que permite que el proceso en ejecución ocupe más memoria de la que necesita, erosionando la memoria disponible en el sistema y pudiendo provocar un bloqueo del proceso por falta de recursos.

CVE-2022-3080 es una vulnerabilidad que permite a un atacante enviar una consulta específica que provoca que el proceso de resolución se bloquee por completo.

Estas vulnerabilidades se han corregido en las versiones estables más recientes de BIND 9.18 y 9.16.

13 millones de dominios maliciosos marcados en un mes

Akamai ha marcado más de 79 millones de dominios desde principios de 2022, unos 13 millones de dominios al mes. En conjunto, esta cifra representa más del 20 % de todos los dominios nuevos que se han resuelto satisfactoriamente.

Estas detecciones se basan en algo llamado Nuevos Dominios Observados (NOD). Akamai determina un NOD como un dominio que no ha sido resuelto en 60 días. Esto puede incluir dominios recién comprados o simplemente dominios recién utilizados. Detecciones similares miran cuándo se registró un dominio, que es un sistema limitado, ya que algunos actores maliciosos simplemente son capaces de sentarse en un dominio durante un tiempo determinado una vez que se registra para utilizarlo y evadir ese sistema. Del mismo modo, otras organizaciones que monitorizan NODs no lo hacen a la escala de Akamai; monitorizan en límites temporales de 30 minutos a 72 horas y muy lejos de los 60 días que lo hace Akamai. 

Los NOD no son del todo útiles por sí solos, pero cuando se combinan con otros datos de inteligencia, pueden proporcionar una enorme visión de los dominios y de cómo se utilizan. Las aplicaciones de los NOD son, por ejemplo, el phishing y la detección rápida de amenazas. Sin embargo, estos NOD no se limitan a fines de detección de actividades maliciosas, como el análisis heurístico. 

En general, parece como si esos NODs fueran a ser continuamente vitales en la caza de amenazas, así como para determinar el comportamiento malicioso y los pasos actuales que Akamai está dando para allanar el camino a seguir. 


Comentarios

Dejar una respuesta

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.