Un grupo de hackers están explotando las vulnerabilidades de Apache Log4j

log4j

Se dio a conocer la noticia de que hace poco detectaron a un grupo de hackers patrocinado por el estado iraní los cuales están explotando activamente las vulnerabilidades en Apache Log4j para distribuir un nuevo conjunto de herramientas modular de PowerShell.

Detallado por investigadores de Check Point Software Technologies, el grupo de hackers APT35, también conocido como Phosphorous and Charming Kitten, fue detectado por primera vez explotando Log4j solo cuatro días después de que se revelara la primera vulnerabilidad.

La configuración del ataque se describe como apresurada, ya que el grupo usó únicamente un kit básico de explotación JNDI de código abierto.

Habiendo obtenido acceso a un servicio vulnerable, los hackers iraníes incluyeron un nuevo marco modular basado en PowerShell que se denominó «CharmPower». El script se utiliza para establecer la persistencia, recopilar información y ejecutar comandos.

CharmPower tiene cuatro módulos iniciales principales:

  • El primero valida una conexión de red
  • El segundo recopila información básica del sistema, como la versión de Windows, el nombre de la computadora y el contenido de varios archivos del sistema.
  • El tercer módulo decodifica el dominio de comando y control recuperado de una URL codificada almacenada en un depósito S3 de Amazon Web Services Inc
  • Mientras que el módulo final recibe, descifra y ejecuta los módulos de seguimiento.

Según la información recopilada por la implementación inicial, APT35 luego implementa módulos personalizados adicionales para facilitar el robo de datos y ocultar su presencia en la máquina infectada.

APT35 es un conocido grupo de hackers que estuvo relacionado con ataques en 2020 contra la campaña de Trump, funcionarios actuales y anteriores del gobierno de EE. UU., periodistas que cubren la política mundial y destacados iraníes que viven fuera de Irán. El grupo también apuntó a la Conferencia de Seguridad de Munich ese mismo año.

“La investigación que relaciona la explotación de Log4Shell con el APT Charming Kitten iraní coincide, y de alguna manera entra en conflicto, con una declaración hecha por la Agencia de Seguridad e Infraestructura de Ciberseguridad de EE. UU. el 10 de enero que sugería que no había habido intrusiones significativas relacionadas con el error en ese momento”.

“Esto probablemente enfatiza los problemas actuales con la divulgación y transparencia de incidentes, y el retraso que puede existir entre la actividad del actor de amenazas y el descubrimiento.

John Bambenek, principal cazador de amenazas de la empresa de administración de servicios de tecnología de la información Netenrich Inc. , dijo que no es sorprendente que los actores de segundo nivel del estado-nación aprovechen la oportunidad presentada por la vulnerabilidad log4j de manera apresurada.

“Cualquier hazaña de esta gravedad sería aprovechada por cualquiera que busque un punto de apoyo rápido y, a veces, se abren ventanas tácticas como esta, lo que significa que hay que actuar con rapidez”, dijo Bambenek. “La pregunta más importante es qué agencia de inteligencia estaba usando esto antes de que se hiciera pública la vulnerabilidad”.

La falla de Log4j, que también se conoce como Log4Shell y se rastrea como CVE-2021-44228, es una amenaza importante debido al amplio uso empresarial de Log4j y la gran cantidad de servidores y servicios basados ​​en la nube que podrían estar expuestos vulnerabilidades del tipo zeroday. Log4j, una herramienta de código abierto gratuita y ampliamente distribuida de Apache Software Foundation, es una herramienta de registro y la falla afecta a la versión 2.0 a la 2.14.1.

Los profesionales de la seguridad han dicho que la amenaza que representa Log4Shell es tan alta no solo por el alcance del uso de la herramienta, sino también por la facilidad con la que se puede explotar la vulnerabilidad. Los actores de amenazas solo necesitan enviar una cadena que incluya el código malicioso, que Log4j analiza y registra y carga en un servidor. Luego, los piratas informáticos pueden obtener el control d

La noticia de que los hackers iraníes estaban explotando las vulnerabilidades de Log4j se produjo cuando la Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU. reveló que había identificado varias herramientas de código abierto que los agentes de inteligencia iraníes están utilizando en redes de todo el mundo.

La divulgación se relaciona con un grupo de hackers patrocinado por el estado iraní denominado “MuddyWater”.

El grupo ha estado vinculado al Ministerio de Inteligencia y Seguridad de Irán y se dirige principalmente a otras naciones en el Medio Oriente y, en ocasiones, a países de Europa y América del Norte.

Si quieres conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/3tr4THG
via IFTTT

Google solicito a EE. UU. que haga que de los proyectos open source criticos sean más seguros

Después de la «Summit on open-source security» organizada en la Casa Blanca, Google ha pedido una mayor participación del gobierno en la identificación y protección de proyectos críticos de software de código abierto.

Mediante una publicación Kent Walker, presidente de asuntos globales y director legal de Google, quien dijo en una publicación de blog que se necesita una colaboración más estrecha entre el sector privado y el gobierno para garantizar más financiamiento y liderazgo para la seguridad del software de código abierto.

“Necesitamos una asociación público-privada para identificar una lista de proyectos críticos de código abierto, con la criticidad determinada en función de la influencia y la importancia de un proyecto, para ayudar a priorizar y asignar recursos para las evaluaciones y mejoras de seguridad más esenciales”, escribió Walker.

A más largo plazo, esa asociación debe idear nuevas formas de identificar el software de código abierto que podría representar un riesgo sistémico, en función de cómo se integre con proyectos críticos, de modo que pueda anticipar el nivel de seguridad necesario para garantizar su seguridad. , agregó Walker.

Google también quiere que el gobierno y las industrias se unan para establecer estándares de referencia para la seguridad, el mantenimiento, la procedencia y las pruebas del software de código abierto.

Eso es para garantizar que la infraestructura nacional y otros sistemas importantes puedan confiar en dichos proyectos. Walker dijo que los estándares deben desarrollarse a través de un proceso colaborativo que enfatice actualizaciones frecuentes, pruebas continuas e integridad verificada.

Por último, Walker solicitó más fondos tanto del gobierno como del sector privado. Señaló que muchas empresas y organizaciones líderes ni siquiera saben cuánto de su infraestructura crítica se basa en proyectos de código abierto.

Para remediar eso, pidió una mayor conciencia, así como la creación de un mercado para el mantenimiento de código abierto que uniría a los voluntarios de empresas y organizaciones con proyectos críticos que necesitan apoyo. Walker prometió que Google está listo para apoyar tal iniciativa.

La falta de recursos para el mantenimiento y la seguridad del software de código abierto es un problema que se planteó en el pasado, pero resurgió este mes tras el descubrimiento de una falla grave en la biblioteca Java de Log4j, una de las mayores vulnerabilidades de ciberseguridad detectadas en años recientes. La biblioteca Log4j es de código abierto, en su mayoría desarrollada y mantenida por mano de obra no remunerada.

“El código de software de código abierto está disponible para el público, gratis para que cualquiera lo use, modifique o inspeccione”, escribió Walker. “Es por eso que muchos aspectos de la infraestructura crítica y los sistemas de seguridad nacional lo incorporan. Pero no hay asignación oficial de recursos y pocos requisitos o estándares formales para mantener la seguridad de ese código crítico. De hecho, la mayor parte del trabajo para mantener y mejorar la seguridad del código abierto, incluida la reparación de vulnerabilidades conocidas, se realiza de forma voluntaria ad hoc”.

La mayor parte de la financiación del software de código abierto suele provenir de donaciones individuales de simpatizantes o del patrocinio de empresas tecnológicas que dependen de él. Por ejemplo, Google comprometió recientemente $100 millones para el programa de recompensas Secure Open Source de la Fundación Linux, cuyo objetivo es proporcionar una compensación financiera a los desarrolladores que mejoran la seguridad de los proyectos clave.

Por su parte, la unidad Red Hat de IBM Corp., cuyos ejecutivos asistieron a la reunión del Consejo de Seguridad Nacional de la Casa Blanca, dijo que apoya los esfuerzos del gobierno para mejorar la seguridad de todo tipo de software.

“Un tema clave de la reunión fue el reconocimiento de que el software de código abierto ha acelerado el ritmo de la innovación tecnológica, brinda enormes beneficios sociales y económicos y puede contribuir en gran medida a mejorar la confianza y la ciberseguridad”, dijo Red Hat en un comunicado

“Esperamos trabajar con la Administración y un amplio conjunto de partes interesadas en los próximos pasos y continuaremos enfocándonos en apoyar a nuestros clientes y fortalecer el ecosistema de código abierto”.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/3noUOr3
via IFTTT

BumbleBee, un excelente proyecto para simplificar la creación y distribución de programas eBPF

Solo.io, la empresa de informática en la nube, microservicios, sandboxed y serverless, dio a conocer el proyecto de código abierto «BumbleBee». El nuevo proyecto simplifica la experiencia del desarrollador para construir, empaquetar y distribuir herramientas eBPF, según Solo.

BumbleBee genera automáticamente un código de espacio de usuario repetitivo para desarrollar herramientas eBPF, explicó la compañía. También brinda una experiencia similar a Docker para empaquetar un programa eBPF. Esto le permite conectarse a otros flujos de trabajo de imágenes OCI para su publicación y distribución.

Sobre BumbleBee

BumbleBee hace posible empaquetar un programa eBPF como una imagen de contenedor de Open Container Initiative (OCI) que se puede ejecutar en cualquier sistema sin volver a compilar o usar componentes adicionales en el espacio del usuario.

La interacción con el código eBPF en el kernel, incluido el procesamiento de datos provenientes del procesador eBPF, es manejada por BumbleBee, que exporta automáticamente estos datos en forma de métricas, histogramas o registros, a los que se puede acceder, por ejemplo, usando la utilidad curl. El enfoque propuesto permite al desarrollador concentrarse en escribir código eBPF y no distraerse con la organización de la interacción con este código desde el espacio del usuario, el ensamblaje y la carga en el kernel.

El CEO de Solo.io, Idit Levine, dice que:

La compañía desarrolló BumbleBee para generar automáticamente el código de espacio de usuario repetitivo que se requiere para acceder a las tecnologías eBPF que se ejecutan a nivel de kernel. BumbleBee incluye una interfaz de línea de comandos (CLI) que genera automáticamente el código de espacio de usuario para los programas eBPF mediante la exposición automática de mapas como registros, métricas e histogramas.

Para administrar los programas eBPF, se ofrece una utilidad estilo Docker «bee», con la que puede descargar inmediatamente el controlador eBPF de interés desde un repositorio externo y ejecutarlo en el sistema local.

El kit de herramientas le permite generar un marco de código C para los controladores eBPF de un tema seleccionado (actualmente solo se admiten los controladores de red y de archivos que interceptan llamadas a la pila de red y los sistemas de archivos). Basado en el marco generado, el desarrollador puede implementar rápidamente la funcionalidad que le interesa.

A diferencia de BCC (BPF Compiler Collection), BumbleBee no reconstruye completamente el código del controlador para cada versión del kernel de Linux (BCC usa la compilación sobre la marcha con Clang cada vez que se ejecuta el programa eBPF).

Para resolver los problemas de portabilidad, se están desarrollando los kits de herramientas CO-RE y libbpf, que le permiten compilar código una sola vez y usar un cargador universal especial que adapta el programa cargado al kernel actual y los tipos BTF (formato de tipo BPF).

BumbleBee es un complemento sobre libbpf y proporciona tipos adicionales para la interpretación automática y visualización de datos colocados en estructuras de mapas eBPF estándar RingBuffer y HashMap.

Para construir el programa eBPF final y guardarlo como una imagen OCI, simplemente se debe ejecutar el comando:

bee build file_with_code name:version

Y ejecutar el comando

bee run name:version

De forma predeterminada, los eventos recibidos del controlador se mostrarán en la ventana del terminal, pero si es necesario, puede obtener los datos llamando a las utilidades curl o wget en el puerto de red vinculado al controlador.

Los controladores se pueden distribuir a través de repositorios compatibles con OCI, por ejemplo, para ejecutar un controlador externo desde el repositorio ghcr.io (GitHub Container Registry), puede ejecutar el comando

bee run ghcr.io/solo-io/bumblebee/tcpconnect:$(bee version)

Para poner el controlador en el repositorio, se ofrece el comando

bee push

Y para vincular la versión

bee tag

El mayor beneficio de eBPF es simplemente la eficiencia. El costo total de procesamiento para plataformas de seguridad, redes y almacenamiento debería disminuir a medida que más proveedores aprovechen sus capacidades. 

Actualmente, eBPF es ampliamente utilizado por empresas de escala web, como proveedores de servicios en la nube. Facebook lo está utilizando como el principal equilibrador de carga definido por software en sus centros de datos, mientras que Google está utilizando el software de red Cilium de código abierto dentro de sus ofertas administradas de Kubernetes. 

Sin embargo, en el futuro, Levine dice que ahora es solo cuestión de tiempo antes de que eBPF se adopte mucho más ampliamente a medida que más sistemas operativos permiten la capacidad.

Finalmente si quieres conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/3I0GoFq
via IFTTT