Symantec Cloud Workload Suite Protects Across Utilities, Healthcare, Energy

The rapid global growth of the Industrial Internet of Things (IIoT) has connected machines and devices in far-flung industries such as manufacturing, healthcare, transportation, and others that were once safely secured behind physical locked doors. But that transformation also presents new security challenges as many of these devices are now controlled by centralized management systems.

Consider, for example, the widespread use of the Siemens TIA management portal control systems, which are used across healthcare, utilities, power grids, nuclear plants, roller coasters to manufacturing.  A recently disclosed vulnerability CVE-2019-10915 specifically targeted the TIA Portal. Siemens subsequently provided a patch to prevent unauthenticated instructions from other processes.

Exploit Analysis

The Siemens TIA Portal uses Node.js for managing a fleet of Siemens control systems. A takeover of the Siemens TIA Portal could enable an attacker to perform firmware upgrades, control speeds of centrifuges. The Node.js system correctly authenticates calls from remote machines.  However, the issue is that it allowed unauthenticated commands from any process on the local system using WebSockets.

Exploits of anything including a browser or another vulnerable process on the same server can enable the attacker to send any command to the TIA Portal, and through TIA portal cascade any command to the entire fleet of Siemens controllers. Specifically, the protection is to restrict inbound traffic from local host to port 8888.

The good news is that Symantec CWP and DCS offer premier protection for a variety of sophisticated computer installations, including On-Prem Datacenters, Internet as a Service including AWS, Azure, GCP, Oracle and Industrial Control Systems. Cloud Workload Suite protects against major Datacenter vulnerabilities like Docker DoomsdayTesla Attack, and Siemens critical systems. 

About the Author

Ashok Banerjee

CTO for Enterprise Security Products – Symantec

Ashok is the CTO for Enterprise Security Products. Ashok’s efforts span endpoint, on-premise datacenters and cloud and spans across Threat Protection, Information Protection, Email Security, Endpoint Management , Compliance and Industrial IOT

Amenaza móvil: Los atacantes pueden manipular archivos multimedia de WhatsApp y Telegram

Los archivos de medios de WhatsApp y Telegram podrían ser expuestos y manipulados por actores maliciosos de acuerdo con una nueva investigación realizada por el equipo de Modern OS Security de Symantec, centrada en la protección de terminales móviles y sistemas operativos. La falla de seguridad, denominada “Media File Jacking”, afecta a WhatsApp en Android de forma predeterminada, y a Telegram en Android si ciertas funciones están habilitadas. Se debe a que transcurre el tiempo entre el momento en que los archivos multimedia recibidos a través de las aplicaciones se escriben en el disco y cuando se cargan en la interfaz de usuario de chat (UI) de las aplicaciones para que los usuarios las consuman. Este lapso de tiempo crítico presenta una oportunidad para que los actores malintencionados intervengan y manipulen los archivos multimedia sin el conocimiento del usuario. Si se explota la falla de seguridad, un atacante malintencionado podría hacer un mal uso y manipular información confidencial, como fotos y videos personales, documentos corporativos, facturas y notas de voz. Los atacantes podrían aprovechar las relaciones de confianza entre un remitente y un receptor al usar estas aplicaciones de mensajería instantánea para beneficio personal o para causar estragos.

Sin embargo, como hemos mencionado en el pasado, ningún código es inmune a las vulnerabilidades de seguridad. 

La amenaza de Media File Jacking es especialmente preocupante a la luz de la percepción común de que la nueva generación de aplicaciones de mensajería instantánea es inmune a la manipulación del contenido y los riesgos de privacidad, gracias a la utilización de mecanismos de seguridad como el cifrado de punta a punta. Los usuarios generalmente confían en aplicaciones de mensajería instantánea como WhatsApp y Telegram para proteger la integridad tanto de la identidad del remitente como del contenido del mensaje en sí. Esto contrasta con aplicaciones/protocolos más antiguos, como SMS, que se sabe que son falsificados con facilidad. Sin embargo, como hemos mencionado en el pasado, ningún código es inmune a las vulnerabilidades de seguridad. Si bien el cifrado de punta a punta es un mecanismo eficaz para garantizar la integridad de las comunicaciones, este no es suficiente si existen vulnerabilidades a nivel de aplicación en el código. Lo que descubrimos en la investigación de Media File Jacking es que los atacantes pueden manipular con éxito los archivos multimedia aprovechando las fallas lógicas de las aplicaciones, que se producen antes y/o después de que el contenido se haya cifrado en tránsito.

Exploramos Media File Jacking, cómo puede ser explotado, y su impacto potencial en más detalle a continuación.

Antecedentes técnicos

Las aplicaciones de Android pueden almacenar archivos y datos en dos ubicaciones de almacenamiento: almacenamiento interno y externo. Los archivos guardados en el almacenamiento interno son accesibles solo por la propia aplicación, lo que significa que otras aplicaciones no pueden acceder a ellos. Los archivos guardados en un directorio público de almacenamiento externo son legibles/grabables en todo el mundo, por lo que pueden ser modificados por otras aplicaciones o usuarios fuera del control de la aplicación. De acuerdo con la documentación para desarrolladores de Android, “el almacenamiento interno es mejor cuando desea asegurarse de que ni el usuario ni otras aplicaciones pueden acceder a sus archivos”. Por el contrario, “el almacenamiento externo es el mejor lugar para los archivos que no requieren restricciones de acceso y para los archivos que desea compartir con otras aplicaciones o permitir que el usuario acceda con una computadora”.

De forma predeterminada, WhatsApp almacena los archivos multimedia recibidos por un dispositivo en un almacenamiento externo, en la siguiente ruta: /storage/emulated/0/WhatsApp/Media/. En Telegram, si un usuario habilita la función “Guardar en galería”, bajo el supuesto de que esto es seguro y sin comprender sus ramificaciones indirectas, Telegram almacenará archivos de manera similar en: /storage/emulated/0/Telegram/. Ambos son directorios públicos. Las aplicaciones cargan los archivos recibidos de los directorios públicos para que los usuarios los vean en la interfaz de chat, cuando ingresan al chat correspondiente.

El hecho de que los archivos se almacenan y se cargan desde el almacenamiento externo sin los mecanismos de seguridad adecuados (vea más sobre esto en “Cómo los desarrolladores de aplicaciones pueden protegerse contra las amenazas” a continuación), se pueden poner en riesgo otras aplicaciones con permisos de almacenamiento de escritura externo y comprometer la integridad de los archivos multimedia. El almacenamiento de escritura externo (WRITE_EXTERNAL_STORAGE) es un permiso común solicitado por las aplicaciones de Android, con más de un millón de aplicaciones en Google Play que tienen este acceso. De hecho, según nuestros datos de aplicaciones internas, encontramos que casi el 50% de las aplicaciones de un dispositivo tienen este permiso.

Cuando investigamos el flujo de cómo se manejan los archivos multimedia en WhatsApp y Telegram, encontramos que en el tiempo transcurrido entre la recepción de los archivos en un dispositivo y su escritura en el disco (PASO 1), y cuando se cargan para que los usuarios los consuman a través de las aplicaciones (PASO 3), surge la oportunidad ideal de explotación: el malware puede analizar y manipular instantáneamente los archivos (o simplemente reemplazarlos con los archivos elegidos por el atacante) para obtener beneficios maliciosos (PASO 2).


Piense en ello como una carrera entre el atacante y la aplicación que carga los archivos. Si el atacante accede primero a los archivos (esto puede suceder casi en tiempo real si el malware monitorea los directorios públicos para detectar cambios) los destinatarios verán los archivos manipulados sin poder ver los originales. Además, la miniatura que aparece en la notificación que ven los usuarios también mostrará la imagen o el archivo manipulados, por lo que los destinatarios no tendrán ninguna indicación de que se hayan cambiado los archivos. Además, los datos se pueden manipular en WhatsApp al enviar archivos, lo que significa que el ataque se lanza en el dispositivo del remitente, y cuando se reciben archivos, con el ataque en el dispositivo receptor.

Como se comentó, el permiso WRITE_EXTERNAL_STORAGE es muy común entre las aplicaciones de Android y los usuarios generalmente no dudan en otorgar el permiso como parte del proceso de incorporación. Por lo tanto, es posible que, sin saberlo, un usuario pueda instalar el malware antes mencionado en lugar de instalar otra aplicación que solicite permisos más agresivos (como sensores de dispositivos críticos o acceso a recursos). En este caso, un usuario puede ser más cauteloso antes de aceptar la instalación.

Además, la vulnerabilidad de Media File Jacking apunta a un problema mayor del uso no seguro de los recursos de almacenamiento por parte de los desarrolladores de aplicaciones. En 2018, los investigadores descubrieron una falla similar relacionada con cómo algunas aplicaciones de Android utilizan el almacenamiento externo, lo que abre la puerta a la manipulación de datos por parte de los atacantes. Un ataque llamado Hombre en el disco puede ocurrir cuando los desarrolladores no toman las precauciones de seguridad cuando almacenan archivos en un almacenamiento externo. Esto puede dar como resultado la instalación silenciosa de aplicaciones potencialmente maliciosas y la denegación de servicios para las aplicaciones.

Impacto

Veamos algunos escenarios donde los atacantes podrían explotar esta vulnerabilidad a víctimas de estafa:

1.  Manipulación de imagen. En este escenario, una aplicación aparentemente inocente, pero en realidad maliciosa, descargada por un usuario puede manipular fotos personales casi en tiempo real y sin que la víctima lo sepa. La aplicación se ejecuta en segundo plano y realiza un ataque de Media File Jacking mientras la víctima usa WhatsApp. Esta supervisa las fotos recibidas a través de la aplicación de mensajería instantánea, identifica caras en las fotos y las reemplaza con otra cosa, como otras caras u objetos. Un usuario de WhatsApp puede enviar una foto familiar a uno de sus contactos, pero lo que ve el destinatario es en realidad una foto modificada. Si bien este ataque puede parecer trivial y solo una molestia, muestra la viabilidad de manipular imágenes sobre la marcha. En un escenario similar con consecuencias de mayor alcance, los archivos de medios de un político que se postula para un cargo o un ejecutivo de la empresa podrían manipularse, lo que permitiría a los atacantes extorsionar a sus objetivos.

[embedded content]

2.  Manipulación de pago. En uno de los ataques más dañinos de Media File Jacking, un actor malintencionado puede manipular una factura enviada por un proveedor a un cliente para engañar al cliente para que realice un pago a una cuenta ilegítima. Al igual que en el escenario anterior, una aplicación que parece ser legítima pero que en realidad es maliciosa, observa los archivos de facturas en PDF recibidos a través de WhatsApp y luego intercambia la información de la cuenta bancaria que se muestra en la factura con la del malintencionado. El cliente recibe la factura que esperaba pero no tiene conocimiento de que se haya modificado. En el momento en que se exponga el engaño, el dinero habrá desaparecido. Para empeorar las cosas, la piratería de la factura podría ser ampliamente distribuida de forma no dirigida, buscando cualquier factura que manipular, afectando a múltiples víctimas que usan aplicaciones de mensajería instantánea como WhatsApp para realizar negocios.

[embedded content]

3. Falsificación de mensajes de audio. En este escenario, un atacante explota las relaciones de confianza entre los empleados de una organización. Un CEO le envía a su CFO un mensaje de audio, a través de WhatsApp, solicitando diapositivas actualizadas para una reunión de directorio la próxima semana. El atacante, utilizando la reconstrucción de voz a través de la tecnología de aprendizaje profundo, algo que se está convirtiendo cada vez más factible hoy, modifica el archivo de audio original para comunicarse con el CFO, en la propia voz del CEO, de que un pago debe transferirse de inmediato a una parte ficticia, que de hecho es el atacante. El malintencionado no solo manipula las comunicaciones del CEO, sino que va un paso más allá para reconstruir su voz, lo que resulta en una técnica de engaño muy efectiva. El mensaje original del CEO se reemplaza cuando llega al teléfono del CFO. Lo que el CFO escucha al final es un mensaje de audio creíble de su jefe para hacer un pago, algo que un empleado inconsciente puede percibir fácilmente como una solicitud legítima.

[embedded content]

4. Otro ejemplo interesante en el que podemos encontrar un ataque de Media File Jacking son las noticias falsas. En Telegram, los administradores utilizan el concepto de “canales” para transmitir mensajes a un número ilimitado de suscriptores que consumen el contenido publicado. Un atacante puede cambiar los archivos multimedia que aparecen en el canal de información en tiempo real. Consideremos, por ejemplo, una red de noticias de confianza que mantiene un canal de Telegram. Los suscriptores confían en el canal para obtener noticias creíbles. Un atacante puede comunicar falsedades en el canal manipulando los archivos multimedia recibidos allí. Curiosamente, esto puede suceder sin el conocimiento y consentimiento tanto del propietario del canal como de la víctima final. Este ejemplo ilustra cómo el atacante puede dañar al remitente y al destinatario: los receptores consumen noticias falsas y la reputación o credibilidad del propietario del canal se ve afectada.

Cómo los desarrolladores de aplicaciones pueden protegerse contra la amenaza

Como se mencionó anteriormente, WhatsApp guarda los archivos en el almacenamiento externo automáticamente, mientras que Telegram lo hace cuando la función “Guardar en Galería” está habilitada. En ambos casos, sin embargo, ninguna de las aplicaciones tiene medidas para proteger a sus usuarios de un ataque de Media File Jacking.

Para garantizar que los archivos multimedia se mantengan a salvo de actores maliciosos, recomendamos las siguientes medidas:

  • Valide la integridad de los archivos: Almacene en un archivo de metadatos un valor hash para cada archivo multimedia recibido antes de escribirlo en el disco. Luego, confirme que el archivo no se haya cambiado (es decir, el hash es el mismo) antes de que la aplicación cargue el archivo multimedia en la parte correspondiente del chat para que los usuarios lo vean. Este paso puede ayudar a los desarrolladores a validar que los archivos no se manipularon antes de cargarlos. Este enfoque equilibra las necesidades de seguridad (protección contra ataques de Media File Jacking) y funcionalidad (por ejemplo, soporte de aplicaciones de respaldos de terceros) de las aplicaciones de mensajería instantánea.
     
  • Almacenamiento interno: Si es posible, almacene los archivos multimedia en un directorio no público, como el almacenamiento interno. Esta es una medida que algunas aplicaciones de mensajería instantánea han elegido.
     
  • Cifrado: Esfuércese por cifrar archivos confidenciales, como suele hacerse con los mensajes de texto en las soluciones de mensajería instantánea modernas. Esta medida, al igual que la anterior, protegerá mejor los archivos de la exposición y manipulación. El inconveniente es que otras aplicaciones, como las aplicaciones de respaldo de fotos, no podrán acceder fácilmente a estos archivos.

Con el lanzamiento de Android Q, Google planea implementar cambios en la forma en que las aplicaciones acceden a los archivos en el almacenamiento externo de un dispositivo. Android’s planned El almacenamiento de ámbito de Android es más restrictivo, lo que puede ayudar a mitigar amenazas como la falla de WhatsApp/Telegram que encontramos. Almacenamiento de ámbito significa que las aplicaciones tendrán su propia área de almacenamiento en un directorio específico de la aplicación, pero se les impedirá acceder a los archivos en toda la partición de almacenamiento, a menos que el usuario otorgue un permiso explícito. Si bien esto promete mejorar la protección de la privacidad del usuario, también incluye cambios importantes en la forma en que millones de aplicaciones utilizan el almacenamiento externo. En parte debido a estos desafíos, Google anunció recientemente que planea impulsar la aplicación de la API sólo en 2020, en el próximo lanzamiento importante de la plataforma. Incluso entonces, el impacto de la aplicación de la ley llevará tiempo debido a la fragmentación de la versión del sistema operativo Android.

Proceso de divulgación

Symantec notificó a Telegram y Facebook/WhatsApp sobre la vulnerabilidad de Media File Jacking.

Protección

Los motores de detección de malware de Symantec, que impulsan a Symantec Endpoint Protection Mobile (SEP Mobile) y Norton Mobile Security, detectan aplicaciones que aprovechan la vulnerabilidad descrita.

Como tal, las empresas y los consumidores que aprovechan SEP Mobile y Norton Mobile Security respectivamente, se benefician del análisis profundo de las aplicaciones y la detección de comportamientos maliciosos, sospechosos y no deseados, y ya están protegidos de la amenaza descrita.

Mitigación

Deshabilitando el almacenamiento de archivos multimedia en el almacenamiento externo

Los usuarios de la aplicación de mensajería instantánea pueden mitigar el riesgo de los archivos multimedia al deshabilitar la función que guarda los archivos en el almacenamiento externo. Mostramos cómo hacer esto en WhatsApp y Telegram a continuación.

WhatsApp: Configuraciones -> Chats -> Visibilidad multimedia


Telegram: Configuración -> Configuración de chat -> Guardar en galería

About the Author

Yair Amit

VP & CTO, Modern OS Security

He leads the company’s research, vision and R&D center for securing iOS & Android devices, also envisioning the security model of future desktop operating systems. Working in the security industry for the past 15 years, his work has yielded dozens of patents.

About the Author

Alon Gat

Software Engineer

Alon is a Software Engineer at Symantec’s Modern OS Security team, where he leads backend development projects. He has over 10 years of development and architecture experience, with a focus on cyber security. Alon also enjoys coding with his new-born son.

QuickBooks Cloud Hosting Firm iNSYNQ Hit in Ransomware Attack

19
Jul 19

QuickBooks Cloud Hosting Firm iNSYNQ Hit in Ransomware Attack

Cloud hosting provider iNSYNQ says it is trying to recover from a ransomware attack that shut down its network and has left customers unable to access their accounting data for the past three days. Unfortunately for iNSYNQ, the company appears to be turning a deaf ear to the increasingly anxious cries from its users for more information about the incident.

Gig Harbor, Wash.-based iNSYNQ specializes in providing cloud-based QuickBooks accounting software and services. In a statement posted to its status page, iNSYNQ said it experienced a ransomware attack on July 16, and took its network offline in a bid to contain the spread of the malware.

“The attack impacted data belonging to certain iNSYNQ clients, rendering such data inaccessible,” the company said. “As soon as iNSYNQ discovered the attack, iNSYNQ took steps to contain it. This included turning off some servers in the iNSYNQ environment.”

iNSYNQ said it has engaged outside cybersecurity assistance and to determine whether any customer data was accessed without authorization, but that so far it has no estimate for when those files might be available again to customers.

Meanwhile, iNSYNQ’s customers — many of them accountants who manage financial data for a number of their own clients — have taken to Twitter to vent their frustration over a lack of updates since that initial message to users.

In response, the company appears to have simply deleted or deactivated its Twitter account (a cached copy from June 2019 is available here). Several customers venting about the outage on Twitter also accused the company of unpublishing negative comments about the incident from its Facebook page.

Some of those customers also said iNSYNQ initially blamed the outage on an alleged problem with U.S.-based nationwide cable ISP giant Comcast. Meanwhile, competing cloud hosting providers have been piling on to the tweetstorms about the iNSYNQ outage by marketing their own services, claiming they would never subject their customers to a three-day outage.

iNSYNQ has not yet responded to requests for comment.

Update, 4:35 p.m. ET: I just heard from iNSYNQ’s CEO Elliot Luchansky, who shared the following:

While we have continually updated our website and have emailed customers once if not twice daily during this malware attack, I acknowledge we’ve had to keep the detail fairly minimal.

Unfortunately, and as I’m sure you’re familiar with, the lack of detailed information we’ve shared has been purposeful and in an effort to protect our customers and their data- we’re in a behind the scenes trench warfare doing everything we possibly can to secure and restore our system and customer data and backups. I understand why our customers are frustrated, and we want more than anything to share every piece of information that we have.

Our customers and their businesses are our number one priority right now. Our team is working around the clock to secure and restore access to all impacted data, and we believe we have an end in sight in the near future.

You know as well as we that no one is 100% impervious to this – businesses large and small, governments and individuals are susceptible. iNSYNQ and our customers were the victims of a malware attack that’s a totally new variant that hadn’t been detected before, confirmed by the experienced and knowledgeable cybersecurity team we’ve employed.

Original story: There is no question that a ransomware infestation at any business — let alone a cloud data provider — can quickly turn into an all-hands-on-deck, hair-on-fire emergency that diverts all attention to fixing the problem as soon as possible.

But that is no excuse for leaving customers in the dark, and for not providing frequent and transparent updates about what the victim organization is doing to remediate the matter. Particularly when the cloud provider in question posts constantly to its blog about how companies can minimize their risk from such incidents by trusting it with their data.

Ransomware victims perhaps in the toughest spot include those providing cloud data hosting and software-as-service offerings, as these businesses are completely unable to serve their customers while a ransomware infestation is active.

The FBI and multiple security firms have advised victims not to pay any ransom demands, as doing so just encourages the attackers and in any case may not result in actually regaining access to encrypted files.

In practice, however, many cybersecurity consulting firms are quietly urging their customers that paying up is the fastest route back to business-as-usual. It’s not hard to see why: Having customer data ransomed or stolen can send many customers scrambling to find new providers. As a result, the temptation to simply pay up may become stronger with each passing day.

That’s exactly what happened in February, when cloud payroll data provider Apex Human Capital Management was knocked offline for three days following a ransomware infestation.

On Christmas Eve 2018, cloud hosting provider Dataresolution.net took its systems offline in response to a ransomware outbreak on its internal networks. The company was adamant that it would not pay the ransom demand, but it ended up taking several weeks for customers to fully regain access to their data.

KrebsOnSecurity will endeavor to update this story as more details become available. Any iNSYNQ affected by the outage is welcome to contact this author via Twitter (my direct messages are open to all) or at krebsonsecurity @ gmail.com.

Tags:

You can skip to the end and leave a comment. Pinging is currently not allowed.