Boletín — enero 2023

Enero ha sido un mes con dos hilos. Por un lado, una cola de disclosures que arrastran desde finales de 2022: LastPass / GoTo, T-Mobile, PayPal, Riot. Todos avisan con meses de retraso sobre incidentes ya consumados. Por otro, una racha de zero-days y atribuciones nuevas: BOLDMOVE en FortiOS, ALPC en Patch Tuesday, CWP en mass exploitation, NIS2 entra en vigor, y una primera generación de jailbreaks de ChatGPT que va por la versión 3.0 antes de que termine el mes.

Los seis hitos a continuación van ordenados por impacto real, en lugar de por CVSS bruto. El criterio para subir un hito: que combine actor con capacidad operativa, persistencia o efectos sistémicos. Para bajar un hito: que sea oportunista, conocido o difícil de explotar a escala.

1. CVE-2022-42475 + BOLDMOVE — FortiOS SSL VPN con backdoor a medida

El 19 de enero Mandiant publica el análisis del backdoor que llaman BOLDMOVE, encontrado en investigaciones que vinculan a un actor con presunto nexus chino. El vehículo es CVE-2022-42475, un heap overflow pre-auth en sslvpnd de FortiOS que Fortinet había parcheado el 11 de diciembre de 2022 sin atribución concreta. Mandiant pone fechas: la explotación se remontaba al menos a octubre de 2022. Víctimas identificadas: un organismo gubernamental europeo y un MSP en África.

BOLDMOVE está escrito en C, compilado con GCC 11.2.1, con variantes para Windows y Linux. La variante Linux está hecha específicamente para FortiGate: lee archivos de configuración propietarios del firewall y permite alterar el comportamiento del dispositivo. Es código a medida para FortiGate, no malware genérico.

Por qué encabeza el boletín: actor con tiempo de quemado, malware específico para appliance de red, persistencia previa a la divulgación pública del CVE. Si tienes un FortiGate expuesto y no parcheado, asume revisión forense.

Fuente: https://cloud.google.com/blog/topics/threat-intelligence/chinese-actors-exploit-fortios-flaw

2. CVE-2023-21674 — ALPC zero-day en Patch Tuesday

El 10 de enero Microsoft cierra CVE-2023-21674, una escalada de privilegios en Advanced Local Procedure Call (ALPC). CVSS 8.8, explotada en zero-day en el momento del parche. Afecta a Windows 8.1 / Server 2012 R2 en adelante. El bug permite escapar del sandbox del navegador hasta SYSTEM. Eso lo coloca como segundo eslabón típico de una cadena de ransomware: un RCE en el browser pone código en el renderer, ALPC lo eleva a SYSTEM, el resto del payload se ejecuta sin restricciones.

Microsoft no publica detalles del actor. Algunas firmas (Trend Micro, Tenable) sugieren actividad consistente con un infostealer o broker. La nota interesante: las explotaciones de ALPC en navegador suelen aparecer encadenadas, así que esperaría más CVEs relacionados en próximas Patch Tuesdays.

Fuente: https://www.zerodayinitiative.com/blog/2023/1/10/the-january-2023-security-update-review · https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674

3. LastPass / GoTo — el contenido del backup era más de lo que dijeron en diciembre

El 23 y 24 de enero, GoTo (matriz de LastPass) amplía la divulgación del incidente de agosto–octubre de 2022. Lo nuevo: además del vault encriptado de LastPass, los atacantes se llevaron backups cifrados de Central, Join.me, Hamachi y RemotelyAnywhere, junto con la clave de cifrado de esos backups. Entre los datos: usernames, contraseñas hasheadas con salt, MFA seeds, una parte de las K2 keys de clientes empresariales.

Las seeds TOTP son el secreto del que se deriva el código de seis dígitos. Si te llevas el secreto, puedes generar el código futuro en cualquier momento. Eso significa que el segundo factor de cualquier cuenta cuyo seed esté en ese dump deja de serlo. La acción inmediata para clientes afectados es rotar contraseña y reconfigurar MFA. La acción del proveedor sería retirar de circulación las seeds afectadas y forzar enrollment; no consta que GoTo lo haya hecho de forma proactiva.

Por qué tan arriba: el impacto downstream es millonario en cuentas, y la divulgación tardía erosiona la postura de seguridad de quien dependía de esos secretos.

Fuente: https://www.goto.com/blog/our-response-to-a-recent-security-incident

4. NIS2 — entra en vigor el 16 de enero

La Directiva (UE) 2022/2555 entra en vigor 16 enero 2023. El plazo de transposición a derecho interno termina el 17 de octubre de 2024 — hasta entonces, lo importante es preparar. Cambios respecto a NIS1: amplía sectores afectados (incluye administración pública, gestión de residuos, alimentación, ciertos proveedores digitales y de telecomunicaciones), introduce sanciones administrativas significativas (hasta el 2 % de facturación global), reporting escalonado de incidentes (alerta inicial en 24h, informe en 72h, final en 1 mes), y responsabilidad explícita de la dirección.

En España la transposición tendrá que articularse con el RD 311/2022 (ENS) y previsiblemente con una ley nueva en 2024. Hasta entonces, los CISO de entidades esenciales o importantes pueden ir haciendo inventario: quién entra como sujeto obligado, qué procesos de incident reporting hay que tener, qué formación de dirección hace falta.

El hito menos ruidoso del mes, y el que más va a cambiar la operación de empresas grandes a 18 meses vista.

Fuente: https://nis2directive.eu/ · https://eur-lex.europa.eu/eli/dir/2022/2555/oj

5. DAN 3.0 y el primer crackdown de OpenAI sobre jailbreaks

El 9 de enero aparece DAN 3.0 en /r/ChatGPT. La técnica viene del 15 de diciembre (u/Seabout, DAN 1.0): un prompt que pide al modelo representar a otra IA sin reglas. Cada versión patcheaba un trigger nuevo del clasificador interno de ChatGPT. La 3.0 coincide con el primer crackdown más visible de OpenAI — el modelo subyacente o el system prompt servido internamente cambian, y las variantes anteriores empiezan a dar respuestas “frías” o a abandonar el rol.

Lo relevante operativamente: el role-play attack funciona contra ChatGPT porque la API de chat completion trata system y user como mensajes en la misma secuencia, sin jerarquía privilegiada. La defensa a base de trigger words es derrotable mientras el atacante pueda renombrar. Quien esté integrando un LLM en producción este mes debería diseñar pensando que el system prompt es una sugerencia, no una barrera. Hemos publicado un análisis del patrón aquí.

Sigue de cerca: Simon Willison (acuñó el término prompt injection en septiembre) y el repositorio 0xk1h0/ChatGPT_DAN están sirviendo de archivo.

Fuente: https://github.com/0xk1h0/ChatGPT_DAN

6. CVE-2022-44877 — CWP RCE, el oportunista del mes

El 3 de enero Numan Türle publica un PoC para CVE-2022-44877 en Control Web Panel (antes CentOS Web Panel). El bug: el parámetro login del endpoint /login/index.php se concatena dentro de una llamada a syslogd envuelta en comillas dobles, sin sanitizar metacaracteres de shell. CVSS 9.8, RCE pre-auth, ejecutado como root. Fortinet ya había parcheado en octubre de 2022 (versión 0.9.8.1147), pero como casi nadie actualiza paneles administrativos, la base instalada vulnerable rondaba decenas de miles según Shadowserver.

Shadowserver reporta explotación en escaneo el 6 de enero. GreyNoise confirma campañas múltiples el 19 de enero. CISA lo añade al KEV el 17 de enero. Patrón clásico de oportunismo: vuln pública, PoC trivial, base instalada con poca higiene.

Por qué cierra el boletín y no encabeza: alto impacto local si lo tienes, pero requisito de exposición pública del panel hace el alcance acotado. Ningún actor estatal conocido se ha visto encadenándolo a otra cosa.

Fuente: https://www.exploit-db.com/exploits/51194

Patrón transversal del mes

Tres disclosures tardíos (LastPass / GoTo, T-Mobile, PayPal) confirman lo que ya sabíamos: la asimetría entre el momento del incidente y el momento de aviso al usuario sigue siendo el problema operativo más persistente. Mientras tanto, la frontera del appliance de red — FortiOS este mes — está siendo trabajada por actores con tiempo de quemado.

Si tienes que escoger una sola tarea para esta semana después de leer esto, sería revisar exposición y parcheo de edge devices: VPN SSL, balanceadores, firewalls, paneles administrativos.