Hace unos días publicamos la POC (Prueba de Concepto) del exploit para la vulnerabilidad Java catalogada con el código CVE-2011-3544. Este exploit ha sido llamado como Java Rhino e incorporado en Metasploit, el framework para pentesters por excelencia. La vulnerabilidad fue parcheada en la última actualización de Java para Mac OS X Snow Leopard y Mac OS X Lion, y no para Mac OS X Leopard, que ya hace meses que está sin soporte de parches de seguridad por parte de Apple.Lo que ha sucedido posteriormente a que se haya publicado la información sobre la vulnerabilidad, el exploit y el parche, es que los kits de explotación, utilizados para infectar máquinas de forma masiva y la distribución de malware, lo han incorporado a sus arsenales. De esta forma, en DarkOperator han recogido como la última versión, BlackHole 1.2.1 ya tiene este exploit en sus listas.
 |
| Figura 1: Java Rhino ya se encuentra en la lista de exploits de BlackHole 1.2.1, al igual que Mac OS (ver panel inferior izquierdo) |
Blackhole, de origen ruso y del que Andriy nos tradujo unas pantallas, es uno de los kits más populares, y ha sido utilizado en campañas de infección másivas, llegando a infectar sitios tan populares como el sitio web del servicio postal americano. En los kits, como ya vimos, hace ya bastante tiempo que se cuenta con Mac OS X entre los objetivos, y otros como Eleonore también atacan Mac OS X.
Otro de los kits de explotación que ha añadido esta vulnerabiliad de Java ha sido Phoenix Exploit's Kit 2.9, atacanto equipos no actualizados.
 |
| Figura 2: Phoenix Exploit's Kit versión 2.9 con Java Rhino |
Todas estas actuaciones ahcen que se sea extremadamente necesario contar con sistemas parcheados dentro de las organizaciones, y en el caso de Mac OS X Leopard, que se actualice el sistema operativo completo o se desactive el soporte Java en los navegadores.
No hay comentarios:
Publicar un comentario