Durante el fin de semana del 16 al 17 de octubre, los hackers chinos hicieron algo así como un alboroto que vio a todos menos a tres de los 15 productos objetivo violados durante el ataque de hazañas que fue la Copa Tianfu. Esta competencia anual, celebrada en la provincia de Chengdu en Sichuan, ha sido el lugar de referencia para los hackers de élite de China, ya que se les prohibió participar en eventos de piratería competitiva similares fuera del país. El más grande y conocido de estos, Pwn2Own, tendrá lugar en Austin, Texas, del 2 al 5 de noviembre, e informaré sobre eso el próximo fin de semana cuando se conozcan los resultados.
Mientras tanto, ¿qué pasa con el ataque masivo de ciberseguridad de la Copa Tianfu? Bueno, ya he informado de cómo el iPhone 13 Pro, que ejecutaba una versión completamente parcheada (en ese momento) de iOS 15.0.2, no fue violado una sino dos veces. Las vulnerabilidades de día cero, explotadas por Kunlun Lab y Team Pangu en cuestión de segundos en el día, vieron un ataque de ejecución remota de código y la primera fuga de la cárcel de iOS 15.
Además de los ataques a Apple iOS y Safari, hubo una gran cantidad de otras víctimas. Estos incluyeron Microsoft, que vio cinco hazañas exitosas que involucraron el sistema operativo Windows 10, uno que impactó a Microsoft Exchange, y Google, que vio a Chrome sucumbir dos veces. Pero la lista está lejos de terminar: Adobe PDF, el router Asus AX56U, Docker CE, Parallels VM, QEMA VM, Ubuntu 20, VMware ESXi y Workstation también fueron hackeados con éxito.
Los detalles completos de las vulnerabilidades explotadas y las propias hazañas se filtrarán al dominio público en los próximos meses. Mientras tanto, se habría hecho una divulgación completa de los defectos de seguridad a todos los proveedores afectados.
El debate sobre la competencia de hackeo de la industria de la seguridad
«Lo primero que hay que tener en cuenta es la división dentro del grupo y fuera del grupo aquí», dice Sam Curry, director de seguridad de Cybereason. Curry me dijo que hay una sensación de que China tiene la «masa crítica y no necesita colaborar para innovar en la piratería», en lo que llamó una especie de situación de Estados Unidos contra ellos. Curry ve la Copa Tianfu, con los meses de preparación que conducen a la revelación casi teatral en el escenario, como una demostración de fuerza. «Este es el equivalente cibernético de volar aviones sobre Taiwán», dice, añadiendo el positivo de que las hazañas se revelarán a los vendedores.
Por supuesto, hay muchos aspectos positivos sobre una competición de hacking, como la Copa Tianfu o Pwn2Own. «Los investigadores de seguridad involucrados en estos esquemas pueden ser una adición a los equipos de seguridad existentes y proporcionar ojos adicionales sobre los productos de una organización», dice George Papamargaritis, director de servicios de seguridad administrados de Obrela Security Industries, «lo que significa que los errores se desenterrarán y divulgarán antes de que los ciberdelincuentes tengan la oportunidad de De hecho, en términos de estilo de evento, Kristina Balaam, ingeniera sénior de inteligencia de seguridad de Lookout, dice que no hay mucha diferencia entre los dos. «Ambos dan rienda suelta a los hackers sobre los productos que están intentando explotar», me dijo Balaam, «y los premios en efectivo pueden rivalizar con algunos de los eventos deportivos profesionales más populares».
Pero, por supuesto, con cualquier competencia de piratería que se base en descubrir días cero, y menos en un entorno emulado como capturar los eventos de la bandera, «existe el riesgo de que un participante venda o explote las vulnerabilidades que ha encontrado fuera de los confines de la competencia», agrega. Se supone que es un hecho, por lo tanto, que los hackers que participen no revelarán sus exploits y las vulnerabilidades utilizadas hasta que los proveedores hayan tenido tiempo suficiente para emitir una solución. «Este tipo de etiqueta se conoce como divulgación responsable, o más recientemente divulgación coordinada, explica Jonathan Knudsen, estratega sénior de seguridad del Synopsys Software Integrity Group. «Cuando funciona, es un baile hermoso», dice.
¿Bailando con un ritmo diferente de divulgación de vulnerabilidades?
Pero, ¿y si alguien está bailando a un ritmo diferente? Después de la Copa Tianfu 2019, Apple blogueó que un ataque había afectado a iOS durante un período de un par de meses. Un artículo de MIT Technology Review sugirió que este era «el período que comenzó inmediatamente después», el evento de la Copa Tianfu, «y se extendía hasta que Apple emitió la solución». Ese artículo continuó sugiriendo que «prácticamente de la noche a la mañana, la inteligencia china lo utilizó como arma contra un grupo étnico minoritario sitiado». Esto, entonces, plantea la pregunta de si la Copa Tianfu, en particular, puede verse como una ganancia neta o, en general, ¿es algo negativo?
Supongamos que hay pautas estrictas para tales eventos de que las vulnerabilidades no deben divulgarse hasta después de una mitigación exitosa por parte del proveedor. En ese caso, son algo bueno, según Balaam. «Ahí es donde la Copa Tianfu resulta un poco más preocupante», dice. «China implementó una ley el 1 de septiembre de 2021 que requeriría que cualquier ciudadano chino revelara una vulnerabilidad de día cero que haya encontrado al gobierno», explica Balaam, y agrega que también está obligado a «no vender ni dar ningún detalle sobre la vulnerabilidad a ningún actor externo». Esto, está de acuerdo Balaam, es bueno y evitaría las ventas a desarrolladores de malware mercenarios si se siguiera.
Sin embargo, advierte que también significa que «el gobierno chino podría almacenar un número significativo de días cero contra productos ampliamente utilizados en otras regiones y tener acceso al conocimiento necesario para explotar estos productos antes de que se parcheen con éxito».
Jake Williams, el cofundador de BreachQuest, no cree que esté claro que eventos como estos aumenten el riesgo de que los actores de amenazas estatales chinos exploten las vulnerabilidades antes de la divulgación. «Los investigadores a menudo conservan las vulnerabilidades que han descubierto para usarlas en competiciones como estas», dice, y agrega, «pero es importante considerar la razón por la que almacenan vulnerabilidades para competiciones en lugar de revelarlas inmediatamente a los proveedores afectados». En pocas palabras, las competiciones pagan, mientras que los vendedores normalmente no, según Williams. «Incluso cuando los proveedores han implementado recompensas por errores, estas generalmente pagan centavos por dólar en comparación con los premios ganados en las competiciones», dice, «si a los proveedores no les gusta el ecosistema de competencia de vulnerabilidad, tienen el poder de interrumpir su economía de mercado».
Williams concluye que «no deberíamos preocuparnos por la Copa Tianfu más que cualquier otra competencia de vulnerabilidad», en cambio, dice, «deberíamos reorientar esa preocupación en el hecho de que los programas de divulgación de proveedores fomentan competiciones como la Copa Tianfu».
¿Qué proveedores ya han lanzado correcciones de seguridad de la Copa Tianfu?
Me puse en contacto con todos los proveedores cuyos productos cayeron en condiciones durante el fin de semana de la Copa Tianfu, solicitando una declaración sobre los plazos de parcheo para las vulnerabilidades en cuestión. Desafortunadamente, la respuesta, si soy honesto, ha sido realmente muy decepcionante.
Un portavoz de Microsoft me dijo que «todas las vulnerabilidades reportadas como parte del concurso se divulgan de manera responsable y confidencial. Las soluciones a problemas de seguridad verificados que cumplen con nuestros criterios para el servicio inmediato normalmente se publican a través de nuestra cadencia mensual de actualización del martes». Por lo tanto, sin confirmar tanto específicamente, hay alguna esperanza de que los parches para las vulnerabilidades de Windows 10 y Microsoft Exchange el martes 9 de noviembre.
Google no proporcionó una declaración, pero confirmó con fines de fondo que implementará cualquier parche requerido una vez que los problemas se investiguen a fondo. Sin embargo, según el blog de seguridad de Google, parece que las dos vulnerabilidades explotadas durante la Copa Tianfu se han corregido en Chrome 95.0.4638.69, que comenzó a implementarse el jueves 28 de octubre.
CVE-2021-38001, una vulnerabilidad de confusión de tipo en V8 reportada por @s0rrymybad de Kunlun Lab a través de Tianfu Cup y CVE-2021-38002, un uso después de una vulnerabilidad gratuita en el transporte web reportada por @__R0ng de 360 Alpha Lab a través de Tianfu Cup. Estos fueron algunos de los mayores generadores de dinero en la competencia, con 150.000 dólares otorgados por cada uno.
El único otro proveedor que respondió a mi solicitud de más información en el momento de la publicación fue Red Hat con respecto a una vulnerabilidad en la VM QEMA. Desafortunadamente, la seguridad de Red Hat no tenía nada que pudiera compartirse conmigo.
Por supuesto, actualizaré este artículo si escucho algo de los proveedores restantes, que son Adobe, Apple, Asus, Canonical, Docker, Parallels y VMware. Mientras tanto, mi consejo es estar atento a las actualizaciones de seguridad y aplicarlas tan pronto como pueda si es usuario de Adobe PDF, Apple iOS y Safari, enrutador Asus AX56U, Docker CE, Microsoft Exchange y Windows 10, Parallels VM, QEMA VM, Ubuntu 20 o VMware ESXi y Workstation.
QAnons España 