Por Vince Steckler y Ondřej Vlček, Ciudad de México 20 de septiembre de 2017.
Queremos esclarecer lo que ocurrió y definir los próximos pasos para proteger a los clientes de CCleaner
Hoy, se dio amplia cobertura de prensa a nuestro anuncio de que el producto Piriform CCleaner se había modificado en forma ilegal durante el proceso de desarrollo para que incluyera una puerta trasera. Nuestra prioridad es la seguridad de nuestros millones de usuarios, y respaldar a nuestro socio Piriform en la resolución de este problema. Comprendemos que dada la divulgación tardía de la enorme violación de seguridad en Equifax hace 10 días, los consumidores y medios están muy sensibles, lo que es lógico. En tal sentido, apenas nos enteramos de este problema, nos abocamos a resolverlo. Aproximadamente dentro de las 72 horas del descubrimiento, Avast resolvió el problema sin que se informaran daños a nuestros clientes de Piriform. El objetivo de este artículo es esclarecer lo que realmente ocurrió, corregir cierta información falsa que está en circulación, recapitular las acciones realizadas por Avast y definir cuáles serán los próximos pasos.
Avast adquirió Piriform, el creador de CCleaner, el 18 de julio de 2017, porque Piriform tiene un gran producto, y una comunidad de usuarios maravillosa. Seguimos pensando lo mismo. Lo que no sabíamos era que, antes de completar la adquisición, personas malintencionadas probablemente ya estaban en el proceso de hackear los sistemas de Piriform. El peligro podría haber comenzado el 3 de julio. El servidor había sido aprovisionado antes, durante 2017, y el certificado SSL para la comunicación https respectiva tenía fecha del 3 de julio de 2017. Sospechamos que Piriform fue víctima de un ataque mientras operaba como una compañía independiente, antes de la adquisición de Avast.
La versión afectada de CCleaner se lanzó el 15 de agosto y, durante cuatro semanas, ninguna empresa de seguridad detectó el problema, lo que demuestra la sofisticación del ataque. Desde nuestro punto de vista, fue una operación muy bien preparada, y el hecho de que no dañara a los usuarios es muy positivo, lo que fue posible gracias a la notificación inicial que recibimos de nuestros amigos de la empresa de seguridad Morphisec (detalles más adelante), seguido por la pronta reacción de los equipos de Piriform y Avast, que trabajaron juntos. Seguimos cooperando con los organismos de seguridad para determinar dónde la fuente del ataque.
Poco después del primer anuncio, la prensa publicó una serie de notas sobre el tema, pero muchos detalles de lo sucedido y las consecuencias para los usuarios fueron meras conjeturas. Quisiéramos aprovechar esta oportunidad para aclarar cualquier información errónea.
Muchos de los artículos daban a entender que 2000 millones de usuarios fueron afectados, a los que se sumaron 5 millones más por semana. Esto se deriva del hecho de que, desde que se lanzó CCleaner, se ha descargado 2000 millones de veces, a razón de 5 millones por semana en la actualidad, según informa el sitio web. Sin embargo, esto no refleja la cantidad real de usuarios afectados. Como solo dos productos de distribución menores (las versiones de nube y de 32 bits de Windows) fueron afectadas, el número real de usuarios perjudicados por este incidente fue de 2,27 millones. Y gracias al abordaje proactivo para la actualización de tantos usuarios como fuera posible, ahora redujimos a 730 000 el número de usuarios que aún usan la versión afectada (5.33.6162). Estos usuarios deberían instalar la actualización, aun cuando no corren peligro, dado que el malware ya se deshabilitó en el servidor.
La primera noticia que tuvo Avast sobre el posible malware fue el 12 de septiembre, a las 8:35 a.m. hora del Pacífico, gracias a una empresa llamada Morphisec, que nos notificó de su hallazgo inicial. Creemos que Morphisec también notificó a Cisco. Les agradecemos a Morphisec y estamos en deuda con todas las personas inteligentes que trabajan allí, quienes identificaron la amenaza e hicieron posible que tomáramos medidas para mitigarla. Apenas recibimos esta notificación, comenzamos a investigar y, para cuando llegó el mensaje de Cisco (14 de septiembre, 7:25 a.m. hora del Pacífico), ya habíamos analizado cuidadosamente la amenaza, evaluado el nivel de riesgo y, comenzado a trabajar en paralelo con los organismos de seguridad de los EE. UU. para investigar a fondo la causa del problema.
Luego, el 15 de septiembre a las 9:50 a.m. hora del Pacífico, se desconectó el servidor CnC afectado, tras la colaboración de Avast con los organismos de seguridad. Durante ese tiempo, el equipo de Cisco Talos, que ha estado trabajando sobre este problema en forma paralela, registró los dominios de DGA secundarios antes de que nosotros pudiéramos hacerlo. Con estas dos acciones, se desconectó el servidor y se eliminó efectivamente la amenaza, el atacante perdió la capacidad de diseminar su carga dañina.
Mientras tanto, los equipos de Avast y Piriform se apresuraron para proporcionar una corrección rápida a los usuarios de CCleaner. Primero, nos aseguramos que la versión actual (5.34) y las anteriores no incluyeran la amenaza. No la tenían. Luego, publicamos la versión corregida 5.33.6163, idéntica a la 5.33.6162, pero sin la puerta trasera, y mandamos esta versión como una actualización automática ligera a los usuarios de CCleaner, en los casos donde era posible, así redujimos la cantidad de clientes afectados. Notificamos a los demás usuarios para que actualizaran a la última versión del producto en cuanto pudieran (lamentablemente, no pudimos actualizar automáticamente a los usuarios de la versión gratuita de CCleaner, ya que esta versión no tiene la función de actualización automática).
Algunos medios de prensa sugerían que los sistemas afectados debían ser restaurados al estado previo al 15 de agosto, o reinstalados. No creemos que esto sea necesario. Alrededor de 30 % de los usuarios de CCleaner también tienen el software de seguridad de Avast, que nos permite analizar los datos de comportamiento, tráfico y archivos/registro de esas máquinas. Basados en el análisis de estos datos, creemos que la segunda etapa de la carga dañina nunca se activó, es decir, el único código malicioso presente en las máquinas de los clientes fue el insertado en el binario ccleaner.exe. Por lo tanto, consideramos que no es necesario restaurar las máquinas infectadas al estado anterior al 15 de agosto. Siguiendo esta lógica, las empresas de seguridad habitualmente no aconsejan a sus clientes reformatear sus equipos cuando se identifica en ellos alguna vulnerabilidad frente a un código de ejecución remota.
Aconsejamos a los clientes actualizar a la última versión de CCleaner, que eliminará el código de puerta trasera de sus sistemas. Desde ahora, los usuarios de CCleaner 5.33 van a recibir una notificación que les recomendará instalar la actualización.
Tomamos muy en serio la gravedad de esta situación, tal como lo hacemos con todas las amenazas a la seguridad. Lamentamos el inconveniente sufrido por los clientes de Piriform. Y nuevamente, aceptamos la responsabilidad por esta violación de seguridad y hemos implementado las siguientes medidas y precauciones:
- El servidor se desconectó antes de que los clientes sufrieran algún daño.
- Trabajamos de inmediato con los organismos de seguridad para identificar el origen del ataque.
- Tomamos diversas medidas para actualizar la versión del software de los clientes afectados.
- Explicamos todo lo sucedido en un blog, cuando tuvimos la autorización para hacerlo.
- Migramos el entorno de desarrollo de Piriform a la infraestructura de Avast y estamos en el proceso de trasladar a todo el personal de Piriform al sistema de TI interno de Avast.
Pensamos publicar nuevas actualizaciones sobre este tema. Nuestra prioridad es investigar a fondo este lamentable incidente y tomar todas las medidas posibles para garantizar que no vuelva a suceder.
Vince Steckler, CEO
Ondrej Vlcek, CTO, Vicepresidente Ejecutivo y Director General de Consumo
[Avast en ASI]
______________________
Acerca de Avast:
Avast (www.avast.com), líder global en productos de seguridad digital, protege a más de 400 millones de personas online. Avast ofrece productos bajo las marcas Avast y AVG que protegen a las personas de las amenazas en internet y del escenario de amenazas de Internet de las Cosas en constante evolución. La red de detección de amenazas de la compañía se encuentra entre las más avanzadas en el mundo, utilizando tecnologías de aprendizaje automático e inteligencia artificial para detectar y detener amenazas en tiempo real. Los productos de seguridad digital de Avast para Móvil, PC o Mac están mejor clasificados y certificados por V-100, AV-Comparatives, AV-Test, OPSWAT, ICSA Labs, West Coast Labs, entre otros. Avast cuenta con el respaldo de las principales firmas globales de capital privado CVC Capital Partners y Summit Partners.