CCleaner versión 5.33.6162: grave incidente de seguridad.

El pasado lunes 18 de septiembre saltaban todas las alarmas en Piriform, la empresa que desarrolla la herramienta de limpieza de PC más utilizada a día de hoy, CCleaner.

Incidente de Ciberseguridad

La noticia de que se había detectado un incidente de seguridad en las versiones 5.33.6162 de CCleaner y 1.07.3191 de CCleaner Cloud, y que era necesario que todos los usuarios actualizasen el programa a la última versión disponible, corrió como la pólvora entre los millones de usuarios de la aplicación.

Es de los pocos avisos de seguridad que se ha difundido exponencialmente, puesto que yo misma lo he recibido de cinco fuentes diferentes, cuando normalmente cómo mucho me llegan por dos.  ¿El motivo? Es una herramienta que a nivel mundial ha tenido más de 2 billones de descargas, como en la misma página web de la empresa informan, así que no es de extrañar que cuando los expertos han dado cifras aproximadas de los usuarios que se han podido ver afectados por el incidente de seguridad, éstas eran superiores a los 2 millones de usuarios.

El comunicado oficial de Piriform

En el comunicado publicado por Piriform¹, aparte de pedir disculpas por el incidente de seguridad detectado, han dado explicaciones de cómo fueron encontrados los errores y toda una descripción técnica, con trozos de código incluido. Un buen ejemplo de cómo gestionar con la mayor transparencia posible un incidente de seguridad acaecido en una empresa, aunque si se ha de poner algún pero, este sería el no haber especificado quienes fueron exactamente las empresas de seguridad que lo detectaron, Talos Intelligence de CISCO y Morphisec.

Ambas empresas de seguridad también han sacado en paralelo sendos comunicados informando que por separado detectaron el incidente, y que lo pusieron en conocimiento de Avast (empresa que el pasado mes de julio adquirió la empresa Piriform(2)).

Volviendo al comunicado de Piriform, en él se comenta que ya el 12 de septiembre detectaron una actividad inusual en el funcionamiento de las versiones 5.33.6162 de CCleaner y 1.07.3191 de CCleaner Cloud, al ver que enviaban datos a una dirección IP desconocida. Después de las investigaciones pertinentes descubrieron que dichas versiones de CCleaner habían sido hackeadas antes de ser puestas a disposición de los usuarios, concretamente habían instalado un malware en el fichero de instalación.

El malware según la compañía estaba, entre otras cosas, enviando información encriptada importante como el nombre del ordenador, el listado de software instalado (incluyendo las actualizaciones de Windows instaladas), los programas que se estaban ejecutando, si el usuario conectado era administrador del equipo, la dirección MAC de los tres primeros adaptadores de red (que permitirían que el PC pudiera ser controlado de manera remota), etc.

En el comunicado también comentan que desconocen a día de hoy como el código malicioso se introdujo en el programa CCleaner, cuanto tiempo han estado preparando el ataque, y quien se encuentra detrás de él, que aún están investigando el incidente para encontrar las respuestas.

Acaban el comunicado recomendando a todos los usuarios que se descarguen la nueva versión de la herramienta que ya disponible, sin problemas de seguridad.

Detalles importantes a tener en cuenta

Piriform no incluye en su comunicado información relevante que sí comentan las dos empresas de seguridad que aseguran detectaron el problema de seguridad, concretamente el período de fechas en las cuales se estuvieron distribuyendo las versiones con malware. Sólo hablan de versiones sin concretar fechas.

Concretamente las dos empresas comentan que la versión afectada de CCleaner 5.33 se publicó el 15 de agosto, y estuvo a disposición de los usuarios hasta que se subió una nueva versión 5.34 el 12 de septiembre.  Por tanto, es entre esas fechas que todas las descargas del programa CCleaner incluían el malware, unos dos millones de descargas aproximadamente.

¿Que puede haber provocado tal agujero de seguridad en la red de la empresa que ha permitido que se introduzca un trozo de código en el programa de limpieza de PC más descargado de la historia?

Son múltiples las posibles respuestas a la pregunta. Quizás hubo reestructuración en el organigrama de Piriform después de ser comprada por Avast, en el momento de la transición no todos conocían la Política de ciberseguridad de la empresa, y obviaron algunos de los puntos que incluía. Quizás el sistema de información de Avast se fusionó o provocó cambios en el de Piriform, no se actualizaron a tiempo ni el plan estratégico de seguridad ni las normas y directrices a seguir, y falló entonces la seguridad de la red.

Habrá que esperar a que concluyan las investigaciones, pero de entrada el hecho de que en julio Avast comprara Piriform, y en agosto apareciera publicada la versión malware parece mucha casualidad. El primer incidente de seguridad grave de un programa que lleva actualizándose desde 2009. Las casualidades en el mundo de la ciberseguridad no existen, ¿o si?


Formación profesional relacionada

En el curso Auditoría de Ciberseguridad, perteneciente al Máster en Dirección y Gestión de la Ciberseguridad, permiten adentrar al alumno en el ámbito de la auditoria de la Ciberseguridad para poder entender y mejorar estos procesos, especialmente para en los ambientes cibernéticos que influyen a su vez en todos los demás aspectos de una entidad u organización.


Fuentes referenciadas

(1) https://www.piriform.com/news/blog/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users

(2) https://www.piriform.com/news/blog/2017/7/19/piriform-is-joining-avast

Fuentes consultadas

https://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

https://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor

https://www.osi.es/es/actualidad/avisos/2017/09/si-usas-la-herramienta-ccleaner-actualizala-su-ultima-version-lo-antes

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someonePrint this page