El foro dedicado al producto de seguridad ZoneAlarm de Check Point parece haber sido hackeado tras aprovechar una vulnerabilidad parcheada a finales de septiembre y los detalles de los miembros del foro se han hecho públicos.

CheckPoint dice que su producto ZoneAlarm ha sido utilizado por casi 100 millones de usuarios en todo el mundo, pero el incidente solo parece afectar a unos pocos miles de usuarios. El foro ZoneAlarm tiene aproximadamente 4.500 miembros, pero Breach Report afirma haber encontrado un archivo que contiene 5.175 registros filtrados.

El archivo contiene direcciones de correo electrónico, valores hash de contraseña, fechas de nacimiento y direcciones IP de usuarios. El foro ZoneAlarm funciona con el software del foro vBulletin y Breach Report sugirió que los piratas informáticos pueden haber obtenido los datos después de aprovechar la vulnerabilidad CVE-2019-16759, una vulnerabilidad de vBulletin que se parcheó a finales de septiembre.

La falla habría sido explotada antes del lanzamiento de un parche y algunos afirmaron que su existencia se conocía desde hacía años.

Los representantes de Check Point aseguran que el equipo de ZoneAlarm contactó a las personas afectadas dentro de las 24 horas posteriores a la detección de la bracha de seguridad. La compañía llevó a cabo una investigación sobre el incidente y no confirmó que se tratara de la explotación de una vulnerabilidad de vBulletin.

Además la compañía aseguró que las contraseñas «permanecen encriptadas«, pero aconsejó a los usuarios que las cambien «como medida de seguridad».

«Es importante destacar que este sitio web está aislado de cualquier otro sitio web de Check Point y fue utilizado solo por los suscriptores registrados del foro ZoneAlarm. ZoneAlarm es una de nuestras líneas de productos más pequeñas ”, dijo Check Point a SecurityWeek por correo electrónico.

El foro ZoneAlarm no se encuentra disponible actualmente. Por otro lado, desde Hispasec recomendamos que se cambien periódicamente las contraseñas de los sitios webs en los que tengamos cuenta y recordamos la necesidad de que estos sitios webs implementen mecanismos de segundo factor de autentificación.

Más información:

Parche de septiembre en vBulletin
https://www.securityweek.com/vbulletin-patches-vulnerability-exploited-wild

Explotación de vBulletin
https://seclists.org/fulldisclosure/2019/Sep/31