DockerHub ha anunciado recientemente que ha sufrido una intrusión en su base de datos

El pasado sábado 27 de abril, DockerHub envío un correo electrónico a sus usuarios avisándoles de una brecha en la seguridad de sus sistemas que acabó con un acceso no autorizado a una de sus bases de datos.

El acceso no autorizado fue descubierto por DockerHub el jueves 25 de abril. Según la empresa, esta base de datos no contenía datos financieros de los usuarios, pero si que contenía información sensible de aproximadamente 190.000 usuarios (menos del 5% del total de usuarios).

Algunos de los datos de usuarios que podían encontrarse en la base de datos son el nombre de usuario y el hash de la contraseña (no la contraseña en texto plano). Esto dificultaría a los atacantes obtener la contraseña original de los usuarios y, por tanto, su uso. También se incluían en esta base de datos los tokens de Github y Bitbucket utilizados en la funcionalidad de ‘autobuilds‘ de los contenedores de Docker.

DockerHub recomienda a sus usuarios cambiar sus contraseñas en su servicio y en cualquier otro en el que el usuario utilice la misma contraseña.

En el caso de los usuarios que también hacían uso de la funcionalidad de ‘autobuilds‘, recomiendan revocar el acceso de los tokens de Github y Bitbucket, puesto que dichos tokens permitirían realizar diferentes acciones en sus cuentas de Github y Bitbucket.

DockerHub asegura que desde el mismo instante en el que se detectó la intrusión, se introdujeron las medidas de seguridad necesarias para proteger la base de datos expuesta. Además, siguen investigando el incidente y aseguran que compartirán más información conforme la vayan obteniendo.

Desde Hispasec te recomendamos cambiar tu contraseña en DockerHub si eres usuario y, sobretodo, te remendamos que no utilices la misma contraseña en más de un servicio. Con el fin de evitar que una brecha en uno de los servicios también afecte al resto de tus cuentas en otros servicios.

Más información:

Fuente: https://thehackernews.com/2019/04/docker-hub-data-breach.html 

Cientos de marcas de cámaras de seguridad, monitores para bebés y portero automático «inteligentes» tienen serias vulnerabilidades que permite a un atacante secuestrar dispositivos y espiar a sus propietarios.

El investigador Paul Marrapese descubrió graves fallos en un componente del software IoT, iLnkP2P. Utilizado para que el usuario pueda conectarse a sus dispositivos mediante P2P. Un atacante podría explotar estos fallos para encontrar cámaras vulnerables para luego poder acceder a ellas sin que el propietario se de cuenta.

Hasta ahora se han identificado más de 2 millones de dispositivos vulnerables, incluyendo los distribuidos por las marcas HiChip, TENVIS, SV3C, VStarcam, Wanscam, NEO Coolcam, Sricam, Eye Sight y HVCAM. Desafortunadamente iLnkP2P se utiliza muchas otras marcas, dificultando la identificación de dispositivos vulnerables.

Para saber si a tu cámara le afecta es necesario comprobar un número de serie llamado UID que puedes encontrarlo en la etiqueta en la misma cámara; Será algo parecido al siguiente código:

FFFF-123456-ABCDE

donde FFFF es el prefijo del dispositivo. Puedes comprobar aquí si se encuentra en la tabla de afectados.

Según comenta Paul en su comunicado, la mejor opción para que esta vulnerabilidad no te afecte es comprar un nuevo dispositivo de otra marca de confianza que no se vea afectada por este problema, ya que es improbable que los proveedores solucionen este fallo, y por lo general estos dispositivos tienen otros problemas de seguridad que ponen en riesgo a sus propietarios.

Si no es posible desechar el dispositivo es posible neutralizar la funcionalidad P2P bloqueando el trafico saliente al puerto UDP 32100. Aunque eso solo evitará que se acceda desde redes externas, pudiéndose acceder desde la red local.

El componente iLnkP2P es una de las soluciones P2P que utilizan los fabricantes, que a día de hoy tiene asignados varios identificadores de fallos reconocidos:

CVE-2019-11219: Vulnerabilidad de enumeración de iLnkP2P que permite a los atacantes descubrir los dispositivos que están en linea. Debido a la naturaleza P2P, un atacante puede conectarse directamente a un dispositivo sin pasar por las restricciones del cortafuegos.

CVE-2019-11220: Vulnerabilidad de autenticación en iLnkP2P que permite a los atacantes interceptar conexiones y realizar ataques Man-In-The-Middle, a través del cual se puede robar la contraseña y tomar el control.

Más información

hacked.camera
https://hacked.camera/

Se ha descubierto una nueva familia de ransomware que explota la vulnerabilidad ‘0-day’ en el popular servidor de aplicaciones Oracle Weblogic.

El pasado 28 de abril escribíamos sobre una vulnerabilidad de tipo ‘0-day’ descubierta en el servidor de aplicaciones Oracle WebLogic. Esta vulnerabilidad, etiquetada con CVE-2019-2725 permite la ejecución remota de código sin autenticación.

Investigadores de Cisco Talos han descubierto que esta vulnerabilidad está siendo utilizada activamente para la creación de botnets, instalar software de minado de criptomonedas e incluso en una nueva familia de ransomware, bautizada como Sodinokibi.

Sodinokibi encripta los archivos del usuario infectado utilizando una extensión aleatoria, única para cada máquina. Y además, elimina los backups existentes en la máquina, lo que dificulta el proceso de recuperación.

El proceso de infección ocurre sin ninguna interacción del usuario. Los atacantes, una vez encuentran un servidor vulnerable, envían una petición HTTP POST con el comando PowerShell que explota la vulnerabilidad. Esto descargará y ejecutará el binario en la máquina, que quedará infectada si la versión de Oracle Weblogic no estaba parcheada.

Como suele ser habitual, este ransomware muestra la nota con las instrucciones para desencriptar los archivos, que pasan por ingresar una cantidad de dinero en criptomonedas en la dirección indicada por el atacante. Para terminar de «convencer» a la víctima, la nota muestra una fecha límite para recuperar los archivos.

Debido a la facilidad de explotación de esta vulnerabilidad, se prevé un aumento de los ataques a sistemas con Oracle Weblogic instalado. Recomendamos actualizar cuanto antes a una versión no vulnerable.

Indicadores de compromiso (IoC)

Muestras:
0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d
34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160
74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac
95ac3903127b74f8e4d73d987f5e3736f5bdd909ba756260e187b6bf53fb1a05
fa2bccdb9db2583c2f9ff6a536e824f4311c9a8a9842505a0323f027b8b51451

Droppers:
hxxp://188.166.74[.]218/office.exe
hxxp://188.166.74[.]218/radm.exe
hxxp://188.166.74[.]218/untitled.exe
hxxp://45.55.211[.]79/.cache/untitled.exe

IP atacante:
130.61.54[.]136

Dominio atacante:
decryptor[.]top

Más información

Sodinokibi ransomware exploits WebLogic Server vulnerability
https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html

Introducción

Tomar el control

Bill Demirkapi, un investigador de seguridad independiente de 17 años, descubrió una vulnerabilidad crítica de ejecución remota de código en la utilidad Dell SupportAssist que viene preinstalada en la mayoría de los ordenadores de la famosa marca.

Dell SupportAssist , anteriormente conocido como Dell System Detect , verifica el estado del hardware y el software de su computadora.

La utilidad ha sido diseñada para interactuar con el sitio web de asistencia de Dell y detectar automáticamente la etiqueta de servicio o el código de servicio rápido de su producto Dell, escanear los controladores de dispositivos existentes e instalar actualizaciones de controladores faltantes o disponibles, así como realizar pruebas de diagnóstico de hardware.

Explotación

Como se muestra en el video, Demirkapi demostró cómo los piratas informáticos, de forma remota, podrían haber descargado e instalado fácilmente el malware de un servidor remoto en las computadoras Dell afectadas para tomar control total sobre ellos.

Enlace a la prueba de concepto: https://github.com/D4stiny/Dell-Support-Assist-RCE-PoC

«Un atacante no autenticado, que comparte la capa de acceso a la red con el sistema vulnerable, puede comprometer al sistema vulnerable engañando a un usuario víctima para que descargue y ejecute ejecutables arbitrarios a través del cliente SupportAssist desde los sitios hospedados por el atacante».

Dell en un comunicado

La vulnerabilidad de ejecución remota de código, identificada como CVE-2019-3719, afecta a las versiones de Dell SupportAssist Client anteriores a la versión 3.2.0.90.

Además de este problema, Dell también solucionó una vulnerabilidad de validación de origen incorrecta (CVE-2019-3718) en el software SupportAssist que podría haber permitido a un atacante remoto no autenticado intentar ataques CSRF en los sistemas de los usuarios.

Vídeo de la PoC:

Más información:

Comunicado de Dell:
https://www.dell.com/support/article/es/es/esdhs1/sln316857/dsa-2019-051-dell-supportassist-client-multiple-vulnerabilities?lang=en

Se ha detectado una gran actividad de ataques dirigidos a las empresas que utilizan SAP como sistema de gestión. A partir de una herramienta 10kblaze (pysap) que aprovecha errores de configuración conocidos de hace más de 10 años.

A raíz de la actualización de la herramienta pysap, las charlas de la conferencia OPCDE de Mathieu Geli y Dmitry Chastuhin, y de la publicación de las pruebas de concepto (PoC) del exploit dirigido a aplicaciones SAP ha aumentado exponencialmente los ataques a dichos sistemas.

Este ataque denominado 10kblaze no aprovecha ninguna vulnerabilidad conocida en el código de SAP, sino que su efecto se causa a partir de un problema de configuración de las ACL (Listas de control de acceso) se los servidores Message y Gateway, ya conocido desde 2005.

Se estima que 50.000 sistemas son vulnerables a esta explotación a partir de dichas configuraciones erróneas. Los exploits pueden darle al atacante un compromiso total de la plataforma, con la opción de alterar, extraer o modificar información confidencial de aplicaciones comerciales como SAP Business Suite, SAP ERP, SAP CRM, SAP S/4HANA, SAP Solution
Manager, SAP GRC Process and Access Control, SAP Process Integration/
Exchange Infrastructure (PI/XI), SAP SCM, y SAP SRM, entre otros.

Lo más preocupante es que un atacante tan solo necesita acceso a la IP y el puerto donde está corriendo el servicio y sería posible ejecutar código remoto en el servidor si este es vulnerable.

El problema con las ACL se produce porque SAP deshabilita esta opción en NetWeaver por defecto para permitir que las empresas adapten su producto a las necesidades de sus clientes.

Para mitigar el error de configuración es posible consultar las SAP Security Notes 821875 (2005), 1408081 (2009) y 1421005 (2010). En ellas se detallan los pasos necesarios para configurar las ACL en los servidores SAP Gateway y Message (es necesario iniciar sesión).

• 821875 – Security settings in the message server
• 1408081 – Basic settings for reg_info and sec_info
• 1421005 – Secure configuration of the message server

Más información:

Onapsis
https://www.onapsis.com/10kblaze
https://www.onapsis.com/blog/10kblaze

Segu-info
https://blog.segu-info.com.ar/2019/05/50000-empresas-con-sap-vulnerable.html

Us-cert
https://www.us-cert.gov/ncas/alerts/AA19-122A

Pysap
https://github.com/SecureAuthCorp/pysap

PoC
https://github.com/chipik/SAP_GW_RCE_exploit
https://github.com/gelim/sap_ms

Se han detectado vulnerabilidades críticas en el modelo de cámara WiFi de D-Link DCS-2123L que permiten la intercepción y visualización no autorizada de las grabaciones almacenadas en el dispositivo. Además, también existe la posibilidad de alterar el firmware de la cámara de forma remota e incluso la implementación de un ataque del tipo Man-in-the-Middle (MiTM). A pesar de tratarse de uno de los modelos más populares de D-Link, todavía no se han podido corregir completamente los fallos de seguridad detectados.

La falta de cifrado de las transmisiones de vídeo entre la cámara y la plataforma en la nube de D-Link es uno de los principales escollos identificados, además de algunos errores de la aplicación para el usuario de la cámara. La comunicación entre la cámara y la aplicación de control se realiza mediante el puerto 2048 de un servidor proxy, utilizando un túnel TCP basado en un protocolo personalizado de D-Link. Pero solo parte del tráfico es encriptado, dejando parte de los datos expuestos, como solicitudes de direcciones IP, transmisiones de audio y vídeo o información sobre el dispositivo. Además, D-Link emplea código abierto de Boa Webserver, que lleva sin mantenimiento desde hace más de diez años.

Un atacante podría realizar un ataque MiTM, interceptando el tráfico de red y accediendo a la secuencia de datos de conexión TCP en el puerto 2048, obteniendo de esta forma acceso a paquetes de audio y vídeo.

Las correcciones realizadas hasta la fecha por la empresa no han conseguido solucionar todos los problemas. Aunque la aplicación MyDlink parece haberse actualizado satisfactoriamente, aún persisten otros fallos de seguridad. Según los informes, la última versión disponible del firmware se lanzó en 2016, por lo que no corrige vulnerabilidades identificadas después de esa fecha, y el firmware legítimo sigue siendo manipulable.

La Europol anunció el cierre de dos prolíficos sitios en la Deep Web, Wall Street Market y Silkkitie (también conocido como Valhalla), en operaciones globales simultáneas contra sitios clandestinos para el comercio de drogas, números de tarjetas de crédito robadas, software malicioso y otros productos ilegales.

Según explican, los agentes de policía se apoderaron de los servidores utilizados para operar el mercado ilegal, junto con más de 550.500€ en efectivo, más de 1.000.000 € en criptomonedas (Bitcoin y Monero), autos caros y otras evidencias.

Después de que las autoridades cerraran el sitio de Silkkitie (Valhalla), algunos de los comerciantes finlandeses de narcóticos trasladaron sus actividades a otras webs de comercio ilegal en la red Tor, como el mercado de Wall Street.

Europol

Según el comunicado de prensa, más de 63,000 ofertas de ventas se realizaron en el mercado de Wall Street recientemente, se crearon más de 1.1 millones de cuentas de clientes y más de 5,400 vendedores se registraron. Los administradores del sitio cobraban de 2 a 6% de comisión por ventas.

De acuerdo con el Departamento de Justicia, los administradores de Wall Street Market supuestamente realizaron una «estafa de salida» el mes pasado cuando tomaron toda la moneda virtual que se encontraba en el mercado, que los investigadores consideraban que era de aproximadamente 11 millones de dólares, y luego la transfirieron a sus propias cuentas.

La operación se llevó a cabo en cooperación con la Policía Criminal Federal Alemana (Bundeskriminalamt), la Policía Nacional Holandesa (Politie), Europol, Eurojust y varias agencias del gobierno de los EE. UU., Incluida la Administración de Control de Drogas, el FBI, el Servicio de Impuestos Internos, la Seguridad Nacional, la Inspección Postal de los EE. UU. Servicio, y el Departamento de Justicia de los Estados Unidos.

Más información:
Noticia explicada por la Europol: https://www.europol.europa.eu/newsroom/news/double-blow-to-dark-web-marketplaces

Jenkins publica en su boletín varias actualizaciones de seguridad que corrigen vulnerabilidades de gravedad media y baja en algunos de sus productos.

Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.

Estas vulnerabilidades afectan a diferentes componentes:

• Ansible Tower Plugin
• Aqua MicroScanner Plugin
• Azure AD Plugin
• GitHub Authentication Plugin
• Koji Plugin
• Self-Organizing Swarm Plug-in Modules Plugin
• SiteMonitor Plugin
• Static Analysis Utilities Plugin
• Twitter Plugin

Ninguna de éstas afecta al core de Jenkins. Pasaremos a comentarlas brevemente:

Un CSRF y una falta de comprobación de permisos podrían permitir la captura de credenciales almacenadas en Jenkins. El plugin ‘Ansible Tower’ no realiza ningún tipo de validación en uno de los formularios de entrada (CVE-2019-10310 y CVE-2019-10311). Esto permitiría a un atacante con permisos de lectura obtener las credenciales para un cierto ID utilizando una URL especialmente diseñada.

Otra vulnerabilidad de comprobación de permisos permitiría a un atacante con permisos de lectura listar los IDs válidos en el sistema (CVE-2019-10312), pudiendo revelar las credenciales de todos los IDs asociados.

Los plugins de ‘Aqua MicroScanner’, ‘Azure AD’ y ‘Twitter’ almacenaban las credenciales en texto plano, en un fichero de configuración global que podía ser accedido por cualquier usuario con acceso al sistema de archivos master (CVE-2019-10316, CVE-2019-10318 y CVE-2019-10313).

Un error durante el proceso de autenticación por OAuth permitía a un atacante capturar la URL de redirección y enviarla a la víctima. Si la víctima se encontraba aún conectada a Jenkins, su cuenta podría quedar asociada a la cuenta de GitHub del atacante (CVE-2019-10315).

Los componentes ‘Koji’ y ‘SiteMonitor’ deshabilita la validación SSL/TLS en toda la JVM de Jenkins (CVE-2019-10314).

Otra de las vulnerabilidades reportadas se encuentra en el componente ‘Self-Organizing Swarm’ y permitiría a un atacante en red local realizar ataques XXE (XML External Entity) y leer el contenido de ficheros arbitrarios de un cliente Swarm o provocar una denegación de servicio (CVE-2019-10309 y CVE-2019-10317).

Finalmente, una falta de comprobación de permisos y un CSRF en uno de los formularios de ‘Static Analysis Utilities’ permitirían a un atacante con permisos de lectura acceder a la configuración de las estadísticas de todos los usuarios (CVE-2019-10307 y CVE-2019-10308).

Se recomienda actualizar estos componentes a las últimas versiones disponibles:

• Ansible Tower Plugin 0.9.2
• Aqua MicroScanner Plugin 1.0.6
• Azure AD Plugin 0.3.4
• GitHub Authentication Plugin 0.32
• SiteMonitor Plugin 0.6
• Static Analysis Utilities Plugin 1.96

Los plugins siguientes aún no han sido parcheados:

• Koji Plugin <=0.3
• Self-Organizing Swarm Plug-in Modules Plugin <=3.15
• SiteMonitor Plugin <=0.5
• Static Analysis Utilities Plugin <=1.95
• Twitter Plugin <=0.7

Jenkins Security Advisory 2019-04-30
https://jenkins.io/security/advisory/2019-04-30/

Después de 20 años en los que Una al día ha acompañado a los amantes de la ciberseguridad, estamos a un mes de que el sueño se haga realidad.

Los próximos días 7 y 8 de junio se celebrará en el Campus de Teatinos de la UMA, el 1º congreso de ciberseguridad, UAD360. El sitio elegido ha sido Málaga, ciudad que vio nacer a Una al día y, que con los años se está posicionando como un polo de ciberseguridad en el que empresas de todo el mundo están eligiendo como ciudad para implantarse.

El evento ha sido promovido por Una al día y cuenta con la colaboración de la Universidad de Málaga e Hispasec, además del patrocinio de la empresa Buguroo y el apoyo de Extenda.

Serán dos intensos días divididos en un primera jornada de talleres y una segunda de conferencias.

El evento comenzará con talleres sobre Exploiting, Pentesting sobre Windows e Inteligencia Artificial. El sábado será el día de las conferencias. Bernardo Quintero, Soledad Antelada, Sergio de los Santos, David Ortiz y Fernando Díaz son los ponentes confirmados hasta el momento, solo faltará un ponente sorpresa por confirmar.

Además el sábado, previo al acto de clausura, organizaremos una mesa redonda en la que se tratará, con las partes interesadas, las salidas laborales que ofrece la ciberseguridad a día de hoy.

En paralelo a ambas actividades, se realizará un CTF (Capture the Flag), es decir, un campeonato de hacking ético en el que participarán los mejores especialistas en la materia.

Salvo para participar en el CTF, no se requiere de ninguna formación previa en ciberseguridad, tan solo tener inquietud en el tema y muchas ganas de aprender.

Os dejamos un enlace en el cuál podréis adquirir vuestra entrada, tened en cuenta que os haremos llegar algunos obsequios de la organización, y nos encargaremos de vuestra manutención durante el sábado.

Ya queda solo un mes, ¡no te quedes sin tu entrada!

Investigadores de la empresa de ciberseguridad Qihoo 360’s NetLab han descubierto una campaña activa de sustracción de datos bancarios que está robando datos de clientes de más de 100 sitios web de comercio electrónico.

Mientras se monitorizaba el dominio malicioso www.magento-analytics.com durante los pasados siete meses, los investigadores descubrieron como los atacantes habían estado inyectando código javascript malicioso en cientos de sitios web de comercio electrónico a través de dicho dominio.

El código javascript en cuestión se encarga de robar información de los pagos realizados en el sitio web como son el número de tarjeta de crédito, el nombre del titular, el código CVV y la fecha de expiración.

En una entrevista por correo electrónico, el investigador de NetLab comenta que no disponen de suficiente información para determinar como los atacantes infectaron los sitios web o qué vulnerabilidades explotaron para conseguir acceso. Se confirma únicamente que todos los sitios afectados funcionan sobre el CMS Magento.

Un detallado análisis del script malicioso revela que la información robada se envía a otro fichero también hospedado en el dominio magento-analytics.com, controlado por los atacantes.

La técnica usada por los atacantes no es nueva, es exactamente la misma que la empleada por el grupo de hacking Magecart. Sin embargo, los investigadores de NetLab no relacionan este caso con ninguno de los perpetrados por el grupo en cuestión.

Que aparezca el término Magento en el nombre del dominio no significa que haya relación con este popular software de comercio electrónico. Los atacantes más bien han querido usar esa palabra para camuflar sus actividades y confundir a los usuarios.

De acuerdo con los investigadores, el dominio malicioso fue registrado en Panamá, sin embargo durante estos meses la dirección IP ha ido cambiando de país; de Estados Unidos a Rusia y de Rusia a China.

Dado que los atacantes normalmente explotan vulnerabilidades conocidas para poder introducir scripts maliciosos, se recomiendan aplicar las últimas actualizaciones de seguridad disponibles, limitar los privilegios para sistemas críticos y securizar los servidores web.

Más información:

https://thehackernews.com/2019/05/magento-credit-card-hacking.html

https://blog.netlab.360.com/ongoing-credit-card-data-leak/

Google anunció recientemente su intención de introducir al menos dos nuevas características relacionadas con la privacidad y la seguridad de los usuarios que serán implementadas en las próximas versiones de su popular navegador, Google Chrome.

La finalidad es facilitar un aumento del control, por parte del usuario, del seguimiento web que se le realiza a través de las cookies y a través de su navegador. Para ello, nos adelanta dos nuevas características para configurar la experiencia de navegación. En primer lugar, una versión mejorada de la cabecera SameSite en las cookies. Por otro lado, una suerte de protección contra la detección de huellas (Fingerprinting). Así mismo, parece ser que ambas características entrarán en pruebas a finales de este año.

Las cookies, como es conocido, son pequeños archivos de información que se almacenan localmente en las máquinas de los usuarios y que tienen por objeto facilitar un seguimiento de sus preferencias o hábitos en aras de ofrecer una experiencia personalizada. Son creadas por el navegador para, por ejemplo, recordar tu nombre de usuario, tu lenguaje preferido, o medir ciertos hábitos de navegación.

Sin embargo, las cookies son también el principal mecanismo para recibir contenidos comerciales específicos y altamente segmentados, afectando así directamente a la privacidad del usuario, en la medida en que se utilizan sus hábitos de uso para elaborar un perfil comercial sobre el cual el usuario carece de control, con la intención de adscribirlo a determinados segmentos comerciales y recibir publicidad o influir en su experiencia de navegación de múltiples modos.

Siendo consciente de esto, Google ha afirmado que su intención es mejorar el modo en que funcionan las cookies cross-site para que, si el usuario lo desea, pueda controlar y distinguir de una manera más precisa aquellas cookies encargadas exclusivamente de almacenar sus preferencias básicas, como el idioma preferido, de aquellas cookies de terceros que poseen fundamentalmente un carácter comercial, no siempre autorizado.

En una extensa publicación, Google explica nuevos mecanismos que los desarrolladores web deberán seguir en los próximos meses para poder especificar, de una manera explícita, cuáles de sus cookies podrían ser utilizadas para realizar un seguimiento sobre los usuarios. De este modo, basándose en la actual construcción de la característica SameSite de las cookies, los desarrolladores tendrán la opción de establecer de un modo transparente el comportamiento de la cookie con las etiquetas Strict, Lax o None.

Según Google , estas características podrían tener un impacto positivo en la mitigación de ataques CSRF y Cross Site Scripting.

En cuanto al fingerprinting, se trata de una técnica ampliamente establecida que permite, mediante el estudio del comportamiento durante la comunicación de los distintos navegadores con multitud de dispositivos, establecer suficientes regularidades como para posibilitar un seguimiento de cada dispositivo, sin ningún tipo de control por parte del usuario final.

Para evitar esto, resulta fundamental restringir los modos en que los dispositivos pueden ser escaneados, aunque se se utilicen medios pasivos o no intrusivos, dado que es un procedimiento opaco y ajeno a la voluntad del usuario.

Sin embargo, Google también reconoce que estas características posibilitan usos que van más allá del simple seguimiento comercial o intrusivo de los usuarios y que, por ende, habrá que encontrar la manera de compatibilizar el respeto a la privacidad del usuario con los aportes útiles que poseen también estas características.

Más información:

https://web.dev/samesite-cookies-explained

https://thehackernews.com/2019/05/chrome-samesite-cookies.html

El pasado fin de semana, Mozilla Firefox se vio afectado por un certificado expirado, lo que ocasionó que muchos usuarios reportasen que sus extensiones en el famoso navegador desaparecieran o que no les dejase instalar nuevas extensiones.

Esta situación se dio por un despiste al no actualizar un certificado que iba a expirar pronto. Cuando el equipo de mantenimiento de Mozilla Firefox se dio cuenta, ya era tarde y los usuarios reportaban fallos con extensiones.

Cuando los ususarios de Firefox iban a about:addons, veían que tenían marcado en rojo todas las extensiones, dado que no se podía verificar su uso.

Esta situación es debida a que Firefox, tal y como afirman en su wiki relativa a las add-ons, requiere que todas sus extensiones sean firmadas por la misma Mozilla Firefox para que puedan pertenecer a la misma. Pero sin certificado de Firefox, no es posible firmar las extensiones, lo que ocasiona el error mencionado con extensiones que automáticamente se desactivan del navegador.

Para solucionar de temporalmente este error, Firefox publicó en su blog una manera de parchear manualmente este problema. Esta solución se basaba en los estudios de la misma Firefox (que se pueden encontrar en about:studies y activando dicha opción). No obstante, siguieron trabajando en una actualización del navegador para que el usuario no tuviese que realizar ninguna acción de forma manual.

Así es como, el domingo día 5 (un día después de los reportes de los usuarios) elaboraron una nueva versión (66.0.5) del navegador y que ya estaba lista para utilizarse y solucionar así el problema.

Sin embargo, en la documentación elaborada por el equipo de soporte de Firefox para actualizar el navegador, afirmaron que una de las opciones era yendo a Opciones>Ayuda>Acerca de Firefox y allí se abrirá una pestaña como la que se va a mostrar a continuación. Esta pestaña buscaría actualizaciones y ahí descargaría la nueva versión del navegador.

Pero esto no es del todo así, pues dependerá en gran medida de la versión de la distribución que estemos utilizando. Por ejemplo, sobre una Debian 9, la última versión de esta distro no es la Firefox 66, sino la 60, por lo que no buscará nuevas actualizados, puesto que está actualizado bajo Debian 9.

De igual manera ocurriría si buscamos el candidato actual para ese Debian 9, sólo nos dirá que la última versión disponible es la 60 y no la 66, por lo que la solución no pasa ni por lo comentado por Firefox, ni por un «sudo apt-get install –only-upgrade firefox-esr». Estamos hablando de una versión que han sacado de urgencia para resolver el problema con el certificado expirado, por lo que tendríamos que descargar su último paquete que encontraremos en este enlace.Sus pasos serían:

-Descomprimir el paquete: tar xjf firefox-66.0.5.tar.bz2
-Mover a /opt y crear los respectivos enlaces simbólicos tal y como se muestra a continuación

Ahora sí tendríamos actualizado nuestro Firefox y solucionado el problema con el certificado caducado.

Cabe destacar, que el afectado de este despiste no es solamente Firefox, sino también otros navegadores como TOR Browser, que es un fork de Mozilla Firefox y que este problema también les afecta. Pero al poco tiempo, ya se encontraba en los foros de TOR una solución publicada para su navegador.

A pesar de esto, no podríamos catalogar lo ocurrido como fallo, puesto que desde el punto de vista de la seguridad informática, no es tan malo lo que ocurrió. El problema hubiese sido más que algunas molestias durante la navegación por el bloqueo de las extensiones, si Firefox no tuviese este certificado que comprueba la firma de las extensiones y que, en caso de no estar firmadas, las bloquea. Entonces estaríamos hablando de una gran brecha de seguridad de graves consecuencias.

eyeDisk es un proyecto gestado en la plataforma de financiación colectiva Kickstarter que se presenta como una unidad USB de almacenamiento seguro para la privacidad y los datos al utilizar un sistema de identificación biométrica para permitir el acceso al contenido únicamente al propietario. Para ello el contenido se encuentra cifrado mediante el algoritmo AES de 256 bits usando el patrón del iris del usuario. El fabricante afirma que es imposible recuperar o duplicar el contenido almacenado en eyeDisk incluso aunque se pierda el dispositivo o un tercero disponga del patrón del iris.

El investigador de seguridad David Lodge de Pen Test Partners, ha analizado una de estas unidades de almacenamiento y ha determinado que el nivel de seguridad implementado en eyeDisk tiene puntos débiles.

Si bien es verdad que eyeDisk se mostró inflexible a los intentos de engaño mediante fotografías o patrones de iris similares (como el del hijo del investigador) y en ningún caso se desbloqueó, también se descubrió que haciendo un uso normal del dispositivo, cuando el reconocimiento biométrico falla, una contraseña de respaldo es suficiente para acceder al contenido.

Examinando el software se determinó que el contenido de EyeDisk se desbloquea cuando el elemento autenticador del dispositivo envía una contraseña al software de control. Mediante el uso de Wireshark para analizar los paquetes de esta comunicación en tiempo real, el investigador descubrió que dicha contraseña se envía en texto plano y que, tanto si el proceso de autenticación es fallido como exitoso, el paquete enviado es el mismo.

Según las palabras de David Lodge, esto revela que el software recopila la contraseña primero desde el dispositivo, y posteriormente valida la contraseña ingresada por el usuario antes de enviar (o no) la contraseña de desbloqueo. Por lo tanto, es posible obtener la contraseña / hash, en texto claro, simplemente capturando el tráfico USB.

Pen Test Partners se puso en contacto con el equipo desarrollador de eyeDisk el pasado 4 de abril para proporcionar todos los detalles del análisis realizado y los problemas de seguridad descubiertos. Unos días después, el 9 de abril, eyeDisk confirmó que solucionaría el problema aunque sin especificar fecha.

Desde entonces el equipo de seguridad ha intentado comunicarse en varias ocasiones con el equipo de desarrollo de eyeDisk para indagar sobre el estado de la corrección e informar de sus intenciones de publicar el análisis en el plazo de un mes. Así, tras no recibir respuesta, han decidido divulgar los resultados de la investigación.

Mas info:
‘Unhackable’ eyeDisk flash drive exposes passwords in clear text
https://www.zdnet.com/article/unhackable-biometric-drive-exposed-passwords-in-clear-text/

eyeDisk, Unhackable USB Flash Drive
https://www.kickstarter.com/projects/eyedisk/eyedisk-unhackable-usb-flash-drive

eyeDisk
http://eyedisk.cn/

El departamento de justicio de EEUU anuncia cargos penales contra nueve personas, 6 de las cuales son miembros del grupo de hacking denominado «The Community» y otros tres empleados que trabajaban en compañías de telefonía móvil. Estos empleados presuntamente ayudaron a sustraer $2.5 millones de dolares en criptomonedas usando el método denominado «Sim Swapping».

«SIM Swapping» o secuestro SIM, es un tipo de fraude de identidad que consiste en portar la SIM de la víctima a una nueva tarjeta SIM que el atacante controla.

Cinco ciudadanos americanos y un ciudadano irlandés pertenecientes al grupo de hacking «The Community» se enfrentan a 15 cargos por conspiración por cometer fraude electrónico y robo de identidad agravado.

Otros tres ciudadanos estadounidenses, que al parecer son ex empleados de proveedores de telefonía móvil son acusados penalmente por fraude electrónico.

En este tipo de fraude, mediante ingeniería social a la compañía telefónica de la víctima, los atacantes trataban de hacerse pasar por el propietario de la tarjeta SIM que querían portar proporcionando información personal a la compañía telefónica, consiguiendo así que la SIM de la víctima sea portada a otra SIM perteneciente a los atacantes.

Gracias a los tres ex empleados del proveedor de servicios de telefonía móvil, los acusado pudieron ejecutar los ataques con éxito a cambio de sobornos.

Una vez que el ataque de intercambio de SIM se había completado, el grupo «The Community» usaban las líneas ya portadas para resetear contraseñas y tomar el control de cuentas de email, cuentas de almacenamiento en la nube, cuentas de casas de cambio de criptomonedas y carteras, usando los códigos de autenticación en dos pasos recibidos en esas líneas.

En total, los acusados lograron portar siete SIMs para robarles a las víctimas fondos de sus cuentas de criptomonedas, transfiriendo aproximádamente una cantidad de $2.5 millones en criptomonedas a monederos controlados por los atacantes.

Si finalmente son condenados por el cargo de conspiración para cometer fraude, cada acusado se enfrenta a una pena máxima de 20 años en prisión. Mientras que el cargo por robo de identidad agravado conlleva una sentencia máxima de dos años de prisión.

Más información:

U.S. Charges 9 ‘SIM Swapping’ Attackers For Stealing $2.5 Million
https://thehackernews.com/2019/05/sim-swapping-hacking.html

Cómo ya os hemos ido adelantando en UADs anteriores [1] y [2], estamos preparando el 1 congreso de seguridad organizado por Una al día, UAD360. Hoy os queríamos compartir la agenda del evento.

Sergio de los Santos – Macro problemas / Micro soluciones

Actualmente Sergio es Director del área de Innovación y Laboratorio de ElevenPaths, la unidad de ciberseguridad en Telefónica Digital. Desde 2000, ha trabajado como auditor y coordinador técnico, ha escrito un libro sobre la historia de la seguridad y tres libros más técnicos sobre hacking y seguridad Windows.

La charla propuesta versará sobre cómo el malware de macro se ha vuelto el vector de ataque estándar y qué micro-soluciones podrían mitigarlo

Durante los 45 minutos que durará la charla se dará un repaso técnico a diferentes ejemplos reales de malware que han utilizado macros en los últimos tiempos como método de infección. Nos centraremos en el “por qué”,  “cómo” y “qué” herramientas disponemos para mitigar este problema.

Fernando Diaz – Dead or Alive 6: Core Unlocks

DOA6 es un videojuego de reciente lanzamiento en Marzo de 2019, dentro del género de lucha. Para aquellos jugadores que no quieran comprar el juego completo, Koei Tecmo da acceso al juego completo pero capado: podremos jugar a todos los modos, pero solo podremos seleccionar 4 personajes de los disponibles.

En esta charla, veremos cómo encontrar la manera de modificar el juego durante ejecución para tener acceso a estos personajes bloqueados y modificar su set de movimientos, pudiendo jugar sin tener el personaje comprado. Para automatizarlo, utilizaremos Frida, un framework de instrumentación de binarios.

Video.

David Santos – TOR DIY isolated or not

La charla comenzará con una explicación sobre el funcionamiento interno de Tor, muestrará cómo se ha llevado a cabo la posibilidad de montar una red Tor aislada de Tor Network y las vicisitudes encontradas. Finalmente se mostrará cómo se ha empleado Tor como entorno de laboratorio para realizar ataques y pruebas en nodos de salida, además de resultados reales obtenidos. Se publicará la documentación relacionada con parte de la charla al finalizar la misma.

Soledad Antelada – Protegiendo la red más rápida del mundo

SCinet es la infraestructura de red de alto rendimiento dedicada de la Conferencia de Supercomputación (SC), diseñada y construida por expertos voluntarios de la industria, la academia y el gobierno de EEUU y diversas Universidades Europeas. SC es la conferencia internacional para redes, almacenamiento y análisis de computación de alto rendimiento esponsorizada por ACM (Asociación para Maquinaria de Computación) y la asociación de computación IEEE. SC18 en Dallas, superó los 4Tbps. La planificación comienza más de un año antes de cada conferencia SC y culmina en una instalación de alto rendimiento que, durante la conferencia, es la red más rápida y potente del mundo. SCinet es compatible con las aplicaciones y experimentos revolucionarios que son un sello distintivo de la Conferencia SC y permite a los expositores demostrar las capacidades informáticas avanzadas de sus soluciones y servicios. El equipo de seguridad de red se encarga de proteger los recursos de SCinet, proveedores, expositores y asistentes durante la conferencia además de proporcionar una solución de seguridad de vanguardia en cada edición de SC. Las actividades del equipo de seguridad incluyen participar en la construcción de la arquitectura de red, diseñar el security stack, filtrar el tráfico dañino de la red, prevenir la aparición de sistemas comprometidos, la gestión de incidentes y también proteger Internet de la potencia de la red SCinet.

Bernardo Quintero

Charla por confirmar

Talleres

Luis Vacas – Taller de Pentesting

El taller explicará conceptos básicos sobre pentesting guiados por pruebas reales de explotación sobre una infraestructura de 5 máquinas. El nivel irá subiendo y abordará mañana y tarde del viernes.

Eduardo Matallanas – Taller de Inteligencia Artificial

Hoy en día el uso de la IA se ha hecho extensivo gracias a la democratización de estos servicios y la aparición de nuevos frameworks. Pero el concepto de IA no es nuevo, es más antiguo de lo que creemos. En el taller se hará una revisión histórica de los diferentes hitos dentro de la IA. Se comentará cómo han evolucionado las técnicas de IA y cuáles son los paradigmas de aprendizaje. También se resumirá cuál es el flujo de vida de un proyecto de IA y cómo se dividen cada una de sus fases. Por último, se comentarán diferentes ejemplos de aplicación de la IA. En cuanto a la parte más práctica del taller se verán diversos ejemplos de aplicación sobre el dataset de MNIST y cómo aplicar diferentes aproximaciones para empezar con un ejemplo clásico de clasificación, además de familiarizarse con el framework de TensorFlow desarrollado por Google.

Alberto Segura – Taller de Introducción al Exploiting

En el taller se dará una introducción a la explotación de binarios en Linux. Se realizará una breve introducción al lenguaje ensamblador (x86 y x86_64) y a la disposición de memoria, centrándose especialmente en la base necesaria para el desarrollo de exploits (como las convenciones de llamada y retorno de funciones). De modo que, con estos conocimientos básicos, se introduzcan herramientas (GDB, radare2, pwntools) y técnicas habituales (ret2libc, ROP) para la explotación de binarios. Además, se dará un repaso de las medidas de seguridad (ASLR, NX, Stack Canary, PIE) que se han ido añadiendo para dificultar la explotación de vulnerabilidades en binarios, incluyendo escenarios en los que dichas medidas de seguridad no imposibilitan una explotación satisfactoria.

En las últimas horas ha podido verse cómo tiembla de nuevo el mundo de la seguridad informática con el anuncio de tres nuevas vulnerabilidades que afectan a los procesadores de Intel. ZombieLoad, RIDL y Fallout, como han sido nombradas, no se tratan de simples variaciones de Meltdown y Spectre, como hemos estado acostumbrados.

Las tres, al igual que Meltdown y Spectre, se basan en la ejecución especulativa. Esta forma de optimización, consiste en realizar tareas antes de necesitarse, y desecharlas si al final no se requieren. A pesar de estar basadas en Meltdown y Spectre, éstas se consideran como MDS (Microarchitectural Data Sampling), lo que significa que pueden realizarse «al vuelo», siendo mucho más peligrosas.

RIDL (Rogue In-Flight Data Load) explota el buffer interno de la CPU (como los Line-Fill Buffers y los Load Ports) mientras se carga o almacena la información desde la memoria para acceder a datos sensibles. La explotación puede realizarse sin necesidad de ejecutarse con privilegios; desde cualquier sandbox, máquina virtual o incluso a pesar de usar SGX. Existe una prueba de concepto usando JavaScript.

Fallout permite la lectura del ‘Store Buffer’ cuando la CPU almacena cualquier tipo de dato, pudiendo el ataque elegir qué dato se filtrará desde el ‘Store Buffer’ de la CPU. Este tipo de ataque puede utilizarse para romper el ‘KASLR’ (Kernel Address Space Layout Randomization), pudiendo así filtrar datos sensibles escritos en memoria por el sistema operativo. Lo peor de todo, es que las nuevas contramedidas introducidas en los Intel i9 para Meltdown hacen estas CPUs aún más vulnerables a Fallout.

El último de estos, ZombieLoad, ha sido nombrado así por ser capaz de «resucitar» información que ha sido accedida recientemente o en paralelo en el mismo core. Afecta a todos los procesadores Intel desde el 2011, y no importa si se está utilizando virtualización. Para el ataque, se realiza un muestreo sobre el buffer de datos de relleno.

Las vulnerabilidades ya han sido identificadas con los siguientes CVE:

• CVE-2018-12126: Ataque MSBDS (Microarchitectural Store Buffer Data Sampling), conocido como Fallout.
• CVE-2018-12127: Ataque MLPDS (Microarchitectural Load Port Data Sampling), forma parte de RIDL.
• CVE-2018-12130: Ataque MFBDS (Microarchitectural Fill Buffer Data Sampling), conocido como ZombieLoad o RIDL.
• CVE-2019-11091: Ataque MDSUM (Microarchitectural Data Sampling Uncacheable Memory), forma parte de RIDL.

Google, Microsoft y Apple han lanzado parches para mitigar estas vulnerabilidades. En el caso de Google, la actualización sólo se aplica a los dispositivos Android con procesadores Intel, como algunos Chromebook y tablets. Microsoft por su parte, ha avisado que el parche podría tener un impacto en el rendimiento del sistema.

Existen pruebas de concepto de RIDL y Fallout tanto para Linux como Windows, además de para ZombieLoad en su repositorio.

Fuentes:
RIDL and Fallout: MDS attacks:
https://mdsattacks.com/
ZombieLoad Attack:
https://zombieloadattack.com/
MDS – Microarchitectural Data Sampling – CVE-2018-12130, CVE-2018-12126, CVE-2018-12127, and CVE-2019-11091:
https://access.redhat.com/security/vulnerabilities/mds
Product Status: Microarchitectural Data Sampling (MDS):
https://support.google.com/faqs/answer/9330250
ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013
Additional mitigations for speculative execution vulnerabilities in Intel CPUs:
https://support.apple.com/en-us/HT210107

Una al mes, es una plataforma que mensualmente crea retos de seguridad informática de forma gratuita. Cada 3 meses se hace un ranking de los participantes que hayan conseguido mayor puntuación, obsequiando con un detalle a los ganadores.

Hoy sale publicada la tercera prueba de la saga Matrix (podéis seguir el grupo a través del canal de Telegram). Este reto que pondrá fin a la cuarta saga de pruebas representa el reto número 18 publicado.

Coincidiendo con la publicación de esta prueba y con la inminente celebración del congreso de seguridad UAD360, en el cual Una al mes tendrá un papel protagonista como organizador del reto CTF, queremos hacer un pequeño «challenge» con todos vosotros.

Cómo sabéis el evento está co-organizado por la Universidad de Málaga y ellos nos han propuesto lo siguiente: regalar 3 entradas a los 3 primeros universitarios de toda España que puedan resolver el reto. Estos alumnos además de recibir la entrada, tendrán el alojamiento pagado para los días del evento (jueves, viernes y sábado) en la capital Malagueña. El alojamiento será gracias a la Residencia Universitaria de Teatinos RUT.

Es necesario recalcar que los participantes de esta plataforma no suelen ser estudiantes por lo que, a pesar de que veáis que ya hay «varias» resoluciones para el reto en cuestión, no debéis desistir, ya que es posible que muchos no cumplan el requisito de ser universitario.

El reto que comentamos va a ser publicado al mismo tiempo que esta noticia. La URL para acceder es https://unaalmes.hispasec.com/ (MATRIX EPISODIO 3).

Es muy importante que si conseguís superar el reto y queréis optar al premio, debéis mandar un write-up de como habéis resuelto la prueba al correo: dpua@hispasec.com.

Los ganadores del premio serán publicados en el twitter de UAD360 el próximo miércoles 22 de mayo.

¡Mucha suerte a todos!

Apple ha publicado 6 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Apple TV Software y Safari. Entre todos los productos se corrigen 63 fallos de seguridad.

Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.

El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 12.3, resuelve 40 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘AppleFileConduit’, ‘Contactos’, ‘CoreAudio’, ‘Mail’, ‘SQLite’, ‘sysdiagnose’, el kernel y ‘WebKit’ entre otros. Siete de los fallos permitirían la ejecución de código arbitrario explotando varios errores de validación y problemas en la gestión de la memoria (CVE-2019-8593, CVE-2019-8585, CVE-2019-8605, CVE-2019-8613, CVE-2019-8600, CVE-2019-8574, CVE-2019-6237, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8628). Algunos de los fallos también están presentes en Safari, watchOS y tvOs. De estas vulnerabilidades, dos permitirían la ejecución de código con privilegios de sistema (CVE-2019-8574 y CVE-2019-8593).

macOS Mojave 10.14.5 y los Security Update 2019-003 para Sierra y High Sierra. En este caso se solucionan 51 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘Accessibility Framework’, ‘AMD’, ‘Application Firewall’, ‘CoreAudio’, ‘DesktopServices’, ‘Disk Images’, ‘EFI’, ‘IOKit’, ‘Microcode’, el kernel y ‘Wi-Fi’ entre otros. Ocho de estas vulnerabilidades podrían permitir la ejecución de código arbitrario con privilegios de kernel (CVE-2019-8635, CVE-2019-8616, CVE-2019-8629, CVE-2018-4456, CVE-2019-8605, CVE-2019-8604, CVE-2019-8574, CVE-2019-8569).

Safari 12.1.1 cuenta con otro boletín que soluciona 21 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. Veinte de estos errores permitirían la ejecución de código arbitrario a través de una página web especialmente manipulada (CVE-2019-6237, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8628).

El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.2.1, soluciona 21 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario (CVE-2019-8593, CVE-2019-8585, CVE-2019-8605, CVE-2019-8613, CVE-2019-8600, CVE-2019-8574, CVE-2019-8583, CVE-2019-8601, CVE-2019-8622, CVE-2019-8623).

tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 12.3, donde se corrigen 35 vulnerabilidades en múltiples componentes. Una de ellas permitiría elevar privilegios en el sistema (CVE-2019-8602) y/o la ejecución de código arbitrario (CVE-2019-8593, CVE-2019-8585, CVE-2019-8605, CVE-2019-8600, CVE-2019-8574, CVE-2019-6237, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8628).

Las versiones 7.3 del Software de Apple TV tiene tres vulnerabilidades en los componentes ‘Bluetooth’ y ‘Wi-Fi’ que permitirían la ejecución de código arbitrario (CVE-2017-14315, CVE-2017-9417, CVE-2017-6975)

Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:

Apple security updates
https://support.apple.com/en-us/HT201222

Google ha confirmado la existencia de un problema de seguridad en sus llaves de seguridad Titan.

Titan es un sistemas de seguridad que se compone de 2 llaves, una contiene una conexión USB y otra un dispositivo bluetooth el cual permite dar al usuario una doble autenticación a la hora de iniciar sesión en los servicios del gigante. El dispositivo USB daría cobertura ante un inicio de sesión en ordenadores convencionales, y el dispositivo bluetooth daría cobertura al inicio de sesión en dispositivos móviles. En pocas palabras, es un sistema similar a la doble autenticación o autenticación en 2 pasos.

El fallo reportado existe solo en la llave bluetooth y es debido a un fallo en la configuración de emparejamiento en le dispositivo bluetooth, por lo tanto la llave USB no se ve afectada por la vulnerabilidad.

Con esta vulnerabilidad, un atacante con los conocimientos adecuados podría sincronizarse con la llave bluetooth en el momento del inicio de sesión de la víctima (momento en el que la víctima aprieta el botón) y saltarse esta doble autenticación.

Inmediatamente Google se ha puesto en contacto con los usuarios que tengan una versión de Titan vulnerable alertando de la utilización de la llave bluetooth hasta que Google reemplace dicha llave por otra con la vulnerabilidad corregida. Para saber si una llave es vulnerable, tan solo hay que mirar si en la parte trasera contiene el texto ‘T1’ o ‘T2’, si es así, la llave sería vulnerable.

A pesar de esta vulnerabilidad y de los efectos que podría causar si una cuenta se viese comprometida, Google intenta tranquilizar a los usuarios basándose en la complejidad para realizar el ataque con éxito, ya que el atacante debería de cumplir 3 requisitos.:

• Tener amplios conocimiento sobre la materia.
• Estar a unos 10 metros de distancia en el momento en que al víctima realiza esta doble autenticación.
• Conocer el usuario y contraseña de la víctima.

Actualmente el dispositivo de seguridad Titan solo está disponible en EEUU y está en duda la expansión de este dispositivo a otras partes del mundo.

Más información:

Google Security Blog
https://security.googleblog.com/2019/05/titan-keys-update.html

Hace 2 años Google ponía encima de la mesa el reloj de vida del cifrado SHA-1 demostrando su debilidad mediante un ataque por colisión (Entendemos colisión por dos flujos de datos distintos que comparten un mismo hash).

La semana pasada, mediante el estudio del ataque por colisión con prefijo elegido, se consiguió bajar aun más la complejidad que, en estos momentos, oscila entre 2^66,9 y 2^69,4. Para tener un baremo sobre el que trabajar, en 1995 se calculó que harían falta 2^80 combinaciones de media para llevar a cabo un ataque por fuerza bruta que buscase colisiones en prefijos idénticos, lo que sería muy laborioso, computacionalmente hablando, y menos práctico para un atacante ya que es el propio algoritmo el que decide los mensajes donde se encuentra la colisión.

Esta nueva técnica permite llevar a cabo ataques por colisión con unas premisas personalizadas, dejando atrás las colisiones «accidentales», lo que abre una nueva puerta a los atacantes para que puedan tener el control de los archivos que deseen duplicar o crear. Esto significa que un atacante podría falsificar cualquier fichero cifrado mediante SHA-1.

Cabe destacar que en 2005 se rompió el algoritmo SHA-1 de forma teórica y en 2017, académicos de Google, consiguieron el primer ataque de colisión SHA-1 exitoso del mundo, conocido como «SHAttered». Esta hazaña costó 110.000$.

Después de eso, tan solo 2 años más tarde, un equipo de investigadores de Francia y Singapur, apoyándose en el estudio de SHAttered, dio una nueva vuelta de tuerca al asunto y demostró de forma teórica un ataque por colisión con el prefijo elegido. Todo esto está recogido en este documento titulado: «Desde las colisiones a las colisiones con prefijo elegido en SHA-1«.

Es posible que pronto se vean los primeros ataques prácticos de colisión de prefijos elegidos en SHA-1, como pasó con MD5.

Más información:

Qué ha pasado con SHA-1 y el nuevo ataque. Una explicación sencilla
https://empresas.blogthinkbig.com/nuevo-ataque-sha-1-explicacion/

SHA-1 ha muerto, ataque de colisión con prefijo elegido
https://blog.segu-info.com.ar/2019/05/sha-1-ha-muerto-ataque-de-colision-con.html