El pasado 23 de Agosto, el proveedor de servicios de hosting Hostinger detectó un acceso no autorizado a su base de datos con información de sus clientes.
Los atacantes consiguieron acceder a la base de datos en la se encontraban datos de clientes como: nombres de usuario, hashes de contraseñas, direcciones de correo electrónico, nombres y direcciones IP.
Según ha hecho público la propia compañía en una entrada en su blog, el incidente de seguridad se produjo debido a un acceso no autorizado a uno de sus servidores. Dicho servidor almacenaba un token de acceso para una API RESTful utilizada internamente.
Esta API era utilizada por los empleados de Hostinger para consultar datos de los usuarios en caso de ser necesario. La base de datos utilizada en este servidor contenía información sobre 14 millones de clientes.
Tras detectar la intrusión, Hostinger ha reseteado las contraseñas de sus usuarios y ha enviado un correo electrónico a los mismos con informando del incidente y explicando cómo deben actuar ante el reseteo de las contraseñas.
Correo electrónico enviado a los clientes. Fuente: BleepingComputer.
Ni los datos de pago de los usuarios ni sus páginas web alojadas en el servicio están en peligro, ya que no se encontraban en el mismo servidor.
Hostinger aún se encuentra investigando el caso con el objetivo de detectar posibles novedades.
Se recomienda a los usuarios no utilizar la misma contraseña en diferentes servicios, y en caso de ser cliente de Hostinger, cambiar las contraseñas compartidas con otros servicios.
La versión de iOS 12.4 vuelve a introducir un fallo de seguridad que permite hacer jailbreak al teléfono mediante la explotación del kernel. El fallo afecta a dispositivos iPhone XS, XS Max, XR, iPad mini, iPad Air con versiones 12.4, 12.2 o anteriores a esta última.
Fuente: thehackernews.com
El jailbreaking es un proceso que permite ganar un mayor control sobre el dispositivo e instalar apps y funcionalidades que, inicialmente, no están aprobadas por Apple para ser utilizadas en sus dispositivos, además de deshabilitar varias funciones de seguridad nativas.
El exploit corresponde a la vulnerabilidad CVE-2019-8605. Esta vulnerabilidad fue ya descubierta por el equipo de Project Zero y presentada al fabricante siguiendo las buenas prácticas sobre investigación en seguridad informática. El exploit ha sido publicado en el Github del investigador anónimo ‘Pwn20wnd‘, siendo la primera vez en muchos años que esta clase de exploits contra Apple alcanzan tal nivel de publicidad.
El fallo permite la ejecución arbitraria de código con permisos de sistema en el dispositivo afectado. Esto posibilita, en última instancia, llevar a cabo el jailbreak. Sin embargo, este proceso compromete la seguridad del dispositivo en varios aspectos.
El hecho reseñable es que este fallo de seguridad ya había sido parcheado previamente. La versión 12.3 de iOS, subsanaba este fallo de seguridad que permitía hacer jailbreak al dispositivo en las versiones anteriores. Sin embargo, con la actualización a iOS 12.4, este mismo fallo ha sido reintroducido de nuevo por error. Esto ha obligado a lanzar una segunda actualización de seguridad, la 12.4.1, expresamente dirigida a parchear esta vulnerabilidad.
Pese a que Apple ha tardado una semana – un plazo relativamente corto de tiempo – en subsanar el fallo, ya ha varios testimonios de usuarios en redes (@yosi1692, @juanillo62gm, @tiagonwk, @liaoqingqing520) que demuestran haber aprovechado el fallo para «liberar» su teléfono mediante el exploit de Pwn20wnd. Sin embargo, dada la colaboración del investigador, Apple ha querido reconocerle también a él su ayuda en la nota de soporte descriptiva asociada a la actualización de seguridad de iOS 12.4.1.
La empresa de seguridad Imperva ha sufrido una fuga que expone información sensible de clientes de Incapsula.
Incapsula es el nombre por el que se conoce al servicio de WAF en Cloud de la empresa Imperva. Funciona como un CDN diseñado para mitigar ataques de denegación de servicio distribuidos y proteger ante otro tipo de amenazas.
Chris Hylen, su CEO, ha anunciado que el pasado 20 de agosto un tercero notificó a la compañía sobre la brecha, que exponía información sobre la base de datos de clientes de Incapsula hasta el 15 de septiembre de 2017. Esta información incluía direcciones de correo y contraseñas cifradas de un subconjunto de usuarios registrados antes del 15 de septiembre de 2017. Las claves de API y certificados SSL para este grupo de clientes quedaron expuestos.
Todavía no se conocen los detalles sobre el incidente, si fue fruto de un ataque dirigido o el resultado de componentes mal configurados. La compañía ha iniciado una investigación para aclarar lo sucedido y ha notificado la brecha a las entidades reguladoras pertinentes.
El martes 27 de agosto la comunidad Debian amaneció con una actualización de seguridad en el servicio apache2 para solucionar varias vulnerabilidades que podrían causar una deneación de servicio en el servicio. Concretamente, se publicaron 6 CVEs donde se detallaban los fallos de seguridad.
En el Debian Security Advisory publicado, se dieron a conocer los 6 CVEs que afectan al servicio Apache2 httpd:
CVE-2019-9517: Jonathan Looney (de Netflix) informó que un atacante podría realizar un ataque de denegación de servicio inundando una conexión con solicitudes. El fallo residía en que implementaciones HTTP/2 eran vulnerables al almacenamiento de datos en buffer sin restricciones, lo que posibilitaba la realización de denegaciones de servicio.
El atacante envía luego una secuencia de solicitudes para un objeto de respuesta grande y, dependiendo de cómo los servidores pongan en cola las respuestas, puede consumir la memoria, la CPU o ambos.
En la siguiente tabla se muestran las versiones que son aún vulnerables y cuáles han sido arregladas y ya no lo son:
Tabla de versiones de apache2 que ya no son vulnerables a CVE-2019-9517
CVE-2019-10081: Craig Young informó que HTTP/2 PUSHes podría provocar una sobrescritura de memoria en el grupo de solicitudes de inserción, lo que provocaría bloqueos. HTTP/2 (2.4.20 a 2.4.39) con algunos «pushes«, por ejemplo configurados con «H2PushResource». Esto podrían provocar una sobreescritura de memoria en el grupo de solicitudes de empuje, lo que provocaría fallos. La memoria copiada es la de los valores del encabezado del enlace de inserción configurados, no los datos suministrados por el cliente.
En la siguiente tabla se muestran las versiones que son aún vulnerables y cuáles han sido arregladas y ya no lo son:
CVE-2019-10082: Nuevamente Craig Young informó que el manejo de la sesión HTTP/2 podría permitir la lectura de memoria previamente liberada durante el cierre de la conexión.
En la siguiente tabla se muestran las versiones que son aún vulnerables y cuáles han sido arregladas y ya no lo son:
CVE-2019-10092: Matei «Mal» Badanoiu informó de un problema de secuencias de comandos limitados entre sitios que afecta a la página de error mod_proxy. Un atacante podría provocar un error en el enlace de la página de error y, en su lugar, apuntar a una página de su elección engañando a los usuarios. Esto solo sería explotable si durante la configuración de un servidor con proxy esta se realizara de forma incorrecta, de tal manera que la página de error llegara a renderizarse.
Se ha aprovechado esta oportunidad para eliminar también los datos de solicitud de muchos otros mensajes de error incorporados. Sin embargo, este problema no afecta directamente y su salida ya se solucionó para evitar ataques de secuencias de comandos entre sitios. Se pueden observar los cambios realizados en los programas del módulo mod_proxy afectados, mod_proxy_balancer.c y proxy_util.c. Por ejemplo, el programa proxy_util.c estaba inicialmente:
@@ -1252,10 +1252,11 @@
if (*balancer->s->nonce == PROXY_UNSET_NONCE) {
char nonce[APR_UUID_FORMATTED_LENGTH + 1];
apr_uuid_t uuid;
/* Retrieve a UUID and store the nonce for the lifetime of
* the process.
*/
apr_uuid_get(&uuid);
apr_uuid_format(nonce, &uuid);
rv = PROXY_STRNCPY(balancer->s->nonce, nonce);
}
y tras el patch, ha quedado de la siguiente forma:
@@ -1252,10 +1252,11 @@
if (*balancer->s->nonce == PROXY_UNSET_NONCE) {
char nonce[APR_UUID_FORMATTED_LENGTH + 1];
apr_uuid_t uuid;
/* Generate a pseudo-UUID from the PRNG to use as a nonce for
* the lifetime of the process. uuid.data is a char array so
* this is an adequate substitute for apr_uuid_get(). */
ap_random_insecure_bytes(uuid.data, sizeof uuid.data);
apr_uuid_format(nonce, &uuid);
rv = PROXY_STRNCPY(balancer->s->nonce, nonce);
}
Se puede apreciar cómo apr_uuid_get(&uuid); se ha cambiado por ap_random_insecure_bytes(uuid.data, sizeof uuid.data). En otras palabras, se pasa de una función que genera un nuevo UUID (que es el causante del fallo que se expone) a una función que genera bytes pseudoaleatorios como es ap_random_insecure_bytes. Es la interfaz conveniente para apr_random, pero alertamos que, aunque sea conveniente y más barato, es también más inseguro que apr_generate_random_bytes(), pues mientras que apr_random_insecure_bytes genera valores pseudoaleatorios, apr_generate_random_bytes sí que los genera aleatoriamente. Decantarse por apr_random_insecure_bytes en lugar de apr_generate_random_bytes podría llevarnos a que en un tiempo se descubra otra vulnerabilidad similar a CVE-2019-10092.
CVE-2019-10097: Daniel McCarney informó que cuando mod_remoteip se configura para usar un servidor proxy intermediario confiable usando el protocolo «PROXY«, un encabezado PROXY especialmente manipulado podría desencadenar un desbordamiento del buffer basado pila o una desferencia de puntero NULO. Esta vulnerabilidad solo puede ser activada por un proxy confiable y no por clientes HTTP no confiables.
Así es como estaba antes del patch el archivo mod_remoteip.c, donde se aprecia que no se trata de manera especial la función ap_get_brigade(), que es la que «juega» con lo que en Apache se denomina «bucket brigade«.
Tras el patch, ya se emplean salidas de log con ap_log_cerror(), autocompletando tal y como se recomienda en su documentación, con APLOG_MARK. Aunque lo más interesante es cómo se utiliza el if para obtener los bytes que se reservan en memoria para este módulo de remoteip y que, en caso de validarse, se emplea apr_brigade_destroy() para, destrozar el «bucket brigade» de «bb» que, según su documentación, es el que calcula su longitud.
bb –>The brigade to compute the length of read_all –> Read unknown-length buckets to force a size length –>Returns the length of the brigade (up to the end, or up to a bucket read error), or -1 if the brigade has buckets of indeterminate length and read_all is 0.
Como cabe esperar, de este CVE no hay muchas versiones afectadas tal y como muestra la propia Debian.
CVE-2019-10098: Yukitsugu Sasaki reportó que los redireccionamientos configurados con mod_rewrite que estaban destinados a ser autorreferenciales podrían ser engañados por nuevas líneas codificadas y en su lugar redirigir a una URL inesperada dentro de la URL de solicitud. Aquí la solución pasó simplemente por modificar el valor de default_cflags, pasando de AP_REG_DOLLAR_ENDONLY a AP_REG_DOTALL | AP_REG_DOLLAR_ENDONLY;
Conclusiones y matices —————————————————————————————
Hay una cuestión a tener en cuenta: qué versión de cada paquete viene con cada rama de Debian, algo muy importante a la hora de un pentest.
Tal y como hizo Dabo en la Qurtuba 2k17, tener un breve resumen de las versiones y sus distintas ramas es útil para realizar un pentest, pues suele existir confusión cuando se ve, por ejemplo, un Apache 2.4.10 en la salida de herramientas como Nmap y se piensa que es vulnerable al comprobar que la última versión de Apache disponible es la 2.4.38. Sin embargo, Apache 2.4.10 es la última versión de Debian 8, por lo que no es vulnerable. Es por esta razón que aunque muchos de los CVEs afecte a las versiones 2.4.38, la 2.4.25 en Debian 9 Jessie está solucionado.
Se recomienda tener muy en cuenta cuáles son los repositorios de nuestros sistemas y así saber si disponemos de la última versión de cada paquete de software. Además, se recomienda actualizar la versión de Apache a versiones que ya hayan sido arregladas o incluso, en servidores de desarrollo, comenzar a utilizar los repositorios de SID (Still in Development) de Debian bullseye. Esto es posible añadiendo los siguientes repositorios a nuestro /etc/apt/sources.list
deb http://deb.debian.org/debian bullseye main contrib non-free deb-src http://deb.debian.org/debian bullseye main contrib non-free deb http://deb.debian.org/debian-security/ bullseye-security/updates main contrib non-free deb-src http://deb.debian.org/debian-security/ bullseye-security/updates main contrib non-free
deb http://deb.debian.org/debian bullseye-updates main contrib non-free deb-src http://deb.debian.org/debian bullseye-updates main contrib non-free
Tras realizar un update y upgrade, podríamos instalar apache (de encontrarse previamente instalado simplemente, se actualizará)
$ lsb_release -a; apachectl -v No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 10 (buster) Release: 10 Codename: buster Server version: Apache/2.4.41 (Debian) Server built: 2019-08-14T04:42:29
Así se observa como, en un Debian 10 Buster (última versión de Apache es la 2.4.38), la salida de apachectl -v muestra la 2.4.41 al estar utilizando los repositorios de testing.
Tras todo lo comentado, desde Hispasec recomendamos que, si se está utilizando Apache2, se actualice a la versión arreglada lo antes posible para evitar todos estos posibles fallos, además de realizar las configuraciones necesarias del entorno GLAMP para optimizar el rendimiento del servidor.
14 vulnerabilidades en iPhone han sido el objetivo de cinco cadenas de exploits (herramientas que unifican vulnerabilidades de seguridad, permitiendo al atacante penetrar en cada capa de las protecciones digitales de iOS). Estas cadenas forman parte de un ataque que ha durado años; dos de estas vulnerabilidades se trataban de Zero Days.
iPhone Fuente de la imagen: Pexels
Los sitios web infectados que fueron utilizados como medio para llevar a cabo el ataque contenían el spyware encargado de robar información de iMessages, fotos y localización GPS en tiempo real, según lo reportado por Ian Beer y el equipo de investigación Project Zero de Google.
«No había un objetivo específico; visitar el sitio hackeado era suficiente para que el exploit se ejecutase en el dispositivo, y en caso de ejecutarse con éxito, se instalaba un módulo de monitorización», escribió Beer en un blog el pasado viernes. «Estimamos que estos sitios reciben miles de visitas cada semana». Los sitios infectados estaban activos desde hace, al menos, dos años.
Beer dijo que en el ataque se habían usado siete bugs para el navegador de iPhone (Safari), cinco para el kernel y dos «sandbox escapes« (exploit que permite acceder a funcionalidades o procesos más allá de lo permitido en una aplicación normalmente). Google ha sido capaz de hacerse con cinco exploits totalmente distintivos y únicos para iPhone, los cuales afectan casi a cada versión de estos dispositivos que van desde iOS 10 hasta la última versión de iOS 12.
Escribía el investigador:
Un análisis inicial indicó que al menos una de las cadenas de exploits para la escalada de privilegios era un 0-day, el cual no había sido solventado en el momento de su descubrimiento [enero] (CVE-2019-7287 y CVE-2019-7286).
El alcance de las versiones afectadas «apuntaban a un grupo que estaba haciendo un esfuerzo continuo para hackear a usuarios de iPhone en ciertas comunidades durante un periodo de tiempo de al menos dos años». Añadía Beer que la raíz de las vulnerabilidades revelaban código que, aparentemente, nunca había sido desarrollado correctamente, al cual le faltaban controles de calidad, o que «probablemente casi no se sometió a pruebas o revisiones antes de ser entregados a los usuarios (los dispositivos)».
Google informó sobre estos problemas a Apple en enero, lo que resultó en el lanzamiento apresurado de iOS 12.1.4 en febrero de 2019, el cual no estaba programado para esa fecha; las vulnerabilidades se dieron a conocer públicamente en ese momento.
Detalles del módulo
El payload del malware usado en el ataque es algo personalizado y desarrollado para realizar tareas de monitorización. Este payload hace peticiones mediante comandos desde un servidor C&C (C2) cada sesenta segundos, y se centra principalmente en robar archivos y obtener datos de localización en tiempo real. El análisis de Beer mostró que se pueden evitar algunas de las medidas de seguridad usadas por disidentes para, por ejemplo, proteger su privacidad (y en muchos casos su seguridad física).
Según el investigador, los atacantes usaron las cadenas de exploits para conseguir ejecutar código fuera de un entorno sandboxcomo usuario root en los iPhones. Tras lograr esto, los atacantes ejecutaban «posix_spawn«, pasando la ruta al módulo, el cual era almacenado en /tmp; esto hacía que el módulo corriese en segundo plano con privilegios root.
«El implante se ejecuta en el espacio del usuario, aunque fuera de un entorno sandbox y con privilegios de root seleccionados por el atacante para asegurarse de que puede seguir accediendo a la información privada en la que estaban interesados», detallaba Beer. «Usando jtool, podemos ver los privilegios que tiene el módulo… los atacantes tienen control total sobre estos, ya que usaban el exploit para el kernel con el objetivo de añadir el hash del código del módulo a la caché del kernel«.
Durante la prueba, Beer fue capaz de usar el malware para robar archivos de la base de datos de un teléfono infectado, el cual era usado por aplicaciones de mensajería instantánea cifrada de extremo a extremo como WhatsApp, iMessage y Telegram – lo cual significa que pudo hacerse con el texto plano de los mensajes enviados y recibidos.
Ejemplo de robo de información de mensajería instantánea cifrada de extremo a extremo Fuente de la imagen: The Hacker News
Esta misma técnica podía ser usada en todo el dispositivo.
«El implante puede subir archivos privados usados por todas las aplicaciones del dispositivo, como por ejemplo el contenido en texto plano de emails enviados con la aplicación Gmail, los cuales eran subidos al servidor del atacante», comunicaba Beer.
El implante también realiza copias de los contactos del usuario (nombres completos y números de teléfono) almacenados en la agenda de contactos del iPhone, copias de fotos, y puede hacerse con la localización en tiempo real del usuario, actualizando esta última información hasta una vez por minuto si el dispositivo está conectado a alguna red.
Los atacantes podrían conseguir la persistencia en el dispositivo infectado mediante el robo de tokens usados por servicios como iOS Single-Sign-On de Google. Dicha información será transmitida al atacante y podrá ser usada para tener acceso a la cuenta de Google del usuario incluso una vez el implante deje de ser ejecutado. Para que el módulo deje de correr en el dispositivo será necesario reiniciarlo, e incluso así, si tras el reinicio el usuario volviese a visitar el sitio web comprometido, la infección tendría lugar nuevamente.
La dirección IP del servidor a la que se suben los archivos se encuentra incrustada en el binario del módulo, algo que algunos investigadores que se han pronunciado sobre el asunto consideran un «error amateur» frente a la sofisticación de los Zero Days explotados, llegando a especular que tras el ataque se encuentra un estado cuyo objetivo es monitorizar a un grupo concreto de la población y que habría comprado el 0-day por una importante suma de dinero, siendo sus desarrolladores, aparentemente recién iniciados en el mundo del ciberespionaje de acuerdo a los investigadores, quienes se encargaron de desarrollar el malware e introduciendo en su estructura la dirección IP del servidor, lo cual podría facilitar la localización del grupo atacante.
Junto al robo de información privada de los usuarios, igualmente preocupante resulta el hecho de que nada está cifrado -todo se envía al C2 vía HTTP (no HTTPs), abriendo la posibilidad de que los datos sean filtrados a otras personas. Este es otro aspecto que hace pensar a algunos investigadores que el grupo atacante es relativamente inexperto. «Si te conectas a una red de Wi-Fi no cifrada esta información estará siendo transmitida a todo aquel que está a tu alrededor, a tu operador de red y a cualquier intermediario hasta llegar al servidor de Control y Comando», informaba Beer.
En cuanto a los usuarios, estos no se habrían dado cuenta de que habían sido infectados, permitiendo así que el binario obtuviese la información personal durante todo el tiempo que el usuario permaneciera sin reiniciar el dispositivo. «No hay un indicador visual que muestre que se está ejecutando el implante en el dispositivo. No hay manera de que un usuario de iOS vea una lista de procesos, de manera que el binario del módulo no intenta ni siquiera esconder su ejecución en el sistema», según lo reportado por el investigador.
Los sitios webs usados para el ataque tenían como objetivo cierto grupo de personas. Aunque no dijo explícitamente si se trataba de personajes del mundo de la política o grupos demográficos, Beer dio a entender que se trataba del primer grupo. Tampoco se tiene información sobre quién se encuentra detrás del ataque, pero tanto la sofisticación del ataque como su objetivo de espionaje sugiere, como se ha mencionado previamente, que se trata de un grupo de hackers respaldados por un estado.
Ian Beer explica que es necesario dejar a un lado la noción de que cualquier usuario de iPhone que haya podido ser hackeado es «el disidente del millón de dólares» (un nickname que se le dio al activista de derechos humanos de Emiratos Árabes Unidos, Ahmed Mansour, actualmente encarcelado, después de que su iPhone fuese hackeado). El nickname «disidente del millón de dólares» vino por lo costoso que se estimó que fue el proceso de hackear el iPhone de este activista, y con respecto a esto Beer dice que no tiene intención de iniciar una conversación sobre cuánto cuesta una campaña como la tratada en este artículo, pero dice que todos los precios dados «parecen bajos considerando la capacidad de monitorización de las actividades privadas de poblaciones enteras en tiempo real».
El investigador también dijo que los sitios web infectados, los zero-days y los exploits descubiertos por Google durante la investigación son más bien la punta del iceberg, aclarando que «todavía hay muchos otros que están por verse».
Desde Hispasec Sistemas no solo recomendamos que los usuarios mantengan sus dispositivos actualizados; también secundamos el consejo proporcionado por Beer, quien advirtió a los usuarios alentándoles a que fuesen más precavidos ante la amenaza real de los ciberataques, y a que consideren dónde podría acabar un día toda la información que se encuentra en sus dispositivos.
Atacantes están escaneando activamente servidores Pulse Secure VPN vulnerables a una falla descubierta recientemente y explotable de manera remota.
El jueves 22 de agosto se detectó un escaneo masivo desde una IP procedente de España cuyo objetivo eran puntos de acceso Pulse ConnectSecure VPN vulnerables a CVE-2019-11510.
Esta vulnerabilidad permite la lectura de información sensible por un usuario sin autenticación, lo que permitiría a un atacante robar claves privadas y contraseñas de usuario. Estas fugas de credenciales pueden, a su vez, desembocar en una ejecución remota de código (CVE-2019-11539) y permitir al atacante acceder a la red VPN.
𝗪𝗔𝗥𝗡𝗜𝗡𝗚 Mass scanning activity detected from 2.137.127.2 () checking for @pulsesecure Pulse Connect Secure VPN endpoints vulnerable to arbitrary file reading (CVE-2019-11510).#threatintelpic.twitter.com/fiRUMKjwbE
𝗪𝗔𝗥𝗡𝗜𝗡𝗚 Mass scanning activity detected from 81.40.150.167 () checking for @pulsesecure Pulse Connect Secure VPN endpoints vulnerable to arbitrary file reading (CVE-2019-11510) that allows sensitive information disclosure.#threatintelpic.twitter.com/vYEJ1Coa38
En este intento de explotación detectado en España se intentó descargar el fichero /etc/passwd, que contiene los nombres de usuarios asociados con el servidor VPN. Si se recibe como respuesta «HTTP 200/OK», indica que el servidor VPN es vulnerable.
Es muy probable que los atacantes ya hayan enumerado todas las instancias de Pulse Secure VPN vulnerables a CVE-2019-11510, dado el volumen de tráfico usado durante el escaneo.
Los investigadores de Bad Packets, han escaneado 41,850 puntos de acceso Pulse Secure VPN para confirmar cuantos de ellos son vulnerables. En total se descubrieron 14.528 endpoints vulnerables a CVE-2019-11510.
Un total de 2535 Sistemas Autónomos contienen instancias vulnerables de Pulse Secure VPN en sus redes que afectan directamente, tanto a organizaciones públicas, como privadas de diversos sectores, tales como:
Agencias federales, estatales militares y locales de América.
Universidades públicas y escuelas.
Hospitales.
Empresas eléctricas y de gas.
Instituciones financieras.
Corporaciones del mundo audiovisual.
Compañías del listado Fortune 500.
Por países, el listado del número de instancias vulnerables son:
Pulse Secure VPN ha publicado instrucciones para actualizar las versiones vulnerables y recomienda su aplicación a la mayor brevedad posible, en aras de evitar posibles brechas de seguridad.
Los permisos por defecto en los clusters de Kubernetes permiten realizar ARP spoofing, que entre otros riesgos deja tomar el control del DNS
Tal y como ha demostrado el analista de seguridad Daniel Sagi, el diseño de red de Kubernetes junto con los permisos por defecto permite a cualquier pod realizar DNS spoofing al resto de pods del cluster. Este tipo de ataques suplantan el servidor DNS para que las máquinas en vez de resolver al dominio deseado realicen la conexión a un servicio controlado por el atacante.
Para su funcionamiento, se aprovecha que Kubernetes concede por defecto el permiso ‘NET_RAW’ (el cual puede comprobarse con el comando ‘pscap -a’) con el que pueden enviarse paquetes ARP y DNS en bruto. Conceder el permiso para paquetes ARP sin restricciones permite realizar ataques ‘SPF Spoofing’, un tipo de ataque con el que engañar el resto de pods para hacerles creer que la IP del atacante es la del DNS del cluster.
El analista que ha alertado de esta vulnerabilidad ha subido a Github una Prueba de Concepto (PoC) para poder comprobar si somos vulnerables, además de un vídeo demostrando la explotación. Un posible ejemplo de explotación sería tomar el control del DNS para suplantar a un servicio web del cluster y recibir las peticiones del resto de pods.
Código a emplear para deshabilitar el permiso. Fuente: Aquasec.
Para mitigar esta vulnerabilidad puede deshabilitarse el permiso de ‘NET_RAW’ en los pods, el cual está permitido por defecto. Para ello puede usarse el código de la imagen superior. Este permiso, el cual resulta muy peligroso debería encontrarse bloqueado por defecto en Kubernetes para evitar posibles riesgos de seguridad.
Foxit Software, una compañía conocida por sus populares y ligeras aplicaciones, como Foxit PDF Reader o PhantomPDF, que utilizan más de 525 millones de usuarios, anunció hoy una violación de datos que expone la información personal de los usuarios del servicio ‘Mi cuenta’.
Según ha publicado la propia empresa, terceros obtuvieron acceso no autorizado a sus sistemas.
En la declaración de la compañía, no está claro si las contraseñas de las cuentas filtradas están protegidas con un algoritmo de hash robusto para dificultar el crackeo de las mismas o si, por contra, han podido leerse en claro. Sin embargo, Foxit asegura que no se ha accedido a los detalles de las tarjetas de créditos u otros datos de identificación personal de los usuarios registrados.
Tras el incidente, la empresa ha contactado con los usuarios afectados por correo electrónico (como se muestra en la imagen de arriba), proporcionándoles instrucciones para volver a securizar su cuenta.
Además, como medida cautelar, la compañía ha invalidado inmediatamente las contraseñas de todos los usuarios afectados, exigiéndoles que restablezcan sus contraseñas para recuperar el acceso a su cuenta en línea.
Por otro lado, Foxit ha contratado a una empresa de seguridad que realice un análisis exhaustivo de sus sistemas con el fin de proteger la empresa de futuros incidentes. También se ha iniciado una investigación informática forense para descubrir a los autores de este acceso no autorizado.
Desde Hispasec aprovechamos la oportunidad para recomendar el uso de gestores de contraseña locales. Por un lado, el gestor facilita que, en caso de brecha de algún servicio en línea, no se filtren vuestras contraseñas de uso cotidiano. Por otro lado, el hecho de que se trate de un gestor local asegura que esas contraseñas no salgan nunca a la luz por un fallo de terceros.
La industria de compra y venta de zero-days ha dado un giro recientemente hacia el sistema operativo Android, ofreciendo pagos de hasta $ 2,5 millones a cualquiera que venda exploits para Android con persistencia.
Al igual que otros mercados tradicionales, el mercado de zero-days también es un juego de oferta, demanda y estrategia, lo que sugiere que la demanda de exploits de Android ha aumentado significativamente o que, de alguna manera, el sistema operativo Android es cada vez más difícil de piratear de forma remota.
Zerodium, una startup especializada en compra de exploits 0D a piratas informáticos comenta en su última publicación su interés por encontrar especialistas en exploits para Android con persistencia. A menudo, la compra de exploits tiene como destino la posterior venta a agencias gubernamentales.
Es importante remarcar que el mismo tipo de exploits de 0D para dispositivos iOS tiene un valor de 2 millones de dólares (siendo esto el doble de lo que Apple ha comenzado a ofrecer).
Además de lo comentado, Zerodium también ha anunciado que aumentará los pagos de vulnerabilidades de WhatsApp e iMessage.
Un nuevo troyano con funcionalidades para espiar a la víctima y suscribirla a servicios SMS premium ha sido descubierto en la tienda oficial de aplicaciones de Google.
El análista de malware Aleksejs Kuprins ha descubierto en las últimas semanas 24 aplicaciones publicadas en Google Play que implementaban funcionalidad para suscribir al usuario a servicios de SMS premium.
Entre todas las aplicaciones suman un total de más de 472.000 instalaciones. Aleksejs ha bautizado a este nuevo troyano ‘Joker’, debido a uno de los nombre de dominio utilizados por el malware como servidor de control.
Los servicios premium a los que es suscrito el usuario tienen un coste medio de unos 6,71 euros a la semana. Antes de suscribir al usuario a un servicio premium, este malware comprueba el país del usuario a través del código de país del numero de teléfono de la víctima.
La aplicación maliciosa afecta a usuarios de 37 países (entre ellos España): Australia, Austria, Bélgica, Brasil, China, Chipre, Egipto, Francia, Alemania, Ghana, Grecia, Honduras, India, Indonesia, Irlanda, Italia, Kuwait, Malasia, Myanmar, Holanda, Noruega, Polonia, Portugal, Qatar, Argentina, Serbia, Singapore, Eslovenia, Suecia, Suiza, Tailandia, Turkia, Ukrania, Emiratos Arabes, Reino Unido y Estados Unidos.
La aplicación utiliza la pantalla de carga (‘Splash screen’), para realizar la comprobación del país y la inicialización (en función del país) en segundo plano.
Chequeo de código de país e inicialización (Fuente: Aleksejs Kuprins)
Una vez realizada la inicialización, se realiza una petición al servidor de control para descargar la configuración para la segunda fase. Esta configuración se encuentra cifrada utilizando DES como algoritmo de cifrado.
Función de descifrado de la configuración
La configuración descargada contiene la URL para la descarga de un fichero DEX ofuscado que implementa el núcleo de la segunda fase, las claves de desofuscación del fichero DEX y los nombres de la clase y el método que debe cargar y ejecutar del DEX descargado. Además de la URL del servidor de control y el ‘tag’ de la campaña.
El código incluido en el fichero DEX descargado se encarga de llevar a cabo la segunda fase del ataque. En esta segunda fase, el malware contacta con el servidor de control para obtener una lista de tareas a llevar a cabo.
Tareas recibidas desde el servidor de control (Fuente: Aleksejs Kuprins)
Como podemos observar en la imagen, las tareas contienen principalmente una URL relacionada con una campaña publicitaria, y se incluyen acciones a realizar para esa URL. De esta forma, la aplicación maliciosa cargará una vista web con la URL de la campaña y, posteriormente, ejecutará la URL con el código JavaScript indicado en el campo de acciones.
Entre las acciones podemos observar código destinado a enviar formularios automáticamente, de forma que se acaba suscribiendo al usuario a la campaña publicitaria.
En el caso de campañas relacionadas con SMS premium, el malware esperará a recibir el mensaje de confirmación y posteriormente ejecutará el código JavaScript correspondiente para completar la suscripción.
Además de la funcionalidad de suscripción a campañas de SMS premium, este malware también incluye la funcionalidad necesaria para enviar la lista completa de contactos y todos los SMS al servidor de control.
IoCs
C&C (distribución de malware): http://3.122.143[.]26/
La última actualización publicada de PHP revela múltiples fallos que han sido parcheados, tanto en el core como en diferentes librerías del lenguaje. La vulnerabilidad más severa permitiría ejecutar código remoto en el servidor de la víctima.
PHP es un lenguaje diseñado originalmente para ser utilizado en aplicaciones basadas en Web junto con HTML. En la actualidad aproximadamente el 78% de los portales web están escritos en PHP, según las estadísticas de w3techs.
Los sistemas afectados a estas vulnerabilidades son los siguientes: – Versiones PHP 7.1 y anteriores a 7.1.32. – Versiones PHP 7.2 y anteriores a 7.2.22. – Versiones PHP 7.3 y anteriores a 7.3.9.
Detalles técnicos de los errores según la actualización publicada por php.net:
Bug
Ramas afectadas
#78363 Buffer overflow in zendparse
7.3 y 7.2
#78379 Cast to object confuses GC, causes crash
7.3 y 7.2
#78412 Generator incorrectly reports non-releasable $this as GC child
7.3
#77946 Bad cURL resources returned by curl_multi_info_read()
7.3 y 7.2
#78333 Exif crash (bus error)
7.3 y 7.2
#77185 Use-after-free in FPM master event handling
7.3
#78342 Bus error in configure test for iconv //IGNORE
7.3 y 7.2
#78380 Oniguruma 6.9.3 fixes CVEs
7.3
#78179 MariaDB server version incorrectly detected
7.3 y 7.2
#78213 Empty row pocket
7.3
#77191 Assertion failure in dce_live_ranges()
7.3 y 7.2
#69100 Bus error from stream_copy_to_stream (file -> SSL stream)
7.3 y 7.2
#78282 atime and mtime mismatch
7.3 y 7.2
#78326 improper memory deallocation on stream_get_contents()
7.3 y 7.2
#78346 strip_tags no longer handling nested php tags
7.3
#75457 heap use-after-free in pcrelib
7.1
Entre los bugs parcheados se encuentra Oniguruma, una popular librería de expresiones regulares que se utiliza internamente en PHP (y en muchos otros lenguajes), que ha sido actualizada a la versión 6.9.3, debido a una vulnerabilidad de ejecución de código ‘user-after-free‘ asignada con el CVE CVE-2019-13224.
Este fallo podría permitir la ejecución de código en la aplicación afectada. En caso de fallar al ejecutar el exploit podría resultar en una denegación de servicio (DoS).
Como se puede observar, los fallos afectan a librerías y funciones ampliamente utilizadas como la función Exif, la extensión Curl, Opcache o FastCGI Proccess Manager (FPM) entre otros.
Por el momento no hay constancia de que estos fallos estén siendo aprovechados y explotados en aplicaciones o sistemas en producción en la red. Sin embargo es altamente recomendable que tanto usuarios como proveedores de hostings actualicen sus servidores a las últimas versiones publicadas 7.3.9, 7.2.22, o 7.1.32.
Un fallo de seguridad crítico en Exim que podría permitir la ejecución de código remoto con privilegios de root en servidores que aceptan conexiones TLS.
Exim (EXperimental Internet Mailer) es un agente de transporte de correo electrónico o MTA utilizado por más de la mitad de los servidores de email en Internet. Es software libre que se distribuye bajo la licencia GNU GPL, y se distribuye como el MTA por defecto en muchas distribuciones GNU/Linux, como por ejemplo Debian.
A finales del pasado mes de julio el investigador Zerons descubrió un fallo de seguridad en Exim que ha recibido el identificador CVE-2019-15846 y se ha hecho público el 6 de septiembre. Esta vulnerabilidad permitiría a un atacante no autenticado ejecutar programas con privilegios de root en aquellos servidores que aceptan conexiones TLS. Para explotar la vulnerabilidad en las configuraciones por defecto se estaría utilizando una solicitud SNI especialmente manipulada, mientras que en otras configuraciones se podría realizar mediante un certificado de cliente falsificado.
SNI es un componente de protocolo TLS diseñado para permitir que los servidores presenten diferentes certificados TLS para validar y asegurar la conexión a sitios web detrás de la misma dirección IP. El error consistiría en un desbordamiento de búfer provocado por una solicitud SNI que termina en una secuencia de barra invertida durante el proceso de negociación de la conexión segura TLS (handshake).
A pesar de que el archivo de configuración predeterminado proporcionado por el equipo de desarrollo de Exim no tiene habilitado TLS, muchas distribuciones GNU/Linux se distribuyen con la configuración modificada para activar dicha opción.
Esto podría implicar que el universo de servidores Exim vulnerables sea bastante extenso. A saber, según una encuesta realizada por E-Soft Inc. y publicada a principios de septiembre, se ha estimado que el número total de servidores de correo electrónico en Internet que ejecutan Exim es de más de 500.000, correspondiendo a más de 57% de todos los servidores de correo electrónico (MX) en línea. Sin embargo, una búsqueda de instancias de Exim en Shodan muestra alrededor de 5,25 millones de resultados, con mas de 3,5 millones instancias en ejecución usando Exim 4.92. Cabe destacar que se encuentran afectadas las versiones de Exim comprendidas entre la 4.80 y la 4.92.1, ambas incluidas.
Además, el equipo de investigación de Qualys, que ha analizado lavulnerabilidad, afirma tener una prueba de concepto (PoC) funcional y que podrían existir otros métodos de explotación adicionales.
Aunque se ha propuesto el deshabilitar TLS como una forma de mitigación para servidores no actualizados, los desarrolladores del software no la recomiendan. Otra forma de mitigación es agregar las siguientes reglas como parte de la ACL de correo que verifican la existencia de un peer DN o SNI que finaliza con una barra invertida y, en caso de hallarlo, la conexión se rechazaría para bloquear el vector de ataque actualmente conocido:
Sin embargo, las anteriores opciones podrían afectar a usos legítimos por lo que la única opción que realmente se debería contemplar, según palabras de Heiko Schlittermann −uno de los desarrolladores−, es actualizar a la versión 4.92.2 de Exim, la cual solventa el fallo de seguridad.
Una nueva variedad del malware Glupteba recientemente descubierta contiene dos componentes adicionales a las funcionalidades originales del troyano: uno de ellos es un payload que permite hacerse con el control del navegador, y el otro se trata de un exploit para el router, según el artículo escrito por los investigadores Jaromir Horejsi y Joseph Chen para Trend Micro.
El payload que se hace con el control del navegador de la víctima tiene la capacidad de robar el historial de navegación, cookies, y nombres de cuentas de usuarios junto a sus contraseñas; los navegadores afectados son Chrome, Opera y Yandex. Por su parte, el exploit para el router aprovecha una antigua vulnerabilidad que ya fue resuelta, MikroTik RouterOS, la cual permite a atacantes autentificados de manera remota escribir archivos diversos. La ejecución del exploit permitiría a los atacantes configurar el router como un proxy SOCKS a través del cual encaminar tráfico malicioso con el objetivo de ocultar su IP real.
«Parece que los atacantes siguen mejorando el malware y puede que estén intentando expandir su red proxy al Internet de las Cosas (IoT)», informaban los investigadores.
No obstante, lo que resulta digno de mencionar es la nueva funcionalidad de Glupteba para actualizar los C&C. Según Trend Micro, el malware usa la función discoverDomain la cual «enumera servidores de cartera Electrum Bitcoin usando una lista pública, y luego intenta hacer una petición al historial del hash del blockchain del script con un hash incrustado. Posteriormente, este comando revela todas las transacciones relacionadas».
«Luego cada transacción es analizada, buscando la instrucción OP_RETURN«, continúan los investigadores en el artículo. «La información seguida por esta instrucción es usada como parámetro para una rutina de descifrado AES… Esta técnica hace más cómodo al atacante reemplazar los servidores C&C. Si pierden el control de un servidor C&C por algún motivo, tan solo necesitan añadir un nuevo script de Bitcoin y las máquinas infectadas obtendrán un nuevo servidor C&C al descifrar la información del script y retomar la conexión».
Esta versión de Glupteba fue distribuida mediante una campaña publicitaria de malware (malvertising) que tenía como objetivo sitios web que compartían archivos, de acuerdo a la información proporcionada por Trend Micro.
Flujo de ataque de la campaña de distribución de Glupteba Fuente de la imagen: Trend MicroPop-up de la campaña de malvertising en sitios web de descarga de archivos Fuente de la imagen: Trend Micro
Análisis de Glupteba
En primer lugar es necesario que se descargue el dropper. El binario contiene un archivo autoextraíble personalizado escrito en Go y compilado para que sea ejecutable. El dropper inicia la función ‘config information‘ tras obtener información relativa al hardware y a las operaciones, así como información incrustada en el binario. Se crea entonces una llave de registro para almacenar todo la información obtenida (HKEY_USERS\<sid>\Software\Microsoft\TestApp).
Registros creados por el dropper de Glupteba Fuente de la imagen: Trend Micro
El siguiente paso es adquirir machine_guid junto a otros datos del registro mediante la función sendParentProcesses. Esta información luego se incrusta en una petición POST, se cifra en AES y se sube al servidor C&C: hxxps://<server>/api/parent-processes.
Después de esto el dropper revisa si el proceso se está ejecutando como usuario SYSTEM. Si no es así, intentará explotar el método «fodhelper» para elevar privilegios. Si esto se consigue pero aún no se es usuario SYSTEM, el dropper ejecutará el instalador en modo confianza (método «Run as Trusted Installer«).
El binario principal habrá incrustado algunos rootkitsque son usados para ocultar archivos y procesos y algunas herramientas de GitHub para instalar los drivers necesarios.
Los investigadores destacaban cuatro funciones en su post:
Función executeTask, que procesa los siguientes comandos: hide (para esconder el PID de la tarea usando WinMon incrustado), update (para cancelar y borrar la versión actual y reemplazarla con una nueva) y cleanup (para desinstalar).
Función mainInstall: comprueba si hay algún antivirus instalado, añade reglas de firewall y excepciones de seguridad.
Función mainPoll: de manera regular obtiene nuevos comandos del servidor C&C. Envía una petición POST a hxxps://<server>/api/poll.
Estructura de los parámetros POST antes de ser cifrados Fuente de la imagen: Trend Micro
Función handleCommand: implementa una puerta trasera (backdoor).
La puerta trasera tiene funcionalidades estándar, pero destaca una en particular: el malware puede actualizar su dirección del servidor C&C a través del blockchain mediante la función discoverDomain. Esta función se puede ejecutar mediante comandos o automáticamente con el dropper.
Control del navegador y exploit del router
Como se ha mencionado anteriormente, al hacerse con el control del navegador lo que el atacante pretende es conseguir el robo de cookies, contraseñas y perfiles del usuario. Estos archivos se comprimen y se suben al servidor con ruta /api/log. Este componente también está escrito en Go, al igual que el dropper principal, y compilado para ser ejecutable. Existe, además, otra versión de esta funcionalidad llamada «vc.exe» cuyo objetivo es extraer las contraseñas y cookies del navegador para publicar la información extraída en la ruta /bots/post-en-data?uuid= del servidor.
En cuanto al exploit para el router, también se desarrolló en lenguaje Go. El exploit investiga cuál es la puerta de enlace por defecto de la red de la víctima mediante una lista de direcciones IP que obtiene llamando al comando WMI «SELECT DefaultIPGateway FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled = true«. Además, otras tres direcciones IP adicionales son añadidas: 192.168.88.11, 192.168.0.1, 192.168.1.1. Es una vez obtenida la conexión con el dispositivo puesto a la escucha en el puerto 8291 cuando se intenta explotar la vulnerabilidad CVE-2018-14847. El exploit permite al atacante obtener las credenciales de administrador de routers que no han sido actualizados frente a esta vulnerabilidad.
Una vez se obtienen estas credenciales, se añade la tarea programada «U6» al router. Esta tarea comprobará cada 10 minutos una URL del C&C y ejecutará el contenido que se descargue de ella. Esta URL devolverá un mensaje de error 404, pero cuando se le envía el comando adecuado devuelve un archivo RSC que contiene el formato de la configuración del RouterOS y que sirve para controlar el router.
Aunque es innegable que quienes fabrican el dispositivo juegan un papel crucial en cuanto a las medidas de seguridad adoptadas, no debemos olvidar que los usuarios también tienen parte de la responsabilidad en cuanto a la protección de su privacidad, por lo que se recomienda mantener siempre los equipos y dispositivos actualizados y estar al día de las posibles vulnerabilidades que puedan comprometer la integridad de nuestros datos personales.
Investigadores de ciberseguridad han descubierto un nuevo malware asociado al grupo Stealth Falcon, éste malware utiliza el servicio background intelligent transfer service (BITS) para el envío de datos en segundo plano al servidor controlado por el atacante.
El grupo Stealth Falcon, patrocinado por el estado, es conocido por atacar a periodistas, activistas y personas detractoras del sistema con spyware. Este grupo centra su actividad principalmente en el Medio Oriente, más concretamente en los Emiratos Árabes Unidos (EAU).
Win32/StealthFalcon se comunica y envía los datos recopilados a los servidores de comando y control (C&C) a través del servicio de transferencia inteligente en segundo plano de Windows (BITS).
BITS es un componente de Windows que aprovecha el ancho de banda no utilizado para la transferencia, en primer o segundo plano, de archivos. Esta utilidad es muy utilizada por actualizadores de software en Windows 10 y permite reanudar la transferencia de los archivos en caso de interrupciones. Además, al ser un sistema integrado en Windows es más sencillo que un Firewall no lo bloquee, lo que ha hecho que, durante 4 años, nadie se percatase de este malware.
Según investigadores de ESET, dado que la velocidad de envío de los archivos se ajusta automáticamente y que escapa de las medidas de seguridad habitualmente configuradas, este malware puede operar en segundo plano sin ser detectado y sin modificar la experiencia de uso del usuario.
Pero la puerta trasera Win32/StealthFalcon no solo realiza la transferencia de archivos en segundo plano, primero crea una copia cifrada de los archivos y la carga en el servidor C&C a través de BITS.
Una vez cargados los archivos, el malware elimina todos los archivos de registro y los sobrescribe con datos aleatorios para dificultar el análisis forense y evitar la recuperación de los archivos.
Como explican en el informe, no ha sido diseñado solo para robar datos de los sistemas infectados, también puede ser utilizado por los atacantes para descargar herramientas maliciosas y actualizar la configuración mediante el servidor C&C.
Mozilla ha lanzado oficialmente un nuevo servicio VPN centrado en la privacidad, llamado Firefox Private Network , como una extensión del navegador que tiene como objetivo cifrar su actividad en línea y limitar lo que los sitios web y los anunciantes saben sobre usted.
El servicio Firefox Private Network se encuentra actualmente en versión beta y solo está disponible para usuarios de escritorio en los Estados Unidos como parte del programa «Firefox Test Pilot» recientemente eliminado de Mozilla, que permite a los usuarios probar nuevas funciones experimentales antes de su lanzamiento oficial.
El programa Firefox Test Pilot fue lanzado por primera vez por la compañía hace tres años, pero se cerró en enero de este año. La compañía ahora decicidió recuperar el programa pero con algunos cambios.
«La diferencia con el programa Test Pilot recientemente relanzado es que estos productos y servicios pueden estar fuera del navegador Firefox y estarán mucho más pulidos, y solo un paso por debajo del lanzamiento público general».
Marissa Wood, vicepresidenta de producto en Mozilla
Desde la empresa aseguran que su red privada de Firefox «proporciona una ruta segura y encriptada a la web para proteger su conexión y su información personal en cualquier lugar y en cualquier lugar donde use su navegador Firefox».
El servicio VPN de red privada de Firefox también encripta y canaliza cada una de las actividades de navegación de Internet suyas a través de una colección de servidores proxy remotos, enmascarando así su ubicación y bloqueando a terceros, incluidos el gobierno y su ISP, para que no espíen su conexión.
Cloudflare, la compañía que ofrece uno de los servicios de protección CDN, DNS y DDoS más grandes y rápidos, proporciona los servidores proxy reales para la extensión Firefox Private Network.
«Cloudflare solo observa una cantidad limitada de datos sobre las solicitudes HTTP / HTTPS que se envían al proxy de Cloudflare a través de navegadores con una extensión activa de Mozilla».
Cloudflare
Como registrarse en el servicio VPN de Firefox:
Firefox Private Network actualmente solo funciona en computadoras de escritorio, pero se cree que también estará disponible para usuarios móviles, una vez que la VPN salga de la versión beta.
Aunque el servicio Firefox Private Network es actualmente gratuito, Mozilla insinuó que la compañía está explorando posibles opciones de precios para el servicio en el futuro para mantenerlo en forma sostenible.
Por ahora, si tiene una cuenta de Firefox y reside en los Estados Unidos, puede probar el servicio VPN de Firefox de forma gratuita registrándose en el sitio web de la red privada de Firefox.
Información extremadamente sensible, como el uso de métodos anticonceptivos, periodicidad de la actividad sexual, posibles síntomas recurrentes durante distintas etapas del ciclo menstrual como calambres o inflamaciones, están siendo compartidas con Facebook, contraviniendo la normativa vigente sobre los derechos a la privacidad de los usuarios.
Una investigación de la organización sin ánimo de lucroPrivacy International, afincada en Londres, revela cómo las aplicaciones de control del ciclo menstrual más descargadas en las distintas app stores están compartiendo con Facebook, contraviniendo la normativa europea vigente sobre privacidad, datos extremadamente sensibles acerca de la salud de los usuarios. Según la investigación, estas aplicaciones comparten directamente información sensible con la popular compañía, independientemente de si el usuario tiene o no cuenta de Facebook o si está conectado a un perfil.
Estas aplicaciones se utilizan comúnmente para controlar el ciclo menstrual, pero también para definir – tal y como las propias aplicaciones anuncian – cuál es el periodo más fértil del ciclo, por lo que sería posible incluso conocer si una persona está monitorizando esta información y, por tanto, inferir si está intentando un embarazo.
En aras de definir dicho periodo de máxima fertilidad, este tipo de aplicaciones demandan a la usuaria que facilite información muy sensible, como los días concretos en los que ha mantenido relaciones sexuales, fechas de los períodos menstruales, síntomas emocionales o físicos, etcétera.
La organización Privacy International descubrió, a través de un análisis de las peticiones que estas aplicaciones realizaban, que se estaba compartiendo información no sólo con Facebook sino con más servicios de terceros.
Fuente: thehackernews.com
La información es compartida a través del propio software de kit de desarrollo (SDK) de las aplicaciones y es utilizada, entre otras cosas, para generar ingresos a través del posterior desarrollo de anuncios personalizados en función de la información recogida.
El informe, que puede leerse en este enlace, muestra cómo el consentimiento para el uso de estos datos es extremadamente ambiguo, desinformado o no explícito. Desde un punto de vista jurídico, esto podría implicar la concurrencia de la figura legal del consentimiento viciado. La condición de consentimiento viciado puede resolverse con la nulidad del consentimiento, que invalidaría a su vez los términos del contrato y supondría la reparación civil a los usuarios damnificados y el inicio de un proceso penal si se determina la existencia de un delito contra el derecho a la privacidad.
«La confidencialidad se encuentra tan en el corazón de la deontología y la ética médicasque, tradicionalmente, los países que han legislado la protección de datos han legislado como un régimen aparte todo aquello que tenía que ver con datos relativos a la salud, por considerarlos datos especialmente sensibles que requerían un tratamiento especializado y más restrictivo.
Nuestra investigación pone de manifiesto que las aplicaciones auditadas están en graves apuros respecto de sus obligaciones legales para con la legislación europea (GDPR), especialmente en lo tocante a consentimiento y tansparencia»
Informe Técnico de International Privacy, al que aludíamos anteriomente en el enlace proporcionado.
Las aplicaciones que han estado compartiendo información sensible – algunas no han contestado a las preguntas de Privacy International- son las siguientes:
Maya – propiedad de la empresa india Plackal Tech, 5 millones de descargas.
MIA Fem: Ovulation Calculator – por la empresa chipriota Mobapp Development Limited, 1 millón de descargas.
My Period Tracker – propiedad de Linchpin Health, 1 millón de descargas
Ovulation Calculator: propiedad de PinkBird, más de 500.000 descargas
Mi Calendario: por Grupo Familia, con más de 1 millón de visitas.
Al respecto, Maya ha confirmado a Privacy International que su aplicación ya ha eliminado completamente las funcionalidades relativas al núcleo del SDK de Facebook y las analíticas. Además, han actualizado su versión de la aplicación a la 3.6.7.7, que ya está disponible en la app store. Por su parte Pink Bird ha declarado que investigarán si se están recopilando datos privados de usuarios y que, de ser así, los eliminarán inmediatamente.
Facebook se escuda en que sus términos exigen a cada desarrollador que interactúe con su plataforma, que sea extremadamente claro con el propósito y metodología en la recogida y tratamiento de datos de usuario. Recuerdan además que sus términos prohíben – pese a que han estado aprovechando la recolección de estos datos durante años – compartir información relativa a la salud o el estado financiero de los clientes.
Investigadores de la universidad de Vrije de Amsterdan descubren una nueva vulnerabilidad en las CPUs de Intel, que puede ser explotada remotamente sin necesidad de acceso físico o malware instalado en la máquina objetivo.
Bautizada como NetCAT (Network Cache ATtack), esta vulnerabilidad permite a un atacante remoto averiguar información sensible a través de la cache de las CPUs de Intel.
La vulnerabilidad con identificador CVE-2019-11184 se encuentra en una capacidad de estas CPUs llamada DDIO (Data Direct I/O), que por diseño permite a dispositivos y periféricos de una red acceder a la cache de dichas CPUs.
Esta capacidad está activada por defecto en todas las CPUs de Intel usadas en servidores, como son los procesadores de la familia Xeon E5, E7 y SP.
Según los investigadores, el ataque NetCAT funciona de forma similar a Throwhammer, en el sentido de que se envían paquetes de red especialmente diseñados a una máquina destino que tiene activado RDMA (Remote Direct Memory Access).
RDMA permite a un usuario malicioso espiar las acciones de aquellos dispositivos que hagan uso de esta tecnología, como puede ser una tarjeta de red. Esta técnica se consigue mediante la observación de las diferencias de tiempo entre un paquete de red que es ofrecido desde la cache de procesador y otro que es ofrecido desde la memoria.
La idea es llevar a cabo un análisis del tiempo de las pulsaciones realizadas por la víctima usando un algoritmo de inteligencia artificial. El equipo de Vrije logró una tasa de acierto del 85% en sus pruebas, en las que se recuperó una credencial SSH a través de la red.
Intel por su parte ha reconocido el problema y recomienda a los usuarios afectados desactivar DDIO o al menos RDMA para hacer este tipo de ataques más complicados. También se sugiere limitar el contacto de los servidores vulnerables con redes de poca confianza.
Si hay algo que los usuarios de las nuevas tecnologías se están viendo obligados a comprender actualmente, es que casi todo lo que nos rodea puede ser vulnerado de manera que quien lleva a cabo el ataque tenga acceso a nuestros datos personales e información privada, la cual puede ir desde nuestro número de teléfono a nuestra cuenta bancaria. Y es que por muy seguras que pensemos que son nuestras contraseñas y la red a la que nos encontramos conectados, los usuarios maliciosos siempre encuentran una manera de evadir las medidas de seguridad implantadas y comprometer nuestros dispositivos. Esta vez ha sido el turno de Alexa, uno de los productos estrella de Amazon.
Fuente de la imagen: Unsplash (Sai Kiran Anagani)
Ya en 2018 aparecieron noticias acerca de un fallo de seguridad de Alexa que permitía al dispositivo grabar las conversaciones de los usuarios por error debido a una incorrecta implementación de la funcionalidad de activación por voz. En esta ocasión la vulnerabilidad no se encuentra en Alexa en sí, sino en las aplicaciones que instalamos en el dispositivo.
Fuente de la imagen: Unsplash (Andrés Urena)
El investigador Tal Melamed, director de seguridad y hacking ético de Protego, ha descubierto que es posible vulnerar aplicaciones instaladas en Alexa mediante la técnica de inyección SQL (SQLi en inglés) si éstas no realizan una correcta validación de datos . Lo único que tendría que hacer el usuario malicioso sería ejecutar comandos por voz (en lugar de por teclado, como es lo usual) utilizando traducciones de texto para obtener acceso a las aplicaciones con fallas de seguridad y que contienen información sensible.
En un vídeo donde se muestra cómo es posible explotar la vulnerabilidad, Tel Melamed lleva a cabo una pequeña PoC mediante la traducción de palabras y números. En el vídeo el investigador utiliza una aplicación y una base de datos SQL desarrolladas por él mismo, pero se debe tener en cuenta que estamos ante un caso que podría tratarse de cualquier aplicación que exija un número de cuenta bancaria o un texto particular como método único de identificación.
Los pasos seguidos en el vídeo son los siguientes:
Tel Melamed intenta acceder a la cuenta del usuario administrador, para lo cual no está autorizado.
Alexa deniega la solicitud.
El investigador evade la denegación de Alexa proporcionando un número aleatorio junto a sintaxis que ejecutará la inyección SQL.
Cuando al investigador se le solicita un identificador de cuenta (ID) simplemente responde con un número aleatorio y «or/true», lo cual le concede el acceso a cualquier línea de la base de datos.
Alexa da al investigador la información del balance de la cuenta de administrador para la cual Tel Melamed no tenía acceso autorizado.
En cuanto a las medidas de protección ante esta vulnerabilidad, lo que el usuario puede hacer es poco ya que la brecha se encuentra en la aplicación, y para solventarla los desarrolladores deberían llevar a cabo la adopción de medidas como una correcta validación de los datos de entrada, un método que solucionaría muchos (si no todos) los problemas causados por las inyecciones de comando maliciosas, vulnerabilidad que se encuentra en el puesto número uno del Top 10 de OWASP en su último informe de 2017.
Desde Hispasec Sistemas recomendamos a los usuarios que, además de elegir contraseñas robustas, sean cuidadosos a la hora de usar aplicaciones que nos solicitan información confidencial como el número de cuenta bancaria. Siempre hay que descargar este tipo de aplicaciones desde markets oficiales y asegurarnos de que están verificadas y autorizadas por la entidad de la que formamos parte.
El día 19 de septiembre saldrá la versión 13 del sistema operativo de Apple para móviles iOS. En principio parecen buenas noticias pero cuidado, iOS 13 contiene una vulnerabilidad que podría permitir eludir la protección de la pantalla de bloqueo de tu iPhone y acceder a información confidencial.
Jose Rodríguez, un investigador de seguridad español, se puso en contacto con The Hacker News y reveló que descubrió un error que permite saltar las restricciones de la pantalla de bloqueo de iOS 13 dejando acceder a la lista completa de contactos de iPhone, así como a la información guardada de los mismos.
Mediante VoiceOver puedes navegar por mucho contenido del iPhone a partir de ese agujero, incluso puedes llegar a conocer a qué Apple ID está vinculado el iPhone.. Lo reporté a Apple y Apple lo arregló sin decir nada, sin mencionarlo en el contenido de seguridad de iOS 12.1.1 https://t.co/H4mOyrnzx5
Jose comunicó a The Hacker News que descubrió el nuevo error en la pantalla de bloqueo de su iPhone que ejecuta la versión beta de iOS 13 y lo reportó a Apple el 17 de julio.
Sin embargo, Apple no reparó el error incluso después de haber sido informado hace meses, y el bypass sigue siendo posible de ejecutar en la versión Gold Master (GM) de iOS 13, la versión final del software que se lanzará el próximo 19 de septiembre.
¿Cómo funciona el bloqueo de
pantalla de iOS 13 en el iPhone?
El error permite a cualquier persona con acceso físico al iPhone de un objetivo engañar al smartphone para que le conceda acceso a la lista completa de contactos almacenados, así como información detallada para cada contacto individual, incluidos sus nombres, números de teléfono y correos electrónicos, todo ello utilizando únicamente una llamada de FaceTime.
Este último hack de bloqueo de pantalla de iPhone es similar al que Rodríguez descubrió el año pasado en iOS 12.1, que permite saltarse la pantalla de bloqueo de un iPhone específico utilizando la función integrada VoiceOver.
Para demostrar el nuevo bug, Rodríguez compartió un video con ‘The Hacker News’, demostrando cómo funciona el hack y lo simple que es incluso para cualquier usuario que no entienda mucho de nuevas tecnologías.
El error consiste en realizar una llamada de FaceTime en el iPhone del objetivo y luego acceder a la función VoiceOver de Siri para obtener acceso a la lista de contactos, así como a toda la información guardada de estos contactos.
Sin embargo, es probable que Apple repare este problema en la próxima versión iOS 13.1, que se espera que llegue al público el 30 de septiembre. Todos los usuarios deberían parchear sus dispositivos iPhone a finales de mes.
Hasta entonces, se recomienda a los
usuarios de iPhone que no dejen su teléfono desatendido, al menos en
lugares públicos y de trabajo.
El próximo viernes (20 de septiembre) a las 16.00 horas dará comienzo Bsides Málaga, una convención de seguridad informática que reunirá a expertos de seguridad y a la que Hispasec dará apoyo mediante el patrocinio y la dotación de talleres organizados por UAM (los CTFs mensuales que se generan desde Hispasec).
Este evento ha sido organizado por La Peña Overflow, una asociación que aglutina a expertos de seguridad informática que se reúnen mensualmente en torno a un trivial de la misma temática en la ciudad de Málaga y que con este evento de seguridad pretenden fomentar la cultura de la ciberseguridad.
La cita combina en un mismo espacio seis ponencias, tres ‘playgrounds’ y espacios para ‘networking’. Un modelo distinto al que nos tienen acostumbrados las conferencias de seguridad y amparado bajo el paraguas de la marca ‘Bsides‘.
‘Bsides’ fue co-fundada por Mike Dahn, Jack Daniel, y Chris Nickerson en 2009. Con el tiempo, el formato de la conferencia ha madurado y fomenta su expansión en multitud de ciudades por todo el mundo.
En 2019 hay previstos más de 100 eventos de esta marca en todo el mundo, además del de Málaga. De las diversas propuestas recibidas para participar en las ponencias Bsides de Málaga se han elegido las de Gerardo Fernández, Carlos Quijano, Ana Nieto, David García, Francisco López, A. Rosa Castillo y Adrián Tineo.
Este será el calendario previsto:
Los talleres, llamados ‘playgrounds’ por su espíritu abierto, serán organizados por los compañeros de UAM y consistirán en un espacio en el que se podrá interactuar con algunos retos de hacking CTF al estilo de UAM y con equipos, para llevar a cabo pruebas de ataque / defensa.
Todos los que quieran apuntarse pueden hacerlo a través de su web en Meetup. Para seguir los detalles del mismo pueden hacerlo a través de su web y de su cuenta de Twitter.
𝗪𝗔𝗥𝗡𝗜𝗡𝗚 
) checking for 
