Quantcast
Channel: Una Al Día
Viewing all 3805 articles
Browse latest View live

Segunda entrega Una al mes Misión 002

December 15, 2017, 1:00 am
$
0
0
Por fin es 15!! Tenemos nueva misión en "Una al mes" (misión #002)

Antes que nada queremos agradeceros la aceptación que tuvo la primera entrega. Esperamos que esta sea también de vuestro agrado. 

Hemos habilitado un grupo de Telegram (normas en el mensaje anclado) para ofreceros otra forma de soporte.


Linkhttps://t.me/joinchat/AKWAVkxjj1GTE_cvkvQvIQ

Seguimos también con el soporte por correo, cualquier duda/consulta sobre la prueba o la iniciativa llevada a cabo, también debe ser transmitida al correo unaalmes@hispasec.com. Los coordinadores del proyecto, Mario Parra y Daniel Púa, estarán encargados de responderos a los mensajes.

La prueba será accesible durante 7 días. Cuando resolváis el reto, debéis enviar un correo a la dirección unaalmes@hispasec.com con el 'write-up' y su 'flag' correspondiente. 

Al finalizar los 7 días, se creará una entrada en la web con la resolución del reto y los tres primeros participantes en haberlo resuelto. Acordaos de incluir vuestro nombre completo y enlace al perfil de Twitter si queréis que este también sea publicado.

Sin más vamos a la misión...

En esta misión Rick debe encontrar los datos ocultos en una imagen, pero tiene un problema, parece que no puede acceder a ella. Necesita tu ayuda...

El formato de la flag sigue siendo UAM{....}


¡Os deseamos felices fiestas y mucha suerte!




Mario Parra
@MPAlonso_

Más información:

Misión #002






Search

ROBOT, vulnerabilidad importante en implementaciones de RSA

December 16, 2017, 12:00 am
$
0
0
Ya tenemos un nuevo nombre para agregar a la lista de vulnerabilidades con personalidad propia: ROBOT (Return Of Bleichenbacher's Oracle Threat). Algo así como: "El retorno de la amenaza del oraculo de Bleichenbacher" Y no, no es un relato perdido de Sir Arthur Conan Doyle sobre el genial detective Sherlock Holmes, se trata de un nuevo ataque contra TLS, del que sus descubridores afirman resucita el ataque descubierto por el criptógrafo suizo Daniel Bleichenbacher allá por el año 1998.



¿Qué hace este ataque?

Básicamente: puedes llegar a desencriptar text cifrado con RSA o firmar con la clave privada del servidor, en sus propias palabras:

 "Given access to an oracle, the attacker is not only able to decrypt ciphertexts but also to sign arbitrary messages with server’s private RSA key."

Cuando hablan de "oráculo", se refiere a un tipo de resultado que debes interpretar para decidir tu siguiente paso en un ataque. Supongamos que mediante la emisión de peticiones al un servidor web este te responde de una u otra forma. En dependencia de esa respuesta vas modificando tu ataque hasta llegar a su consecución. Podemos verlo como una especie de búsqueda heurística. Huelga decir que el concepto de "oraculo" no es ni original ni exclusivo de la seguridad, se da en otros mucho ámbitos.

Este ataque, en realidad no es nada novedoso, simplemente han encontrado varias formas de saltarse las que se creían eran buenas medidas para atajar el problema anterior, pero que debido a la propia complejidad de las medidas a implementar, han vuelto a superarlas y devolver el ataque a la palestra.


¿Está roto RSA?

No, ni mucho menos. El ataque se da debido al uso de PKCS#1, como ya pasó hace 19 años. PKCS es un estándar publicado con el que se definen la parametrización, formatos, etc. Para que nos entendamos, siguiendo el estándar es posible que dos implementaciones de RSA, cliente y servidor por ejemplo, puedan intercambiar información sin ambigüedades.

Gracias a la forma en la que se codifican las respuestas en el formato previsto por PKCS#1, es posible reinterpretarlas para ir extrayendo el texto en claro. Cuando hablamos de peticiones no nos referimos a unas cuantas, sino del orden de millones, dependiendo de cómo de bueno (fiable) sea ese...oráculo. 

El problema además se basa en la forma en la que RSA efectúa el intercambio de claves, es ahí donde se aprovecha el ataque para 


¿A que afecta?

A muchas implementaciones que se encuentran instaladas en los servidores (no pienses solo en servidores web, ojo). No afecta a los clientes. En particular, aquellos cifrados que comienzan por TLS_RSA...son vulnerables en su mayoría, debido a que este problema se halla, fundamentalmente, en PKCS#1 ha sido trasladado al código en prácticamente casi todas las librerías de comunicaciones cifradas. 

Para hacernos una idea, un 27% del Alexa 100 está afectado, en palabras de los investigadores. A pesar de ello, ya existen parches publicados para la mayoría de fabricantes, además de contramedias posibles para limitar la exposición.

Puedes comprobar una lista no exhaustiva de afectados aquí.


¿Qué hago?

Si tienes un servidor, lo recomendable es no dar soporte a RSA cuando no efectuamos el intercambio de claves con otro protocolo, verificar la existencia de parche oficial para nuestro servidor o una contramedida efectiva. Además, desde la página web de la vulnerabilidad nos enlazan a herramientas de test, etc, por si queremos comprobar si estamos expuestos o no.





David García
@dgn1729

Más información:







Varias vulnerabilidades en cámaras IP Zivif

December 17, 2017, 2:27 pm
$
0
0
Se han descubierto 3 vulnerabilidades en cámaras web Zivif que podrían permitir el acceso remoto eludiendo el sistema de autenticación, la inyección remota de comandos y obtener las credenciales de superusuario.


Silas Cutler, 'p1nk', ha reportado tres vulnerabilidades que afectan a las cámaras IP Zivif PR115-204-P-RS. La primera de ellas, identificada como CVE-2017-17106, se debe a una implementación débil del sistema de acceso que permitiría eludir el control de seguridad y llamar a funciones CGI directamente. Por ejemplo la siguiente llamada:

Ejemplo de llamada a una función CGI.

devolvería las credenciales en texto plano:

Respuesta a la petición anterior.


Otro fallo de seguridad permitiría la inyección de comandos por parte de usuarios remotos no autenticados (CVE-2017-17105). El siguiente ejemplo provocaría un reinicio del dispositivo:

Ejemplo de inyección de comandos.


La última vulnerabilidad (CVE-2017-17107) hace referencia a la existencia de la contraseña del usuario 'root' en el fichero '/etc/passwd':

Línea para el usuario root en /etc/passwd.

la cual puede ser descubierta en muy poco tiempo utilizando software como 'hashcat' o 'John the Ripper' (el resultado es 'cat1029').

Estos fallos han sido comprobados en cámaras Zivif PR115-204-P-RS con la versión V2.3.4.2103 del firmware, pero otros modelos también podrían verse afectados.


Juan José Ruiz
jruiz@hispasec.com

Más información:

Three exploits for Zivif Web Cameras (may impact others)






Vulnerabilidades en vBulletin 5

December 18, 2017, 12:30 am
$
0
0
Se han hecho públicos dos problemas de seguridad que afectan a vBulletin y que permitirían incluir y eliminar ficheros arbitrarios y, potencialmente, ejecutar código remoto.


vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.

Investigadores de Truel IT han hecho públicos dos vulnerabilidades que afectan a vBulletin. El primero de los fallos de seguridad se debe a una falta de comprobación en la función 'cacheTemplates()' localizada en 'core/vb/library/template.php', donde la variable '$temnplateidlist' podría proceder directamente de la entrada del usuario y es usada sin comprobar. Aprovechando este error, un atacante remoto no autenticado podría eliminar ficheros arbitrarios del servidor.

Se propone la siguiente petición POST como prueba de concepto:

Petición POST para PoC#1

La segunda vulnerabilidad se encuentra en el parámetro 'routestring' en 'index.php' y podría permitir la inclusión de archivos en el servidor vBulletin y la ejecución de código PHP arbitrario. Esta vulnerabilidad tiene la limitación de no poder utilizar rutas que terminen con '.gif', '.png', '.jpg', '.css' o '.js' ni usar el carácter '/'. Esto último en servidores GNU/Linux imposibilita cambiar de carpeta, pero no así si vBulletin corre bajo sistemas operativos Microsoft Windows.

Si el servidor es vulnerable a este segundo error, una petición a '/index.php?routestring=.\\' obtendrá una respuesta como en la imagen siguiente:

Mensaje de error de servidor vulnerable

La inyección de código PHP se podría realizar mediante el fichero 'access.log', como muestra el ejemplo:

Petición para PoC#2

Para posteriormente realizar una petición a '/index.php?routestring=\\..\\..\\..\\path\\to\\logs\\access.log' con el resultado de la ejecución de la llamada a la función 'phpinfo', que había sido inyectada:

Resultado PoC#2

Desde el pasado 21 de Noviembre los investigadores que han descubierto estos errores han intentado comunicarse con vBulletin Solutions con resultados infructuosos, por lo que estas vulnerabilidades no se encuentran corregidas aun.


Juan José Ruiz

Más información:

vBulletin routestring Unauthenticated Remote Code Execution
https://blogs.securiteam.com/index.php/archives/3569

vBulletin cacheTemplates Unauthenticated Remote Arbitrary File Deletion






Cae un empleado bancario por ayudar a los criminales del troyano Dridex a lavar dinero

December 19, 2017, 12:30 am
$
0
0
Un empleado de Barclays Bank ha sido sentenciado a más de 6 años y 4 meses de prisión por lavar dinero para unos criminales moldavos del famoso troyano bancario Dridex



2.5 millones de libras esterlinas, o algo más de 2.8 millones de euros al cambio. Esta es la cantidad de dinero que Jinal Pethad, asesor financiero en Barclays Bank UK, lavó para dos criminales moldavos, Pavel Gincota e Ion Turcan. Para ello, creó más de 100 cuentas falsas entre las que movió el dinero para lavarlo, y ayudó a mantener casi 200 cuentas relacionadas con los criminales.

Las cuentas falsas creadas por Pethad se creaban conforme a las identidades falsas proporcionadas por los dos moldavos, y éste se aseguraba de que el dinero no fuese bloqueado antes de que se sacase de las cuentas finales. Cuando se sacaba el dinero, se hacía a través de cajeros automáticos o tarjetas de débito asociadas a las cuentas falsas. Esta práctica se realiza por las llamadas "mulas", rol que tenían estos dos criminales en el grupo criminal del troyano Dridex.

Los hechos delictivos comienzan en 2014 y se extienden durante dos años. Los moldavos ya fueron detenidos en febrero de 2015 y sentenciados en octubre de 2016. El asesor financiero fue detenido un mes más tarde, en noviembre. Tras registrar su casa, la policía encontró 4.000 libras esterlinas, siete relojes de lujo de pulsera y tres teléfonos móviles. Los teléfonos todavía contenían mensajes de los dos criminales moldavos.

El dinero que se lavó fue extraído usando el malware Dridex, un conocido troyano bancario que captura las credenciales usadas para operar en banca online. Una de las empresas afectadas por esta operación, Galen Research, perdió más de medio millón de libras esterlinas tras abrir uno de sus empleados un documento Word infectado adjunto a un correo de spam enviado por los criminales.

Hay que tener cuidado con abrir lo que llega al correo. Abrir un correo infectado puede salirte muy caro...


Carlos Ledesma
cledesma@hispasec.com

Más información:

Barclays bank bod in the cooler for aiding Dridex money launderers
https://www.theregister.co.uk/2017/12/13/barclays_employee_sentenced_for_aiding_money_launderers/

Bank Employee Gets Prison Time for Helping Dridex Malware Gang
https://www.bleepingcomputer.com/news/security/bank-employee-gets-prison-time-for-helping-dridex-malware-gang/

La casa de intercambio de Bitcoin YouBit hackeada por segunda vez en lo que va de año

December 20, 2017, 7:05 am
$
0
0
El 12 de Noviembre contamos como un fallo permitía borrar el contenido de un tipo concreto de carteras del mayor wallet de Ethereum. En el día de hoy os hablamos de una intrusión con su posterior sustracción de información, con la diferencia de que esta información no tiene un valor subjetivo: esta información son Bitcoins, criptomonedas que tienen un valor monetario real dentro de su red de transacciones.





El monto total sustraído por los ciberdelincuentes asciende al 17% de los activos de la plataforma surcoreana de criptomonedas. Esto, unido a que el pasado mes de abril la empresa sufrió un robo cercano a 4,3 millones de euros en Bitcoins, ha ocasionado que Youbit se tenga que declarar en bancarrota, lo que permitirá que solo tenga que devolver el 75% de los Bitcoins a sus usuarios.

En su web podemos leer el siguiente mensaje: 

[Notice] I amcoin exchangefor you. We apologize for any inconvenience this may have caused.
I apologize for the lack of guidance and explanation of the progress. 
We are currently seeking accounting and legal advice on hacking related investigations and subsequent processing. 
 We are doing our best to minimize the damage of the members, We are discussing various plans and will be announced again after a legal review. 
 As soon as the judicial review is finished, we will announce it as soon as possible. I tried to meet your expectations, but I am disappointed. 
I apologize again.
- All employees of the coin exchange Yubit -

El impacto en los mercados ha sido mínimo, el valor de la divisa ha caído cerca de un 4%. Hay que remarcar que el valor sustraído es una ínfima parte de la cantidad de Bitcoins circulantes, pero como viene ocurriendo el valor de las criptomonedas se mantiene pese a estas adversidades.



Fernando Ramírez
@fdrg21
Más información:

Fallo de seguridad en un ‘wallet’ de Ethereum pone en riesgo cerca de 150 millones de dólares de esta criptomoneda:
http://unaaldia.hispasec.com/2017/11/fallo-de-seguridad-en-un-wallet-de.html





10 libros de seguridad informática para regalar estas navidades

December 21, 2017, 12:00 am
$
0
0
Llegan las navidades, aunque comercialmente ya empezaron hace casi un mes, y que mejor que dar ideas para regalar o ser regalado. ¿No sabes que encargarle a los reyes magos? No te preocupes, vamos a comentar los 10 libros de seguridad informática que más leemos en Hispasec. Esos que yacen desgastados en los escritorios de auditoría, malware o el equipo 24x7 de Antifraude, nuestros incansables vigilantes. Leer y hacer son dos palabras claves en la construcción de un buen profesional, sea de la rama que sea. La formación es importante y una de las cosas que siempre ha estado presente en Hispasec es que el personal no le falte lectura, alimento para el cerebro. 

Nuestras estanterías están pobladas de grandes clásicos de la literatura informatil, desde antiquísimas y valiosas primeras ediciones a incunables en formato tapa dura (el caro) que hoy en día valdrían...bueno, no mucho, pero su valor sentimental es inconmensurable. 

Antes de nada: esta lista está sesgada, si no encuentras tu favorito no es porque no lo valoremos, el criterio es "libros que leemos por aquí, en Hispasec". Tampoco importa el orden, un Schneider no es menos importante que un Mitnick porque uno esté antes del otro. Si crees te gustaría hacer mención a uno en especial, dejalo en los comentarios y si lo deseas (y agradeceremos) una crítica de qué te pareció. 

Otro descargo: ni tenemos intereses en publicar uno u otro libro, ni tan siquiera vamos a poner un enlace a un sitio en particular, tan solo el título e imagen de portada, suficiente para que si tienes interés en adquirirlo, lo hagas donde tú prefieras.

Comenzamos...

1.- Applied Cryptography: Protocols, Algorithms and Source Code in C
Bruce Schneier




Ni que decir tiene que la criptografía es una base importantísima para cualquier persona que se dedique a la seguridad informática. Este libro acerca la criptografía a un público práctico, que busca remangarse y "hacer".  Sin alejarse de la órbita matemática que impregna toda la teoría, nos ofrece una visión única. Un auténtico "hay que tenerlo". En Hispasec, cuando estamos desgranando alguna aplicación que implementa algún cifrado (cosa que no es para nada recomendable) echamos mano de él. 



2.- Rtfm: Red Team Field Manual
Ben Clark



Este libro está tan usado y se usa tanto en auditoría que cada cierto tiempo tenemos que pedir nuevas copias para reemplazar las antiguas. No es que sea práctico o te cuente algo nuevo en particular. Es que cuando no te acuerdas de alguna opción rara de una herramienta o de cómo se llamaba cierta clave del registro de un Windows enajenado, la respuesta suele hallarse ahí. También lo enriquecemos con anotaciones propias que suelen terminar formando parte del KB del equipo de auditoría de Hispasec.



3.- The Web Application Hacker's Handbook
Dafydd Stuttard y Marcus Pinto




Aquí lo conocemos como "la biblia". Es un compendio de técnicas y conocimiento orientado totalmente a auditoría web. Un clásico moderno, aunque está pidiendo a gritos una tercera edición actualizada. Los autores son los creadores de la conocida herramienta Burp Suite. 



4.- The Hacker Playbook 2: Practical Guide To Penetration Testing

Peter Kim




Una sorpresa. Un libro muy agradable y que va "al grano". Contiene una gran diversidad de técnicas, que aunque ya conocidas por lo pentesters, se aglutinan en este volumen a modo de compendio. No está de más hacer un repaso de ciertas técnicas que suelen usarse menos, así se refresca y no se pierde músculo. Podríamos decir que es el A-Z de un test de penetración. Se echan en falta algunas cosas, pero contiene lo principal.



5.- Cifrado de las comunicaciones digitales de la cifra clásica al algoritmo RSA
Jorge Ramió y Alfonso Muñoz





El otro libro de criptografía que más consultamos. Si uno cree que sabe de criptografía solo tiene que leer un capítulo para darse cuenta de que lo que sabías solo es el principio. Te explica perfectamente "como funciona" todo, con base matemática pero entendible. Insistimos, la criptografía es asignatura troncal en seguridad informática. Bonus: el libro tiene 256 páginas, como debe ser!



6.- Hacking: The Art of Exploitation

Jon Erickson




Otro "clásico instantáneo" que sí o sí debe estar en tu estantería. Además, aunque se trata de un libro de 2008 (¿cómo pasa el tiempo, eh?), envejece estupendamente. Si necesitas adentrarte en el mundo del exploiting, este es el libro que te llevará de la mano. Muy completo, fácil de leer y práctico, muy práctico.



7.- Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software

Michael Sikorski y Andrew Honig



El favorito, como no podía ser de otro modo, del departamento de análisis de malware. Incluso ha pasado varias veces por auditoría, debido al tratamiento que hace de algunas técnicas que incluso son interesantes desde el punto de vista de la explotación o descubrimiento de vulnerabilidades. Un compendio asombroso de técnicas que todo analista de malware debe tener en su arsenal de pócimas y hechizos particulares. Igualmente práctico, un libro muy aplaudido por la comunidad.


8.- A Bug Hunter's Diary: A Guided Tour Through the Wilds of Software Security

Tobias Klein


Podríamos decir que es la antesala del libro de Erickson, The Art of Exploitation. En este, Klein te cuenta cómo va el proceso de encontrar vulnerabilidades. Algunas son ya algo antiguas, pero la filosofía y el know-how están ahí. Podríamos decir que este volumen es en cierto modo inspirador. Lo lees y sacas la esencia...además de unas ganas tremendas de salir de "cacería" de bugs.



9.- Ghost In The Wires: My Adventures as the World's Most Wanted Hacker

Kevin Mitnick



Hombre, a ver, no podía faltar ¿no? Después de tanta fórmula matemática, herramientas, técnicas, malware y otras bebidas espiritosas, debemos dejar espacio a la historia, nuestro folclore particular. Aunque, naturalmente, sigue teniendo un poco de todo lo demás, no deja de ser una buena historia. Un libro que nos cuenta algo que ya nos han contado otras veces (la historia es bastante conocida) pero que nos describe detalles y una perspectiva que no vas a encontrar en otra parte.



A.- CODE: The Hidden Language of Computer Hardware and Software

Charles Petzold



Correcto, tienes razón, no es un libro sobre seguridad informática. Pero es un "aquí comienza todo". El principio. Si no entiendes como funciona lo que usas, su base fundamental, te estas perdiendo gran parte de la película. Contiene sabiduría, humildad, buen hacer y sobre todo el génesis de la informática. La base lógica que sustenta todo el armazón sobre el que estamos construyendo la nueva sociedad digital. Lo dicho, leelo con humildad, paciencia y saboreando su conocimiento.


Seguro que tienes más de uno de estos en tu biblioteca personal o la del trabajo, pero si te falta alguno y te están pidiendo ideas para regalar, aquí tienes unas cuantas.


David García
@dgn1729







Firefox tratará los sitios sin HTTPS como no seguros

December 22, 2017, 9:30 am
$
0
0
Tras el aumento de la adopción de los sitios web HTTPS por parte de distintos operadores pronto provocará que distintos navegadores marquen aquellos sitios HTTP como "No seguros" por defecto. 




La versión actual de Nightly de Firefox, Firefox 59, incluye una opción de configuración oculta que al ser activada mostrará un indicador visible de que la pagina que se está visitando actualmente no es segura. Actualmente, el indicador visual se compone por una linea roja que tacha el candado utilizado en las webs HTTPS.

Richard Barnes sugirió una nueva característica hace un año para preparar el cambio hacia el marcado de sitios web HTTP como no seguros. Posteriormente, Mozilla aprobó su petición y en la actual versión Nightly de Firefox se incluye dicha característica oculta. 
Para localizarla, podemos acceder a ella en about:config y buscarla como security.insecure_connection_icon.enabled. Una vez habilitada, podremos ver el candado afectado en aquellos sitios no seguros. 

Cuando Barnes hizo la petición anterior, el estado era de un 50% de sitios web que habían adoptado HTTPS. Desde entonces, la diferencia ha aumentado. 
Según fuentes de Let's Encrypt, un 67% de los sitios web visitados por Firefox en Noviembre de 2017 son HTTPS, comparado con un 45% a finales del año pasado. 

Algunos expertos en seguridad y de experiencia de usuario creen que este cambio puede ser perjudicial para los usuarios. Si un sitio web constantemente muestra dicha alerta puede provocar en el usuario una sensación de cansancio, provocando que omitan dicha advertencia con el paso del tiempo.

En un par de años, es posible que veamos a todos los navegadores desplazarse a un esquema donde los usuarios sean advertidos si visitan un sitio web HTTP. 

Actualmente, ningún navegador muestra advertencias. Firefox y Chrome muestran advertencias únicamente cuando el usuario va a iniciar sesión en una página o hacer pagos vía tarjeta de crédito. Cada navegador gestiona estas advertencias de distinta manera. Por ejemplo, Firefox muestra un mensaje claramente visible al usuario mientras que Chrome muestra un indicador en la barra de direcciones. 



Fernando Díaz
fdiaz@hispasec.com
Más información:

Add a pref to display a negative indicator in the URL bar for non-secure sites:
https://bugzilla.mozilla.org/show_bug.cgi?id=1310447

Add a pref to display a negative indicator in the URL bar for non-secure sites
https://letsencrypt.org/stats/






Search

Ejecución remota de código en PaloAlto Networks Firewall

December 23, 2017, 4:55 am
$
0
0
Un reciente reporte del investigador en seguridad Philip Pettersson, alerta sobre una grave vulnerabilidad en los routers del fabricante Palo Alto Networks, capaz de ser explotada remotamente y sin autenticación a través de la interfaz Web de administración, permitiendo el control total del dispositivo.
El análisis realizado por Petterson, determina que los routers se verían afectados por un conjunto de fallos que permitirían a un atacante ejecutar código remoto con permisos de ROOT. Esta vulnerabilidad, que ha recibido el CVE-2017-15944, se basaría, concretamente, en tres fallos por salto de restricciones en el servidor:

- Autenticación parcial en el servidor:
Existe una incorrecta comprobación por parte del 'parser' encargado de procesar las cookies de sesión, debido a que no utiliza los métodos oficiales propios de PHP para gestionar este procedimiento. Esto permitiría manipular la cookie de sesión y realizar una autenticación parcial.

- Creación de directorios arbitrarios:
Debido a unas incorrectas políticas de seguridad en '/php/utils/router.php', el portal de administración se vería afectado, también, por una vulnerabilidad de inyección de peticiones XML y, en conjunción con la anterior vulnerabilidad, se podrían crear directorios en el propio servidor de manera arbitraria, definiendo rutas especialmente manipuladas para ser utilizadas en posteriores vulnerabilidades.

- Inyección de comandos en el cron del sistema:
Existe una inyección de comandos en el cron que utiliza el sistema "/usr/local/bin/genindex.sh" para crear indices de las bases de datos, ya que es vulnerable en el modo de interpretar los nombres de ficheros.
Dado que, con las anteriores vulnerabilidades, tendríamos control de los directorios creados y, por tanto, las rutas a interpretar por este cron se podría inyectar comandos para así poder crear, por ejemplo, una shell remota, como se puede ver en el output publicado por Petterson.


Además, ya se han publicado exploits que comprueban la viabilidad de esta vulnerabilidad, confirmándose que existe un porcentaje importante de dispositivos que tienen la interfaz web accesible vía WAN y no han sido actualizados, siendo vulnerables.

El fabricante ha publicado los parches necesarios para actualizar PAN-OS en todas sus versiones disponibles:

  • PAN-OS 6.1.19, PAN-OS 7.0.19, PAN-OS 7.1.14, PAN-OS 8.0.6 y superiores.

Como siempre, recomendamos actualizar lo antes posible los dispositivos afectados y/o aplicar las medidas oportunas para no dejar accesible paneles de administración a accesos indebidos.



José Mesa
@jsmesa

Más información:


Vulnerability in PAN-OS on Management Interface (PAN-SA-2017-0027)
https://securityadvisories.paloaltonetworks.com/(X(1)S(crnl4olccpsmox0zi5ocw3nc))/Home/Detail/102

CVE-2017-15944: Palo Alto Networks firewalls remote root codeexecution
http://seclists.org/fulldisclosure/2017/Dec/38

Grave vulnerabilidad en routers Huawei utilizada de nuevo por la botnet Mirai

December 24, 2017, 4:52 am
$
0
0
A finales del mes de noviembre, la firma en seguridad Checkpoint advirtió de una grave vulnerabilidad remota en routers Huawei HG532, pero no ha sido hasta esta semana, cuando se ha hecho público el análisis de la vulnerabilidad y su uso en el despliegue de una nueva botnet basada en Mirai.
El abuso de routers domésticos se ha vuelto una gran mina para los atacantes, ya que existen millones de dispositivos sin actualizar y gravemente expuestos. Es por ello que los creadores de botnets suelen centrarse en grandes fabricantes, como Huawei.

La vulnerabilidad (CVE-2017-17215) se presentaría por unas incorrectas políticas de seguridad en la implementación del protocolo de administración remota TR-064. Un atacante podría, a través de peticiones especialmente manipuladas al puerto 37215, ejecutar comandos en el dispositivo y tomar control del mismo.

En concreto, el servicio vulnerable comentado por los investigadores de Checkpoint, sería el "DeviceUpgrade", encargado de actualizar el dispositivo. Mediante peticiones a este servicio y la inclusión de comandos bajo los apartados 'NewStatusURL' y 'NewDownloadURL', se podría descargar y ejecutar código arbitrario, como se puede apreciar en la captura:

Petición de ejecución de comandos - Fuente: Checkpoint

Una vez infectado el dispositivo, pasaría a formar parte de esta nueva variante de botnet Mirai, denominada por Checkpoint como OKIRU/SATORI. Según sus análisis, existirá una alta actividad de la misma en países como EEUU, Alemania, Italia o Egipto, entre otros.

Por su parte, Huawei ha publicado las contramedidas necesarias para bloquear este tipo de ataques, principalmente, activando el cortafuegos del dispositivo.


José Mesa
@jsmesa

Más información:

Security Notice - Statement on Remote Code Execution Vulnerability in Huawei HG532 Product
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en

Huawei Home Routers in Botnet Recruitment
https://research.checkpoint.com/good-zero-day-skiddie/

Huawei Routers Exploited to Create New Botnet
https://blog.checkpoint.com/2017/12/21/huawei-routers-exploited-create-new-botnet/

Huawei HG532 Router Remote Code Execution
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-1016.html

Vulnerabilidad en GoAhead afecta a miles de dispositivos IoT

December 25, 2017, 4:58 am
$
0
0
Se trata de una vulnerabilidad en un pequeño servidor web que se encuentra incluido en cientos de dispositivos IoT. Afecta a GoAhead, un paquete creado por Embedthis Software.


Numero de dispositivos IoT utilizando el servidor GoAhead.

Este servidor es muy popular en la industria ya que requiere de muy pocos recursos para ejecutarse, por lo que es un punto muy atractivo para aquellos dispositivos con recursos limitados como routers, impresoras y otros equipos IoT con conectividad. 

Según el sitio oficial de GoAhead, este producto se encuentra desplegado en distintos productos de marcas muy conocidas: Comcast, D-Link, ZTE, Oracle, Canon, Siemens... Por lo que puede encontrarse en una amplia gama de dispositivos. 

Esta semana investigadores de la firma australiana Elttam, descubrieron una manera de ejecutar código remoto malicioso en aquellos dispositivos que hicieran uso del paquete web de GoAhead. No es la primera vez, en marzo investigadores independientes descubrieron otro fallo de seguridad en dicho paquete; mientras que Cyberreason encontró otra vulnerabilidad en 2014.

La vulnerabilidad tiene asignado el código CVE-2017-17562. Elttam, ha publicado los detalles técnicos en esta entrada. Los atacantes pueden explotar este fallo de seguridad si CGI se encuentra habilitado y un programa está dinámicamente enlazado con CGI lo cual es una opción de configuración común.
También se puede encontrar una prueba de concepto que otros investigadores pueden utilizar para comprobar si los dispositivos a examinar son vulnerables a dicha vulnerabilidad. 

Tras reportar el fallo de seguridad a EmbedThis, se publicó un parche para solventar la vulnerabilidad. Todas las versiones de GoAhead anteriores a 3.6.5 son aparentemente vulnerables, aunque los investigadores únicamente verificaron la vulnerabilidad hasta las versiones 2.5.0.

Se estima que se han podido infectar entre 500.000 y 700.000 dispositivos IoT. Un par de búsquedas básicas en Shodan revelan estas cantidades, aunque varían segun el numero de dispositivos online en el momento. 

Embedthis ha cumplido con su papel en esta vulnerabilidad, ahora es el momento de que los usuarios actualicen sus dispositivos a las versiones más recientes. Sin embargo, este proceso puede llevar meses, o incluso años ya que algunos dispositivos han acabado su ciclo de vida y no tienen soporte para futuras actualizaciones. 



Fernando Díaz
fdiaz@hispasec.com

Más información:


Digmine se propaga a través de Facebook Messenger para minar cripto-monedas a tu costa

December 26, 2017, 5:22 am
$
0
0
Utilizar los recursos de tu máquina para minar cripto-monedas está siendo una técnica cada vez más habitual entre los ciber delincuentes. A diferencia de los ya conocidos "ransomwares", que utilizan técnicas más agresivas, secuestrando literalmente los archivos de tu máquina. Los troyanos de minado de cripto-monedas utilizan la capacidad de procesado del dispositivo infectado para obtener las criptodivisas sin que la víctima se entere.


El pasado 21 de diciembre el equipo de Trend Micro publicó en su blog el análisis sobre una nueva familia: Digmine.

Digmine está programado en 'AutoIt', un lenguaje de programación utilizado para automatizar procesos en Windows. Tiene la característica de se propaga a través de Facebook Messenger, utilizando como cebo un supuesto vídeo que en realidad contiene el ejecutable de AutoIt. Cuando la víctima abre el archivo queda infectada y reenvía el mensaje malicioso a sus contactos.

Mensaje-cebo enviado a través de Facebook Messenger.
Fuente: http://blog.trendmicro.com/

El proceso de infección ocurre de la siguiente forma:
  1. La víctima ejecuta el malware, que se conecta al C&C para descargar su configuración y otros componentes al directorio %appdata%\<username> de la víctima.
  2. Posteriormente modificará el registro de Windows para ejecutarse al iniciar el ordenador.
  3. A continuación ejecutará Chrome e instalará una extensión que se utilizará para mostrar un servicio fraudulento de streaming de vídeo mientras se comunica con el C&C para descargar más configuraciones y manipular Facebook Messenger para propagar el virus.

Captura del servicio fraudulento de streaming.
Fuente: http://blog.trendmicro.com/


El componente usado para minar las cripto-monedas es XMRig, un software open-source utilizado para minar 'Monero'.

Fichero de configuración de XMRig.
Fuente: http://blog.trendmicro.com/


Tanto el 'downloader' como el 'miner' usan el protocolo HTTP para comunicarse con el C&C. Utilizando el 'User-Agent: Miner' para prevenir en cierta medida conexiones no autorizadas.

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>

Como medida de seguridad se recomienda bloquear los mensajes de desconocidos o que no hayamos solicitado, así como asegurar nuestra cuenta de Facebook para evitar accesos no autorizados.

Trend Micro ha compartido además algunos indicadores de compromiso con los que actualizar nuestro IDS:

TROJ_DIGMINEIN.A
beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

BREX_DIGMINEEX.A
5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

TROJ_DIGMINE.A
f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909




Francisco Salido

Más información:

Digmine Cryptocurrency Miner Spreading via Facebook Messenger:
http://blog.trendmicro.com/trendlabs-security-intelligence/digmine-cryptocurrency-miner-spreading-via-facebook-messenger/

Plugins vulnerables de WordPress de 2014 aún presentes en instalaciones

December 27, 2017, 3:41 am
$
0
0
Tras más de un año después de que se descubriera la presencia intencionada de código malicioso dentro de 14 plugins de WordPress, todo indica a que cientos de sitios siguen haciendo uso de dichos componentes.





En este post figuran los 14 plugins que comparten el mismo código malicioso descubierto por el desarrollador Thomas Hambach.

Hambach mencionó que los atacantes estaban utilizando código malicioso para insertar enlaces de SEO en los sitios comprometidos. Este descubrimiento fue advertido por el equipo de WordPress que inmediatamente eliminó los 14 plugins maliciosos detectados del repositorio oficial.
A pesar de las acciones tomadas por parte del equipo de WordPress, se continuan detectando peticiones a lo largo de distintas IPs que intentan acceder al código malicioso, específico a los plugins con backdoor. 

Este asunto volvió a llamar la atención recientemente cuando WordPress modificó el repositorio de plugins de manera que los plugins antiguos que se cerraron pueden verse aún. Anteriormente no eran visibles al público.

La nueva versión del repositorio cuenta con la posibilidad de observar las instalaciones activas del plugin y a pesar de que los plugins fueron eliminaros para ser descargados por el público, cientos de sitios aún cuentan con ellos.

Podemos encontrar una lista de los plugins vulnerables de los que estamos hablando en este enlace. Entre ellos, encontramos 5 plugins de 2014 que siguen instalados en cientos de sitios.
Todos los sitios que estén haciendo uso de estos plugins pueden ser hackeados por un atacante que sepa lo que debe buscar y probablemente pertenezcan a proyectos abandonados desde hace un largo tiempo.




Expertos sugirieron avisar a los administradores de los sitios cuando existen actualizaciones de seguridad o tienen instalados plugins que son vulnerables o bien han sido eliminados del repositorio por incumplir la política. 
Según palabras de Mika Epstein, miembro del equipo de WordPress: "Si hacemos publica la vulnerabilidad sin un parche existente, ponemos a los usuarios en mayor riesgo. Si los atacantes conocen que existe un exploit, estos intentarán aprovecharlo lo más rápidamente posible." Por supuesto, los expertos no estaban alegres con esta contestación.

Un año después de estas declaraciones, el equipo de WordPress decidió tomar un camino diferente. Para combatir graves amenazas de seguridad, WordPress hará un rollback del plugin a la última versión segura que será instalada a la fuerza; afectando (presumiblemente) mínimamente a la funcionalidad del sitio pero manteniéndolo seguro.
Sin embargo, estas acciones son particulares del equipo de WordPress y solo se llevan a cabo con graves amenazas. 

Mientras tanto, los usuarios pueden instalar alguno de los muchos plugins de seguridad para detectar plugins antiguos con fallos de seguridad disponibles en el repositorio.


Fernando Díaz
fdiaz@hispasec.com

Más información:
Unfixed WordPress plugin vulnerabilities:

Mozilla corrige vulnerabilidades en Thunderbird

December 28, 2017, 12:30 am
$
0
0
Mozilla Foundation ha publicado la nueva versión de Thunderbird 52.5.2, su popular cliente de correo, en la que corrigen una vulnerabilidad crítica que podría provocar un desbordamiento de la memoria intermedia. El parche publicado para solucionar esta vulnerabilidad soluciona además otras cuatro vulnerabilidades (dos de gravedad alta, una moderada y otra baja).


Como decíamos antes, la vulnerabilidad más grave, etiquetada con CVE-2017-7845, podría provocar un desbordamiento de buffer debido a un error de validación en la librería gráfica ANGLE a la hora de utilizar Direct 3D 9 para renderizar contenido WebGL. Esta vulnerabilidad también ha sido corregida en Firefox en su versión 57.0.2 publicada el pasado 7 de diciembre.

Las vulnerabilidades consideradas de gravedad alta permitirían ejecutar código JavaScript en un 'feed RSS' cuando se utiliza el visor integrado (CVE-2017-7846) y revelar información sensible sobre 'paths' locales que podrían contener el nombre del usuario (CVE-2017-7847).

Las vulnerabilidades de gravedad moderada y baja podrían manipular ligeramente la estructura de un correo inyectando nuevas lineas al cuerpo del mensaje a través del 'feed RSS' (CVE-2017-7848) y suplantar la dirección del remitente si se inserta un carácter nulo al principio (CVE-2017-7829).

La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:
https://www.mozilla.org/thunderbird/ o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.


Francisco Salido
fsalido@hispasec.com

Más información:

Security vulnerabilities fixed in Thunderbird 52.5.2
https://www.mozilla.org/en-US/security/advisories/mfsa2017-30/

Loapi: el malware para Android que puede freír tu batería

December 29, 2017, 1:17 am
$
0
0
Loapi es un malware multipropósito que permitiría a los atacantes minar la criptodivisa 'Monero', lanzar ataques DDoS o suscribir a las víctimas a servicios de pago.


Esta nueva familia fue descubierta por 'Kaspersky Lab' distribuido en forma de aplicaciones legítimas: 

Muestras de Loapi falseando aplicaciones legítimas. Fuente: https://securelist.com

Mediante campañas de mensajes SMS, publicidad y otras técnicas de spam el virus consiguió distribuirse entre un gran número de víctimas.


Características


La arquitectura modular de este malware hace que sea muy versátil y permita realizar todo tipo de acciones fraudulentas:

  • Minar cripto-monedas.
  • Mostrar publicidad.
  • Enviar/Recibir SMS.
  • Lanzar ataques DDoS.
  • Navegar por la web, y suscribir a la víctima a servicios de pago.


Proceso de infección


Tras instalar la aplicación fraudulenta el malware trata de escalar permisos en el dispositivo, pidiendo permisos de administrador en bucle hasta que el usuario los acepta. Posteriormente, 'Trojan.AndroidOS.Loapi', comprueba si el dispositivo está 'rooteado' (aunque esta versión no hace uso en ningún momento de estos privilegios).

Después de obtener los permisos necesarios se esconde en el sistema, bien ocultando el icono en el menú o simulando ser una aplicación de antivirus como la que vemos a continuación:

Capturas de la aplicación fraudulenta. Fuente: https://securelist.com

El troyano además implementa mecanismos para protegerse y evitar ser desinstalado: puede actualizar de forma remota una lista negra de aplicaciones que podrían suponer una amenaza y engañar al usuario para que sean desinstaladas. Además de cerrar la ventana de ajustes para evitar que el usuario pueda revocar los permisos.
Mensaje fraudulento para desinstalar un AV legítimo. Fuente: https://securelist.com

Entre las diferentes acciones que se pueden llevar a cabo con este malware, cabe destacar la opción de minado de cripto-monedas, que podría dejar nuestro dispositivo Android inutilizado debido al uso tan intensivo de CPU.

Estado de la batería tras 48h de funcionamiento. Fuente: https://securelist.com

Para evitar este tipo de amenazas se recomienda siempre instalar las aplicaciones del repositorio oficial de Google Play.

Francisco Salido
fsalido@hispasec.com

Más información:

Jack of all trades






Search

Variante de Cryptomix ransomware

December 30, 2017, 8:17 am
$
0
0
Una variante del ransomware Cryptomix fue descubierta por el investigador Michael Gillespie. Este ransomware de extensión .tasytlock cifra los archivos y cambia los emails de contacto utilizados por el ransomware.

Los métodos de cifrado se mantienen en esta variante, con algunas pequeñas diferencias. 

Encontramos que la nota del ransomware tiene como nombre "__HELP_INSTRUCTION.TXT". Sin embargo, a pesar de ser la misma nota el e-mail de contacto es modificado por t_tasty@aol.com - Permitiendo así a las víctimas poder contactar con los atacantes al estar deshabilitados los medios anteriores. 


Extensión de los archivos cifrados: .tastylock


Otra de las novedades es la extensión de los archivos cifrados. Con esta versión, cuando un archivo ha sido cifrado por el ransomware se modificará el archivo y posteriormente agregará la extensión .tastylock al nombre.


Modificación del correo electrónico en la nota del ransomware.  

Actualmente, no se puede descifrar el ransomware. Los investigadores que han recibido el programa para descifrar los archivos se encuentran analizándolo para encontrar posibles vulnerabilidades. Mientras tanto, no queda más remedio que esperar a una posible vulnerabilidad en la implementación del cifrado.

Recordamos que pagar la cantidad exigida por los atacantes no es signo de garantía de recuperar los datos. Para evitar este tipo de ataques, es recomendable contar con soluciones antivirus actualizada y evitar abrir documentos adjuntos de destinatarios de dudosa procedencia. 

Fernando Díaz
fdiaz@hispasec.com

Más información:

Tastylock cryptomax ransomware:






Un repaso del 2017 en la seguridad

December 31, 2017, 1:00 am
$
0
0
2017 será recordado como el año de Wannacry en España y otros países del mundo, pero también por filtraciones como la de Equifax o el exploit en Apache Struts que la provocó




Cada vez se valora más el sector de la seguridad entre gobiernos y empresas, siendo este año el detonante en el ámbito nacional la aparición del randomware Wannacry. Éste afectó a múltiples empresas como Telefónica, Gas Natural o Iberdrola. Los estragos causados de este malware sólo evidencia lo que lleva desde hace tiempo advirtiéndose desde el sector. Cabe recordar, que este Wannacry se aprovechaba de la vulnerabilidad EternalBlue, que ya había sido parcheada en el momento de la propagación.



Malware

Pero Wannacry no ha sido el único ransomware de este año: también hemos visto a NotPetya, que afectó en especial a Ucrania y Rusia, haciendo uso de las vulnerabilidades EternalBlue (también usada por Wannacry) y EternalRomance. Además hemos visto a Locky, una variación de este último. Sin duda, este año ha sido el año del ransomware, siendo un denominador común de la mayoría de estos la solicitud de un rescate en Bitcoins.



WannaCry ha sido uno de los ransomware más destacados del presente año

En relación con los rescates en Bitcoins, hemos visto cómo su precio se elevaba hasta los 15.000 dólares, y en el sector de la seguridad nos ha afectado con una nueva tendencia en los malware: el minado de criptomonedas. Uno de estos troyanos fue reportado para Android por Kaspersky, con nombre LoapiNo sólo lo hemos visto en troyanos, sino también al acceder sitios web, como el caso de The Pirate BayAunque este nuevo tipo de ataques acaba de comenzar, podría convertirse en una tendencia en 2018 debido al alza de las monedas digitales.



Vulnerabilidades

En cuanto a las vulnerabilidades que han sido aprovechadas y descubiertas este 2017, tenemos a las ya mencionadas EternalBlue y EternalRomance, vulnerabilidades encontradas en el protocolo SMB. Estas dos vulnerabilidades pertenecerían a la supuesta vulneración que sufrió la NSA en 2016 de un ingente número de troyanos supuestamente desarrollados por ellos, y por los que el grupo The Shadow Brokers buscaba recaudar 1 millón de Bitcoins en una puja pública.

Mientras tanto en Android, hemos podido ver el ataque Toast Overlay, que podría haber sido utilizado para adquirir permisos sin conocimiento del usuario. Y en Intel, hemos visto de nuevo cómo Intel Management Engine (Intel ME) suscita las críticas de los consumidores, al encontrarse nuevos fallos graves en este módulo incluido en sus procesadores desde 2008, que permitiría tomar el control de la máquina independientemente de su sistema operativo.



BlueBorne y Krack han sido de las vulnerabilidades más graves en protocolos

También se han anunciado vulnerabilidades en los protocolos Bluetooth y WPA2, con los nombres de BlueBorne y KRACKs respectivamente. La primera de estas permitiría la infección de los dispositivos de forma remota y su autopropagación. La segunda, la modificación de las conexiones seguras realizadas con WPA. Estas dos vulnerabilidades, las dos muy graves, ya han estado siendo parcheadas a lo largo de los meses desde su anuncio.

Las vulnerabilidades también han sido aprovechadas para la filtración de datos, como el fallo en Apache Strusts que permitía la ejecución de código remoto, y que fue utilizada para la filtración de Equifax. También se encontraría CloudBleed, encontrada por Google Project Zero Team, y que explotaría un fallo en el proxy inverso de Cloudflare, utilizado por miles de sitios como Uber, OKCupid o FitBit. No se conoce de momento de ningún atacante que haya aprovechado dicha vulnerabilidad.



Filtraciones

Sin duda la mayor filtración de este año ha sido la de Equifax, con 143 millones de Estadounidenses afectados. Teniendo en cuenta que en EEUU hay 324 millones de personas, hablamos de un 44% de la población expuesta. Equifax, como entidad financiera, disponía de información de sus clientes como nombres, números de la seguridad social o los datos de la licencia de conducir. También se habrían expuesto 209.000 tarjetas de crédito y documentación de 182.000 personas.




La filtración de Equifax ha sido una de las más grave de la historia


La filtración en Uber de 52 millones de usuarios, también ha dado mucho que hablar, no solo por la cantidad de usuarios afectados sino también por los intentos de la compañía de ocultar lo ocurrido. Los datos de la filtración en realidad no son de este año, sino del 2016: Uber habría pagado 100.000$ al hacker por no decir nada y borrar la información.

Otras filtraciones han sido las de 235GiB de documentación militar confidencial en Corea del Sur, 2.5GiB de documentación de seguridad del aeropuerto de Londres Heathrow en un pendrive perdido, más de 28 millones de cuentas de Taringa, o 711 millones de emails junto con sus contraseñas que se encontraron a través de un spam. Y por si supiese a poco, hace pocos días se descubrió la mayor base de datos de usuarios y contraseñas conocida, con 1,4 millardos. De esta última filtración muchas eran conocidas, pero algunas eran nuevas y de algunas hasta ahora sólo se conocía su hash.



Conclusión

Este año 2017 ha sido sin duda el año del ransomware, una tendencia que tristemente parece haber llegado para quedarse, volviendo a demostrar lo importante que es la seguridad para las empresas privadas, particulares e instituciones. Una tendencia que seguiremos viendo este 2018, junto con algunas nuevas, como el minado de criptomonedas.

También hemos visto nuevas vulnerabilidades en la misma línea que años anteriores, sobresaliendo el culebrón que ya comenzó en 2016 con The Shadow Brokers y del que salieron vulnerabilidades como EternalBlue y EternalRomance, que han sido aprovechados por múltiples troyanos. Además, este ha sido con diferencia el año en que se han descubierto más vulnerabilidades como puede verse en Vuldb, al casi doblarse el número de entradas respecto el año anterior. Esta cifra sí que se dobla en Cvedetails.



Las vulnerabilidades este 2017 se han disparado respecto años anteriores


Y en cuanto a filtraciones, este parece haber sido por fortuna un año más tranquilo que los anteriores. Ha habido filtraciones muy graves, pero cada vez parecen quedar más lejos esos 3 millardos de cuentas de Yahoo! de 2013, o los 412.2 millones de Adult Friend Finder del año pasado.


Hace años la seguridad informática apenas era tenida en cuenta por los legisladores, las empresas y las personas de a pie. Y justamente por eso, estos últimos años hemos podido ver cada vez más casos de filtraciones, explotaciones y usuarios afectados en la portada de los periódicos, demostrando que no podemos despreocuparnos y evidenciando que existe un problema. La tendencia no obstante parece estar cambiando, y este año que entra parece que será parte de este cambio.



El equipo de Hispasec y de la Una Al Día os desea a todos un muy feliz año 2018.


Juan José Oyague
joyague@hispasec.com

Más información:

Malware ataca múltiple compañías (Wannacry):
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

Precio Bitcoin:
http://www.lavanguardia.com/economia/20171226/433891489800/bitcoin-precio-compra.html

Kaspersky Loapi:
https://www.kaspersky.es/blog/loapi-trojan/15024/

The Pirate Bay runs a cryptocurrency miner:
https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/

Android Toast Overlay Attack:
https://www.paloaltonetworks.com/cyberpedia/android-toast-overlay-attack

Vulnerabilidades en Intel Management:
http://unaaldia.hispasec.com/2017/11/vulnerabilidades-en-intel-management.html

The Shadow Group libera el resto del arsenal robado a la NSA:
http://unaaldia.hispasec.com/2017/04/the-shadow-group-libera-el-resto-del.html

Vulnerabilidad crítica en Apache Struts:
http://unaaldia.hispasec.com/2017/03/vulnerabilidad-critica-en-apache-struts.html

BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación:
http://unaaldia.hispasec.com/2017/09/blueborne-una-vulnerabilidad-en.html

KRACKs: grave vulnerabilidad en el protocolo WPA2:
http://unaaldia.hispasec.com/2017/10/kracks-grave-vulnerabilidad-en-el.html

Equifax Data Breach Impacts 143 Million Americans:
https://www.forbes.com/sites/leemathews/2017/09/07/equifax-data-breach-impacts-143-million-americans/#3af477b9356f



Uber data hack cyber attack:
https://www.theguardian.com/technology/2017/nov/21/uber-data-hack-cyber-attack

North Korea hackers stole South Korea-U.S. military plans to wipe out North Korea leadership: lawmaker:
https://www.reuters.com/article/us-northkorea-cybercrime-southkorea/north-korea-hackers-stole-south-korea-u-s-military-plans-to-wipe-out-north-korea-leadership-lawmaker-idUSKBN1CF1WT

La brecha en Taringa expone a 28 millones de usuarios:
http://unaaldia.hispasec.com/2017/09/la-brecha-en-taringa-expone-28-millones.html

711 millones de correos electronicos expuestos:
http://unaaldia.hispasec.com/2017/09/711-millones-de-correos-electronicos.html

La mayor base de datos de usuarios y contraseñas jamás descubierta, otra vez:
http://unaaldia.hispasec.com/2017/12/la-mayor-base-de-datos-de-usuarios-y.html

Vuldb archive:
https://vuldb.com/?archive

Cvedetails browse by date:
https://www.cvedetails.com/browse-by-date.php

Yahoo says all three billion accounts hacked in 2013 data theft:
https://www.reuters.com/article/us-yahoo-cyber/yahoo-says-all-three-billion-accounts-hacked-in-2013-data-theft-idUSKCN1C82O1

Adult Friend Finder confirms data breach 3.5 million records exposed:
https://www.csoonline.com/article/2925833/data-breach/adult-friend-finder-confirms-data-breach-3-5-million-records-exposed.html

Posible brecha de seguridad en Nissan Canadá

January 1, 2018, 10:38 am
$
0
0
La brecha podría haber expuesto información de 1.13 millones de canadienses que adquirieron su vehículo a través de la financiera de Nissan




Nissan Canada Finance (NCF) se ha puesto en contacto con sus clientes para informarles de que su información personal podría haberse visto comprometida. El acceso no autorizado se habría realizado el día 11 de diciembre, según tiene conocimiento la financiera. Se desconoce el número de personas y la información exacta que podría haber sido sustraída, por lo que la empresa ya ha avisado a todos sus clientes.

En el acceso, podrían haber obtenido los datos de 1.13 millones de clientes. Entre la información sustraída, se encontrarían el nombre completo, la dirección, vehículo y modelo, número identificativo del vehículo (VIN), puntuación crediticia, cantidad prestada y mensualidades. La empresa no tiene constancia de momento de que puedan haberse visto comprometidos datos de vehículos fuera de Canada, y ha asegurado que las tarjetas de crédito no se han visto afectadas.

Además de avisar a todos sus clientes, Nissan Canada Finance ha ofrecido a todos sus clientes 12 meses gratis en servicios de monitorización de crédito con TransUnion, puedan haberse visto comprometidos o no. También se ha avisado a las agencias de privacidad de Canadá, a las autoridades componentes y ha puesto el caso en manos de expertos de seguridad.


Al menos en esta ocasión, parece que se han tomado medidas rápido y los clientes han sido informados, no intentándose ocultar los hechos.


Juan Antonio Oyague
joyague@hispasec.com

Más información:

Nissan Canada Finance informs customers of possible data breach:
http://nissannews.com/en-CA/nissan/canada/releases/nissan-canada-finance-informs-customers-of-possible-data-breach

Publicada vulnerabilidad en macOS presente desde hace más de 15 años

January 2, 2018, 8:39 am
$
0
0
El pasado 31 de diciembre fue publicado un 0-Day que permitiría a un atacante local elevar privilegios a root en sistemas macOS hasta la versión 10.13.1.



El desarrollador y hacker amateur @siguza, como así se describe él mismo, publicó en la víspera de año nuevo un fallo oculto en el componente IOHIDFamily desde hace más de 15 años.


IOHIDFamily es una extensión del kernel utilizada por dispositivos de interfaz humana (HID). A lo largo de su historia, diversos fallos de corrupción de memoria y condiciones de carrera han hecho necesario reescribir gran parte de su código. En este caso la vulnerabilidad reside en la clase IOHIDSystem: el atacante podría modificar el contenido de 'eop->evGlobalsOffset' haciendo que 'evg' apunte a una dirección de memoria arbitraria.

IOHIDSystem::initShmem Fuente: https://siguza.github.io/IOHIDeous/

Mediante ataques ROP, un usuario local podría escalar privilegios y desactivar las protecciones de integridad del sistema SIP (System Itegrity Protection) y AMFI (Apple Mobile File Integrity),pudiendo ejecutar código arbitrario con privilegios de sistema.

Siguza ha sido acusado de revelar de forma irresponsable una vulnerabilidad sin parchear que podría comprometer el sistema completo. Sin embargo el hecho de que sólo sea explotable de forma local reduce mucho las posibilidades de un ataque.

Francisco Salido

Más información:

IOHIDeous:

Trackmageddon: Múltiples vulnerabilidades en servicios de localización por GPS

January 3, 2018, 8:05 am
$
0
0
Los investigadores de seguridad Vangelis Stykas y Michael Gruhn han publicado un informe donde exponen múltiples vulnerabilidades que afectan a servicios de localización de dispositivos por GPS.



Estas vulnerabilidades permitirían a un atacante extraer información sobre la posición, número de teléfono, IMEI del dispositivo y posiblemente otro tipo de información personal sobre los usuarios de estos servicios.

Estas empresas se dedican a almacenar en sus bases de datos información que facilite el rastreo de dispositivos con GPS, como localizadores de niños, mascotas o coches entre otros.

En muchos de los servicios analizados esta información se encuentra muy desprotegida: uso de contraseñas comunes, APIs abiertasque no requieren autenticación, referencias inseguras directas (IDOR), etc.

En total más de 100 servicios de localización por GPS presentaban vulnerabilidades que permitirían a un atacante revelar algún tipo de información sobre sus usuarios. Sin embargo, hasta el momento sólo 4 sitios han corregido estos fallos.

Para saber si su dispositivo está afectado puede consultar la lista de servicios que aún no han sido parcheados: https://0x0.li/trackmageddon/#unfixed




Francisco Salido
fsalido@hispasec.com

Más información:

Multiple vulnerabilities in the online services of (GPS) location tracking devices
https://0x0.li/trackmageddon/

http://gpsui.net complete take over of all managed tracking devices





Viewing all 3805 articles
Browse latest View live
Search