Quantcast
Viewing all 3802 articles
Browse latest View live

Actualización en el software de integración continua Atlassian Bamboo soluciona dos graves vulnerabilidades

January 4, 2018, 9:24 am
$
0
0
Han sido descubiertas dos vulnerabilidades en Bamboo, del grupo Atlassian, que podría permitir la ejecución remota de código en el host de Bamboo y la ejecución arbitraria de argumentos sobre un servidor Mercurial configurado en el sistema.


Image may be NSFW.
Clik here to view.



Bamboo es una herramienta pertenecientes a la suite para empresas y desarrolladores de software Atlassian, creado específicamente para satisfacer los ciclos de integración continua y despliegue de aplicaciones.

Las dos vulnerabilidades han recibido los identificadores CVE-2017-14589 y CVE-2017-14590.

La primera de ellas, la vulnerabilidad asociada al CVE-2017-14589, permitiría a un atacante remoto ejecutar código a través de una web especialmente manipulada que sea visitada por la administración del host. El código que permite la vulnerabilidad pertenece a la librería de código abierto para JavaOGNL, que permite el uso del lenguaje de expresiones del mismo nombre.

La segunda de ellas, asociada al CVE-2017-14590, podría permitir a un usuario de la plataforma poder ejecutar argumentos contra un servidor Mercurial configurado en el sistema, saltándose las restricciones de acceso definidas por la propia plataforma y de este modo permitir la ejecución arbitraria de parámetros. Esto daría a este atacante la posibilidad de insertar argumentos arbitrarios sobre el servidor Mercurial.

Estos dos fallos ya han sido solucionados a partir de las versiones 6.1.6 y 6.2.5, por lo que recomendamos desde Hispasec a los usuarios de este software actualizar inmediatamente a la última versión de la rama correspondiente.




Más información:

Bamboo Security Advisory 2017-12-13:






Search

Meltdown y Spectre: Graves vulnerabilidades en los procesadores de los principales fabricantes

January 4, 2018, 11:05 pm
$
0
0
Tres vulnerabilidades graves han sido descubiertas en las versiones modernas de los procesadores Intel, AMD y ARM, que permiten en el peor de los casos leer memoria reservada privada del kernel desde código no privilegiado


Image may be NSFW.
Clik here to view.


Solution: Replace CPU hardware (Solución: Reemplace el procesador). Así rezaba la nota en CERT/CC sobre estas tres vulnerabilidades. Afortunadamente, actualmente anuncia como solución actualizar los diversos sistemas operativos que suelen correr sobre los procesadores afectados. Y esto es básicamente lo que deben hacer los usuarios de a pie, mantener sus sistemas operativos actualizados, así como un antivirus. No nos cansamos de repetir esto, como podéis observar.

En resumen, todo procesador moderno está afectado en mayor o menor medida. Ya hemos visto que para estas vulnerabilidades la solución recomendada es actualizar el sistema operativo. Lo cierto es que los usuarios de a pie tampoco pueden hacer mucho más. Está claro que no vas a tirar el procesador, o cambiarlo por otro modelo moderno probablemente igual de vulnerable. (¿o quizás sí y cambiar tu Intel por un AMD menos vulnerable como veremos ahora?).

En cualquier caso, los parches que pueden ofrecer los sistemas operativos estarán básicamente restringidos a evitar la explotación de una de las tres vulnerabilidades, la conocida como Meltdown (CVE-2017-5754). Las otras dos, bajo el nombre Spectre (CVE-2017-5753 y CVE-2017-5715) no se pueden mitigar completamente a pesar de los parches que salgan, aunque se puede dificultar la facilidad con que se explotan, o detectar programas conocidos que intenten explotarlas. Estas dos vulnerabilidades bajo el nombre Spectre tienen las mismas consecuencias, por lo que se puede explicar lo básico de forma conjunta.

La incidencia de estas vulnerabilidades afecta principalmente a los servidores que corren múltiples procesos de múltiples usuarios, ya que es posible acceder a la información de otros usuarios a través de estas vulnerabilidades. Para el usuario de a pie, con mantener actualizado el sistema operativo y un antivirus, es suficiente. También se ha hablado de disminución en el rendimiento provocada por los parches para estas vulnerabilidades, pero lo cierto es que para el usuario de a pie es despreciable.

Vamos a hacer una comparativa básica de Meltdown y Spectre:

  • Productos afectados:Meltdown afecta a casi todo procesador Intel producido después de 1995 (y a algunos ARM's). Spectre afecta prácticamente a todos los procesadores modernos de Intel, AMD y ARM, en mayor o menor medida.
  • Impacto: Meltdown permite leer memoria privada del kernel desde código no privilegiado. Spectre también permite leer memoria, pero del mismo proceso o de otro distinto.
  • Dificultad de explotación: Meltdown es relativamente fácil de explotar, y la parte principal del exploit es básicamente universal. Spectre requiere conocimiento profundo del código de los procesos a explotar, y por tanto los exploits son personalizados por objetivo.
  • Solución: Para Meltdown vale con que los sistemas operativos cambien su manera de trabajar con la memoria. Para Spectre no hay parches definitivos (¿tirar el procesador a la basura?), pero lo básico es actualizar el sistema operativo y un antivirus, como dijimos previamente.

Ya para los más avanzados, sigue una explicación técnica de las vulnerabilidades. Sin embargo, hasta para la mayoría de éstos es necesario hacer un repaso básico de algunos conceptos de arquitectura de computadores. Los conceptos se simplifican lo máximo posible:


  • Los procesadores modernos no siempre leen directamente de la memoria, sino que primero consultan una memoria caché, que se encarga de almacenar las entradas de memoria que son accedidas con más frecuencia. Es una memoria bastante limitada en tamaño, cuyas entradas más antiguas y menos accedidas se van eliminando en favor de entradas nuevas. La ventaja que tiene esto es que si una entrada está en la memoria caché, ahorras la lectura de la memoria principal, que es más lenta.

  • La ejecución fuera de orden permite cambiar el orden de las instrucciones a ejecutar en un programa, o incluso ejecutarlas simultáneamente (siempre conservando la lógica original). Esto es algo que hace el procesador por su cuenta para mejorar la velocidad de ejecución. El procesador lleva un registro de la ejecución, y revierte los efectos de instrucciones que se adelantaron si resulta que una instrucción anterior provocó algún error o se saltó a otro sitio y esas instrucciones adelantadas no debieron ejecutarse.

  • A veces, la ejecución fuera de orden llega a una instrucción de salto cuya dirección de destino depende de instrucciones previas a la instruccion de salto que no han sido ejecutadas todavía (precisamente por lo que hace la ejecución fuera de orden). El procesador entonces realiza la llamada ejecución especulativa, que consiste en predecir la dirección de salto, saltar y seguir la ejecución. De forma similar a lo que ocurre en la ejecución fuera de orden, esto lo hace llevando un registro de los cambios realizados tras la predicción, para poder volver al estado original si la predicción fue fallida. Si no, se ha ahorrado tiempo.

  • Para la ejecución especulativa, es necesario predecir de alguna forma la dirección del salto. Para eso existen diversas implementaciones de predicción de saltos en los procesadores, generalmente basados en el mismo principio de direcciones de salto más frecuentes desde cierta dirección almacenada.

Espero que no haya sido muy duro :)

A continuación la descripción técnica de las dos primeras vulnerabilidades (la tercera es una variación de la segunda fácil de comprender si se entiende ésta):


Meltdown (CVE-2017-5754)

Una de las cosas principales que permite la existencia de estas vulnerabilidades es lo mal que están implementadas la ejecución fuera de orden, la especulativa, la predicción de saltos... Desde el punto de vista de la seguridad. Por ejemplo, en la ejecución especulativa, cuando la predicción de salto falló y en realidad se ejecutó código que no debía ejecutarse, recordamos que se deshacen todos los cambios pertinentes... Bueno, no todos. La memoria caché no vuelve a su estado original.

Es decir, que la ejecución de ese código realmente sí deja cierta huella. Dejando de lado la seguridad, que cambie un poco la caché puede afectar ligeramente a la velocidad de acceso a las entradas, que se hayan perdido entradas de la caché que valían... Pero poco más... El problema viene cuando estos cambios en la caché que no deberían haber ocurrido permiten revelar información de una forma algo compleja, como veremos ahora...

Recordamos que Meltdown se usa para leer memoria privada del kernel desde código no privilegiado. Un proceso no privilegiado en los sistemas operativos modernos tiene en su espacio de direcciones un trozo reservado para el kernel, aunque no vaya a usarse directamente (por razones que no vienen al caso). Por tanto, intentar acceder a esta zona de la memoria genera una excepción y se aborta la ejecución del programa.

El problema principal que permite la existencia de Meltdown es que los procesadores afectados no manejan correctamente estos accesos ilegales cuando se ejecutan instrucciones fuera de orden. Esto permite que se ejecute la instrucción que accede ilegalmente al trozo del kernel, pero para cuando el procesador se prepara para manejar la excepción generada por el acceso ilegal, ya se habrán ejecutado unas cuantas instrucciones por delante de la instrucción que accedió ilegalmente.

En principio esto no debería ocasionar problema alguno, ya que como explicamos, en la ejecución fuera de orden se revierte todo... Excepto el estado de la memoria caché. El siguiente trozo de código nos explica cómo se puede aprovechar esto:


Image may be NSFW.
Clik here to view.
Extraído de https://meltdownattack.com/meltdown.pdf

'rcx' es la dirección del kernel que queremos leer, y 'rbx' un array que usaremos para recuperar indirectamente el valor de 'al', el byte leído del kernel (ahora veremos cómo). Ignorando las líneas 3, 5 y 6 para la explicación básica, en la línea 4 leemos el byte del kernel. Y en la línea 7 accedemos a una dirección de memoria que dependerá del valor del byte leído del kernel (en la línea 5 se transforma un poco, y recordemos que el registro 'al' es un subconjunto del registro 'rax').

Básicamente, acabamos de provocar que cambie la caché almacenando la dirección a la que se ha accedido en la línea 7 dependiendo del byte leído del kernel. Esto lo permite la ejecución fuera de orden, ya que deja ejecutar varias instrucciones por delante antes de lanzar la excepción por acceso ilegal, y que la caché no se restaura cuando la excepción ocurre.

A partir de aquí, es posible darse cuenta de qué dirección cambió en la caché de forma indirecta. Si previamente se preparó la caché para que no contuviese ninguna entrada asociada al array 'rbx', tras ejecutar el código de la imagen la caché contendrá una única entrada de ese array. Si intentamos acceder una a una a todos las posibles direcciones a las que se pudo acceder en la línea 7, notaremos que una de las direcciones se accede muy rápidamente... Porque ya estaba en la caché, gracias a la línea 7.

Sabiendo la dirección que está en la caché, se puede recuperar el byte leído del kernel (ya que esa direccion dependía de ese byte, y de una forma fácil de deducir). Si se hace esto para cada uno de los bytes del trozo del kernel, podremos leer efectivamente todo la memoria reservada al kernel. Una última cosa a tener en cuenta es que tendremos que manejar la excepción de alguna forma, para que no aborte el programa. Esto se hace de forma legal sin problema alguno.



Spectre (CVE-2017-5753)

Esta vulnerabilidad se basa en engañar al sistema de predicción de saltos, para que en una estructura condicional tipo 'if' salte a la rama equivocada y la ejecución especulativa deje huellas en la caché, como pasa en Meltdown. El código explotable por esta vulnerabilidad tiene que seguir un patrón específico. Por tanto, habrá que buscar en el proceso objetivo un trozo de código con ciertas características. A continuación, un ejemplo simplificado del tipo de código que buscamos:


Image may be NSFW.
Clik here to view.
Extraído de https://spectreattack.com/spectre.pdf


En este trozo de código, 'x' debe ser una variable controlada por el atacante (una entrada externa a un programa, como un argumento o un valor de un paquete de red). Básicamente la idea es buscar un valor de 'x' que haya que la carga de 'array[x]' apunte a la dirección de memoria que queremos extraer (¿una contraseña en memoria?). La comprobación del 'if' es una comprobación clásica de seguridad, para evitar que se acceda a memoria fuera de rango en la instrucción de dentro. Y seguramente 'x' sea demasiado grande para pasar la comprobación. La gracia está en que podemos engañar al sistema de predicción de saltos para que ejecute especulativamente lo de dentro, dejando huella en la caché dependiendo del valor de 'x', al estilo de Meltdown.

Tiene que darse una serie de condiciones para que se pueda explotar, y todavía no se ha explicado cómo es posible engañar al sistema de predicción de saltos o extraer información de la caché, especialmente estando en procesos totalmente distintos. Lo básico será conseguir que se ejecute ese código en el proceso víctima, está claro. Para esto, tenemos que realizar alguna acción que lleve a ello. Por ejemplo, si ese código se encarga de manejar peticiones HTTP, podemos mandarle una.

Respecto al tema de engañar al sistema de predicción de saltos... Resulta que el BTB(Branch Target Buffer), la tabla que se usa para llevar un registro de los saltos más comunes para permitir la ejecución especulativa, es compartida entre procesos. No sólo eso, ni siquiera almacena toda la dirección de salto, sino simplemente los 20 bits inferiores. Esto permite que desde un proceso puedas afectar a la BTB desde el proceso atacante, ejecutando múltiples veces un salto desde la misma dirección (o que al menos coincidan los 20 bits inferiores), y que salte al mismo sitio al que nosotros queremos que la víctima salte.

Con esto ya se tiene la primera parte del ataque. Se controla 'x' para que apunte a una zona de memoria que queramos leer, se engaña al sistema de predicción de salto para que ejecute lo que hay dentro del 'if' y deje huella en la caché por la ejecución especulativa. La caché es compartida entre procesos,y si bien no se pueden recuperar entradas de otro proceso, se puede aprovechar el hecho de que las entradas de la caché de diferentes procesos compiten entre ellas por el mismo hueco, y se echan unas a otras. Esto es, el proceso atacante llena la caché con sus entradas, y después de ejecutar el exploit, podemos empezar a leer de memoria, a ver cuál es más lenta y por tanto ha sido echada de la caché por el proceso víctima.


Advertencia

Hemos hecho un esfuerzo para ofrecer una introducción técnica a estas vulnerabilidades, una introducción corta y básica. Para ello hemos esquivado detalles y probablemente cometido alguna que otra herejía explicando conceptos. Esta explicación no pretende ser exhaustiva ni usarse como referencia, para ello están las referencias oficiales en las siguientes páginas:

  • https://meltdownattack.com/
  • https://spectreattack.com/
  • https://googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-with-side.html



Carlos Ledesma
cledesma@hispasec.com


Más información:

Vulnerability Note VU#584653 - CPU hardware vulnerable to side-channel attacks
https://www.kb.cert.org/vuls/id/584653

Meltdown and Spectre - Bugs in modern computers leak passwords and sensitive data
https://meltdownattack.com/
https://spectreattack.com/

Reading privileged memory with a side-channel
https://googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-with-side.html

Meltdown y Spectre: así es la pesadilla en la seguridad de las CPUs de Intel, AMD y ARM
https://www.xataka.com/seguridad/meltdown-y-spectre-asi-es-la-pesadilla-en-la-seguridad-de-las-cpus-de-intel-amd-y-arm

Cómo actualizar todos tus sistemas operativos y navegadores para frenar a Meltdown y Spectre
https://www.xataka.com/seguridad/como-actualizar-todos-tus-sistemas-operativos-y-navegadores-para-frenar-a-meltdown-y-spectre

A Simple Explanation of the Differences Between Meltdown and Spectre
https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/

Negative Result: Reading Kernel Memory From User Mode
https://cyber.wtf/2017/07/28/negative-result-reading-kernel-memory-from-user-mode/

Corregidas graves vulnerabilidades en EMC y VMware vSphere Data Protection

January 6, 2018, 11:35 am
$
0
0
El fabricante Dell EMC ha corregido tres importantes vulnerabilidades que podrían facilitar a un atacante remoto controlar el servidor. Las vulnerabilidades se presentarían en la familia EMC Data Protection Suite, en la que también se basa VMware vSphere Data Protection.

Image may be NSFW.
Clik here to view.

Los investigadores de Digital Defense, han publicado un reporte alertando de tres vulnerabilidades por salto de restricciones que permitirán tomar el control total del servidor:

  • Salto de restricciones de autenticación a través de "SecurityService" (CVE-2017-15548):
    Existen unas incorrectas políticas de seguridad a la hora de controlar las peticiones SOAP al servidor, que podrían ser utilizadas para saltar restricciones de autenticación y poder realizar un login válido. 
  • Salto de restricciones de acceso a ficheros a través de "UserInputService" (CVE-2017-15550):
    • Existiría una incorrecta validación de usuario en la clase "UserInputService", en concreto en el método "getFileContents", que permitiría acceder y descargar ficheros del servidor. Además, al estar ejecutándose en el servidor como root, se tendría acceso a cualquier fichero del mismo.
  • Salto de restricciones por subida de ficheros a través de la clase "UserInputService" (CVE-2017-15549):
    • Existiría una incorrecta validación de parámetros en el método "saveFileContents", que permitiría generar rutas arbitrarias de subida de ficheros al servidor.
Todas las vulnerabilidades, en combinación, permitirían conseguir un control total del servidor, bien mediante la subida de una shell o la modificación de los ficheros de configuración y acceso para crear nuevos credenciales.

Tanto Dell EMC como VMware han publicado los parches necesarios para corregir urgentemente estas vulnerabilidades, siendo las versiones afectadas las siguientes:

  • Avamar Server 7.1.x, 7.2.x, 7.3.x, 7.4. x, 7.5.0
  • NetWorker Virtual Edition 0.x, 9.1.x, 9.2.x
  • Integrated Data Protection Appliance 2.0
  • VMware vSphere Data Protection 5.x, 6.x




José Mesa
@jsmesa

Más información:


ESA-2018-001: EMC Avamar Server, NetWorker Virtual Edition and Integrated Data Protection Appliance Multiple Security Vulnerabilities
http://seclists.org/fulldisclosure/2018/Jan/17

VMSA-2018-0001
vSphere Data Protection (VDP) updates address multiple security issues.


SQL Injection en iJoomla Ad Agency

January 7, 2018, 12:00 am
$
0
0
Descubierta vulnerabilidades SQLInjection en iJoomla Ad Agency



Introducción

iJoomla Ad Agency es una extensión para el conocido CMS Joomla que se usa para generar ingresos con el tráfico de nuestro sitio. Los ingresos se obtienen mediante la publicidad en nuestro sitio. Este componente nos permite añadir y modificar publicidad fácilmente.


Explicación

La vulnerabilidad de SQL Injection se encuentra en los parámetros 'advertiser_status' y 'status_select' del módulo 'com_adagency'.

Un atacante puede construir un método 'GET' malicioso que ejecute los comandos para el SQL Injection a través de los parámetros vulnerables citados antes. Estos parámetros se encuentran en el fichero 'index.php'Para explotar esta vulnerabilidad es necesario un usuario con privilegios y puede explotarse de manera remota.


Explotación

Para explotar esta vulnerabilidad solo tenemos que modificar la petición de la URL e incluir el parámetro de SQL Injection en el parámetro 'advertiser_status':


Image may be NSFW.
Clik here to view.
SQL PoC
Image may be NSFW.
Clik here to view.
SQL PoC
Image may be NSFW.
Clik here to view.
Exploit

Versión vulnerable y Parche

La versión vulnerable: 6.0.9
La vulnerabilidad está corregida en la última actualización de 'com_adagency'

Créditos

Esta vulnerabilidad ha sido descubierta por Benjamin K.M.[bkm () vulnerability-lab com] 
https://www.vulnerability-lab.com/show.php?user=Benjamin+K.M.

Mario Parra
@MPAlonso_
Más información:

Reporte:
http://seclists.org/fulldisclosure/2018/Jan/11
http://www.vulnerability-lab.com/get_content.php?id=1927





Ejecución de código remota en Cisco IOS

January 8, 2018, 12:00 am
$
0
0
Cisco IOS: vulnerabilidad de ejecución remota de código a través de SNMP

Image may be NSFW.
Clik here to view.


Introducción

Recientemente se ha descubierto una vulnerabilidad que permitiría a un atacante la ejecución de código remoto a través del protocolo SNMP en Cisco IOS.

Cisco IOS es el software usado por la empresa Cisco Systems en sus dispositivos de red(routers, switches...etc). Por otro lado el protocolo SNMP es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red.


Vulnerabilidad

El ataque se lleva a cabo mediante el uso  de paquetes SNMP (IPv4o IPv6) formados de una manera concreta. La vulnerabilidad se debe a una condición de desbordamiento de búfer en la implementación de SNMP por parte de Cisco IOS.

Esta vulnerabilidad está presente en todas las versiones de SNMP (1, 2c y 3). Pero con una particularidad, para explotar estas vulnerabilidades a través de SNMP 2c o anterior, el atacante debe conocer la cadena de solo lectura de SNMP del sistema afectado.

Para explotar la vulnerabilidad en versiones superiores a la 2c, osea la 3, el atacante debe conocer las credenciales del usuario para el sistema afectado.

Todos los dispositivos de la compañía que hayan habilitado el protocolo SNMP y no haya excluido explicitamente 'MIB' u 'OID' son vulnerables.

MIB y OID

MIB o Management Information Base es una colección que definen las propiedades de un objeto gestionado dentro del dispositivo donde queremos llevar a cabo la administración. Los ficheros MIB se escriben en un formato concreto y contiene la información organizada jerárquicamente. Se puede acceder a esta colección mediante SNMP como es lógico.

OID o Object Identifiers es el identificador único que permite el manejo de los objetos en la colección MIB.


Exploit

La prueba de concepto (PoC) puede ser descargada desde el siguiente enlace.


CVE

La vulnerabilidad ha sido recogida en el CVE-2017-6736


Créditos

Artem Kondratenko: https://packetstormsecurity.com/files/author/12898/




Mario Parra
@MPAlonso_
Más información:







Ejecución remota de código en AMD Secure Processor

January 9, 2018, 1:00 am
$
0
0
Cfir Cohen, del equipo de investigadores de seguridad de Google, ha descubierto un fallo en los microcontroladores PSP de AMD que permitiría a un atacante remoto ejecutar código arbitrario.

Image may be NSFW.
Clik here to view.


AMD Secure Procesor o AMD PSP (Platform Security Processor) es un microcontrolador incluido en los procesadores AMD dedicado entre otras cosas a gestionar la seguridad de los procesos.

Image may be NSFW.
Clik here to view.

La vulnerabilidad permitiría a un atacante remoto ejecutar código arbitrario debido a un error de validación en el código del firmware del módulo TPM (Módulo de plataforma confiable)

Para ello, el atacante podría utilizar un certificado especialmente manipulado que provocara un desbordamiento de la pila en la función 'EkCheckCurrentCert'. Esta función es llamada a través de otra: 'TPM2_CreatePrimary', que no comprueba si la longitud de los certificados (EK) está dentro de los límites, lo que podría provocar el desbordamiento de la pila:

NESTED_CERT_DATA1 = '\x03\x82\x07\xf0' + 'A * 0x7f0
NESTED_CERT_DATA2 = '\x03\x82' + pack('>H', len(NESTED_CERT_DATA1)) +
NESTED_CERT_DATA1
CERT_DATA = '\x03\x82' + pack('>H', len(NESTED_CERT_DATA2)) +
NESTED_CERT_DATA2

En esta prueba de concepto se consigue el control total del contador de programa:

EkCheckCurrentCert+c8    : B               loc_10EE4
EkCheckCurrentCert+60    : LDR             R4, =0xB80
EkCheckCurrentCert+62    : ADDS            R4, #0x14
EkCheckCurrentCert+64    : ADD             SP, R4
EkCheckCurrentCert+66    : POP             {R4-R7,PC}
41414140                 : ????
|
R0=ff,R1=f00242c,R2=f001c24,R3=824,R4=41414141,R5=41414141,R6=41414141,R7=41414141,PC=41414140,SP=f003000,LR=11125

La vulnerabilidad fue debidamente notificada a AMD y corregida en una actualización de la BIOS.


Francisco Salido
fsalido@hispasec.com

Más información:

AMD-PSP: fTPM Remote Code Execution via crafted EK certificate
http://seclists.org/fulldisclosure/2018/Jan/12

Secure Hardware and the Creation of an Open Trusted Ecosystem
https://classic.regonline.com/custImages/360000/369552/TCC%20PPTs/TCC2013_VanDoorn.pdf






Un fallo en el wallet Electrum podría permitir la sustracción total del mismo

January 9, 2018, 11:00 pm
$
0
0
Ha sido publicada una vulnerabilidad en el wallet Electrum que podría permitir a una página maliciosa realizar mediante javascript una conexión RPC al interfaz Electrum. Este fallo podría permitir el robo de información de transacciones, la modificación de configuración y en caso de no tener password la sustracción total del wallet.


Image may be NSFW.
Clik here to view.


El vector de ataque más común es el acceso http a localhost, este tipo de conexiones son bloqueadas por los navegadores modernos, por ello sería más habitual la explotación de electrum server en casos en que el atacante tenga acceso directo a localhost, como un hosting compartido. Las versiones afectadas van desde la 2.6 de noviembre de 2015, hasta las más actuales. El bug ha sido corregido en la versión 3.0.5.

Se han detectado también escaneos buscando electrum server en hostings compartidos, especial atención con electrum server, sobretodo en hostings compartidos.

La recomendación es actualizar a la 3.0.5, aunque para los más paranoicos, sería recomendable generar un nuevo wallet en la 3.0.5 y transferir allí los activos, por si se descubren otros vectores de explotación.


Angel López
@alopezcrypto


Más información:

Referencias:






Vulnerabilidades en NAS Western Digital MyCloud

January 11, 2018, 1:00 am
$
0
0
Desde Gulftech se ha liberado el estudio sobre un conjunto de vulnerabilidades en la conocida familia de servidores NAS, Western Digital MyCloud. La más grave, permitiría tomar el control del dispositivo al aprovechar varias vulnerabilidades en el servicio HTTP de administración remota, alertándose además de un backdoor presente en el firmware y no documentado, entre otros impactos.
Image may be NSFW.
Clik here to view.
Según las investigaciones llevadas a cabo por Gulftech en junio del pasado año, y coordinadas después con el fabricante para la publicación del parche, los dispositivos se verían afectados por las siguientes vulnerabilidades:

  • Salto de restricciones que permitiría subir ficheros al dispositivo (CVE-2017-17560) :
Existirían unas incorrectas políticas de seguridad en el fichero "web/pages/jquery/uploader/multi_uploadify.php" al utilizar la función php "gethostbyaddr". Un atacante remoto con una petición especialmente manipulada, podría subir ficheros al dispositivo sin autenticarse; por ejemplo, una webshell al servidor NAS. Existen exploits disponibles que aprovechan esta vulnerabilidad, ya que fue también descubierta por el grupo Exploiteers en junio de 2017, los cuales publicaron un PoC y se ha adaptado a Metasploit. 

  • Cuenta de administración remota no documentada "mydlinkBRionyg":
Tras realizar un reversing a los módulos cgi del dispositivo, se descubrió que existía un usuario de administración remota activo y no documentado. Este 'backdoor' se localizaba en el cgi "/cgi-bin/nas_sharing.cgi" y acepta como login válido al usuario "mydlinkBRionyg" con password "abc12345cba"

if (!strcmp(v3, "mydlinkBRionyg") && !strcmp((const char *)&v9, "abc12345cba") )

  • Otras vulnerabilidades:
El resto de vulnerabilidades reportadas, aunque requerirían autenticación en el servidor, facilitarían ataques de tipo XSRF, ya que virtualmente la protección no estaría activa. Llamadas del tipo:

http://wdmycloud/web/dsdk/DsdkProxy.php?;rm -rf /; 

Permitirían eliminar el contenido del sistema si un usuario autenticado lo visitara. Otras vulnerabilidades comentadas en el reporte son, la inyección de código, denegaciones de servicio o la revelación de información sensible del dispositivo.

Finalmente, el análisis concluye que la elección del nombre de usuario "mydlinkBRionyg" no es casual, ya que se determina que esta familia de dispositivos de Western Digital comparte código con el fabricante D-Link, tras analizar el firmware del modelo DNS-320L ShareCenter, aunque estos no se vean, por el momento, afectados. 

Parches y contramedidas disponibles

Las vulnerabilidades han sido corregidas por el fabricante en su versión 2.30.174 del firmware, según el reporte oficial, aunque existen avisos en los foros de Western Digital, alertando que algunas de ellas todavía seguirían activas tras aplicar el firmware. 

Por ello el fabricante ha declarado que en determinadas versiones (2.xx del firmware) y configuraciones (configuración por defecto, port forwarding y/o Dashboard Cloud Access activado) se deberían desactivar dichas funcionalidades y esperar a una nueva actualización.

Los dispositivos vulnerables y sus versiones serían: 

MyCloud <= 2.30.165 
MyCloudMirror <= 2.30.165 
My Cloud Gen 2 
My Cloud PR2100 
My Cloud PR4100 
My Cloud EX2 Ultra 
My Cloud EX2 
My Cloud EX4 
My Cloud EX2100 
My Cloud EX4100 
My Cloud DL2100 
My Cloud DL4100 


José Mesa
@jsmesa


Más información:

WDMyCloud Multiple Vulnerabilities 
http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125 

Western Digital My Cloud Update 
https://blog.westerndigital.com/western-digital-cloud-update/ 

Multiple serious vulnerabilitys including Backdoor etc. as disclosed by gulftech.org 
https://community.wd.com/t/multiple-serious-vulnerabilitys-including-backdoor-etc-as-disclosed-by-gulftech-org/219436/5

CVE-2017-17560 Detail
https://nvd.nist.gov/vuln/detail/CVE-2017-17560 

Western Digital MyCloud - 'multi_uploadify' File Upload (Metasploit) 
https://www.exploit-db.com/exploits/43356/ 

Exploiteers DEFCON25 - WD MyCloud
https://www.exploitee.rs/index.php/Western_Digital_MyCloud#.2Fjquery.2Fuploader.2Fmulti_uploadify.php_.28added_08.2F06.2F2017.29
https://download.exploitee.rs/file/generic/Exploiteers-DEFCON25.pdf 
Search

macOS High Sierra y las contraseñas ignoradas

January 12, 2018, 12:30 am
$
0
0
Se ha descubierto una nueva vulnerabilidad en macOS High Sierra, que permite acceder a una parte de las preferencias del sistema con cualquier contraseña


Image may be NSFW.
Clik here to view.


Probabablemente una de las vulnerabilidades más sencillas de reproducir. Basta con tener el sistema operativo macOS en su versión 10.13.2, haber iniciado sesión desde una cuentra de administrador local y seguir los siguientes pasos:

  • Abrir el panel de preferencias de la App Store desde Preferencias del Sistema
  • Haz click en el candado para desbloquear el panel
  • Introduce cualquier contraseña

El resultado es ciertamente alarmante: El panel se encuentra desbloqueado como si se hubiese introducido la contraseña correcta, y se puede cambiar cualquier opción de este panel. De entre todas las opciones disponibles, es particularmente peligroso poder desactivar las actualizaciones del mismo sistema operativo:

Image may be NSFW.
Clik here to view.

La única pega es que, como hemos indicado antes, debemos tener el rol de administrador. También deberíamos tener en cuenta que la protección del candado que permite bloquear y desbloquear las acciones sobre este panel en concreto se implementó hace pocas versiones. La cosa es que no es la primera vez en los últimos meses que Apple comete un fallo "tonto" en el manejo de contraseñas en las interfaces gráficas principales de macOS. Desde mostrar la contraseña de un volumen cifrado en la pista de contraseña hasta sobreescribir directamente la contraseña de administrador (root) sin más.

La forma de corregir esta vulnerabilidad es esperando a que salga la versión 10.13.3 en los próximos días, ya que esta vulnerabilidad está corregida en la última beta de esa versión.



Carlos Ledesma
cledesma@hispasec.com


Más información:

macOS High Sierra's App Store System Preferences Can Be Unlocked With Any Password
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/

AppStore Preferences lock is a lie
https://openradar.appspot.com/36350507

El nuevo sistema operativo macOS 'High Sierra' se estrena con una grave vulnerabilidad
http://unaaldia.hispasec.com/2017/10/el-nuevo-sistema-operativo-macos-high.html

Página web de Blackberry hackeada para minar criptomonedas

January 14, 2018, 1:00 am
$
0
0
El código usado para este incidente ha sido del servicio de scripts de minería CoinHive.

Image may be NSFW.
Clik here to view. Resultado de imagen de monero coinhive
Logo de la empresa CoinHive y de la criptomoneda Monero.

Que las criptomonedas están ganando popularidad día a día es un hecho. Tanto es así que ha habido numerosos casos de webs vulneradas para minar criptomonedas ilegalmente, el último caso es el de la empresa de telefonía Blackberry.

El atacante habría entrado en la web de la conocida marca de teléfonos para usar los recursos de sus visitantes para minar. En este caso, la moneda en cuestión que se estuvo minando fue Monero.

La empresa CoinHive, autora del código usado para minar en la web, explica en el foro de Reddit que había una vulnerabilidad en el software de la tienda de Blackberry, la cuál fue explotada por el atacante. Tras el descubrimiento de la ilegalidad, CoinHive ha cerrado la cuenta del usuario por violación de términos del servicio.

Segun explica la propia web de scripts, esa vulnerabilidad encontrada en la web de Blackberry ha sido utilizada para vulneras más webs.

Blackberry por su parte ya ha borrado el código y asegura que la web vuelve a ser segura de nuevo.

A medida que aumente el valor de las criptomonedas, esto va a ser más usual.


Daniel Púa
@acek_101
dpua@hispasec.com

Más información:

Infosecurity Magazine:







Una-al-mes Mission 003. ¡Comenzamos 2018 con fuerzas!

January 15, 2018, 1:00 am
$
0
0
Le ponemos un poco más de dificultad a esta tercera entrega.

Image may be NSFW.
Clik here to view.


De nuevo daros las gracias a todos los que apoyáis este proyecto, ya que nos dais las fuerzas y las ganas para seguir adelante.

Recordaros que tenéis un grupo de telegram para todo el que quiera resolver dudas, mandar sugerencias, etc.

https://t.me/joinchat/AKWAVkxjj1GTE_cvkvQvIQ

Como siempre, ya sabéis que cuando resolváis el reto debéis de enviar la flag con el write-up de la misma al correo unaalmes@hispasec.com.

Igualmente, también podéis recibir soporte en esa dirección pero para una respuesta más rápida se recomienda el grupo de telegram arriba mencionado y hablarle a alguno de los administradores disponibles. Mario Parra y Daniel Púa somos los encargados de resolver las dudas.

Al finalizar los 7 días que estará abierto el reto, se creará una entrada en la web del laboratorio de Hispasec con la resolución del mismo y los tres primeros participantes en haberlo resuelto. Acordaos de incluir vuestro nombre y perfil de Twitter si queréis que este sea publicado.

En este tercer reto queremos darle las gracias especialmente a Daniel García (@daniel_gf3) por su colaboración en la realización del mismo.

El enlace al reto lo tenéis en el apartado "Más información" de esta misma página.

El formato de la flag sigue siendo UAM{...}.

¡Mucha suerte a todos!
Daniel Púa
@acek_101
dpua@hispasec.com

Más información:
Mission#003:






MaMi, el nuevo spyware para macOS

January 16, 2018, 4:34 am
$
0
0
Se ha descubierto un malware para macOS cuya característica principal es modificar los servidores DNS de la máquina infectada, y que incluye código con funcionalidades de espionaje


Image may be NSFW.
Clik here to view.
La maligna configuración de DNS's. Extraído de objective-see.com.


Patrick Wardle, un experto en seguridad informática con un currículo que incluye a la NSA y la NASA, ha descubierto un spyware para macOS gracias al reporte de un usuario en el foro de Malwarebytes. Este usuario reportaba que su compañera de trabajo había instalado algo por accidente, y tras ello su configuración de servidores DNS permanecía fija apuntando a direcciones IP no deseadas.

El malware, bautizado como OSX/MaMi debido a una de los cadenas usadas en el código fuente, tiene dos funciones principales que destacan: el secuestro de la configuración de los servidores DNS para que apunten a servidores controlados por el atacante y la instalación de un certificado raíz. Lo primero permite (entre otras cosas) que cuando la víctima quiera visitar "google.com", sea el atacante quien responda a qué servidor debe acudir la víctima para descargar esa página web (con lo cual puede responder que acuda a un servidor diseñado para robar información).


Image may be NSFW.
Clik here to view.
Uno de los puntos de descarga del malware. Extraído de objective-see.com.


En cuanto a la instalación de un certificado raíz, esto permite (si no existen medidas contra ello) que páginas web modificadas por el atacante aparezcan como legítimas cuando se usa HTTPS (el famoso "candadito verde"). Estas dos técnicas suelen ser usadas para llevar a cabo lo que se llama "ataque Man-in-the-Middle" (Hombre en medio). Con este ataque, el atacante puede modificar las webs a las que accede el usuario o robar información que circule entre la web y el usuario.

A pesar de que un ataque Man-in-the-Middle puede ser usado para inyectar anuncios en las páginas web que se visitan (produciendo un beneficio económico para el atacante), podemos afirmar con cierta seguridad que el objetivo principal es el espionaje. Básicamente, debido a que incluye funcionalidades como capturas de pantalla, descarga de archivos... Si bien es cierto que también incluye otras como simulación de ratón, ejecución remota de comandos y similares, usadas en herramientas de control remoto. Pero estas funcionalidades suelen introducirse en muchos tipos de malware, simplemente para que el atacante pueda realizar acciones manualmente en el ordenador infectado, si lo desea.


Image may be NSFW.
Clik here to view.
Nombres usados en la programación del malware. Extraído de objective-see.com.


En el análisis presentado por Patrick Wardle, se comenta que estas funcionalidades espía no parecen ser ejecutadas automáticamente en la infección. Esto puede ser porque el malware está programado para hacerlo pero por alguna razón no ocurriese, o porque realmente estas acciones están pensadas para ser usadas manualmente por el atacante. También se comenta en el análisis que no es detectado por ningún antivirus de los existentes en Virustotal (link del reporte), aunque a la hora de escribir este artículo ya es detectado por 26 de los 59 motores de detección presentes.

El vector de infección todavía es desconocido, y el autor del análisis apunta a que probablemente se usan métodos poco sofisticados como correos maliciosos, alertas falsas de seguridad en la web y otros métodos de ingeniería social enfocados a los usuarios de Mac. La forma de desinfectarse se resume a dos puntos, según el análisis: eliminar los servidores DNS que configuró el malware (82.163.143.135 y 82.163.142.137) y eliminar el certificado raíz de nombre "cloudguard.me". Si bien es cierto que en el reporte original en Malwarebytes el usuario se quejaba de que volvían a aparecer estos DNS's tras quitarlos... Cuando un usuario ha sido infectado por un malware que permite descargar más malware y no se sabe qué se ha ejecutado realmente, lo ideal es reinstalar el sistema operativo.

Finalmente, respecto al origen de este malware, Patrick lo relaciona con DNSUnlocker, un malware de 2015 que cambiaba los servidores DNS para introducir publicidad en las webs que visitabas. Se basa en que MaMi usa dos servidores DNS en un rango de red muy cercano al que usaba DNSUnlocker, y que instala el mismo certificado raíz, "cloudguard.me". Al ser éste último un malware para Windows, MaMi sería una versión para macOS de DNSUnlocker con funcionalidad específica para este sistema operativo.


Carlos Ledesma
cledesma@hispasec.com


Más información:

Analyzing a New macOS DNS Hijacker: OSX/MaMi

Variante de KillDisk afecta a entidades financieras de Latinoamérica

January 17, 2018, 12:30 am
$
0
0
Investigadores de Trend Micro han descubierto una nueva variante de KillDisk, un malware con capacidad para borrar por completo el disco duro de la máquina afectada.

Image may be NSFW.
Clik here to view.


Esta nueva variante simula ser un ransomware mostrando un mensaje a la víctima en la pantalla informando de que sus archivos han sido encriptados, cuando en realidad van a ser eliminados de forma permanente.


Infección

El malware llega al sistema a través de otra aplicación maliciosa, lo que se intuye de ciertas rutas hardcodeadas en el código del malware (c:\windows\dimens.exe).

Image may be NSFW.
Clik here to view.
Proceso de infección - Fuente: https://blog.trendmicro.com


KillDisk también cuenta con una funcionalidad de "autodestrucción", que en realidad lo que hace es renombrarse a sí mismo (c:\windows\0123456789). Esta cadena también aparece hardcodeada en la muestra analizada por Trend Micro.

Borrado de archivos

Esta nueva variante recorre todas las unidades lógicas, respetando ciertos directorios de la unidad que contiene el sistema operativo:

  • WINNT
  • Users
  • Windows
  • Program Files
  • Program Files (x86)
  • ProgramData
  • Recovery (case-sensitive check)
  • $Recycle.Bin
  • System Volume Information
  • old
  • PerfLogs

Antes de borrar un archivo se renombra aleatoriamente y se sobreescriben con ceros los primeros 0x2800 bytes del fichero.

Image may be NSFW.
Clik here to view.
Borrado de ficheros - Fuente: https://blog.trendmicro.com



Borrado de discos

El malware lee los registros de arranque desde el \\.\PhysicalDrive0 hasta \\.\PhysicalDrive4 y sobreescribe con ceros los primeros 0x20 sectores del MBR. Además utiliza la información contenida en este registro para dañar en lo posible la lista de particiones.
Image may be NSFW.
Clik here to view.
Lectura del MBR - Fuente: https://blog.trendmicro.com

Una vez borrados el MBR y los ficheros y directorios, KillDisk inicia un contador que reiniciará la máquina cuando llegue a cero. En concreto intentará terminar los siguientes procesos para forzar este reinicio:

  • Client/server run-time subsystem (csrss.exe)
  • Windows Start-Up Application (wininit.exe)
  • Windows Logon Application (winlogon.exe)
  • Local Security Authority Subsystem Service (lsass.exe)

Image may be NSFW.
Clik here to view.
Reinicio - Fuente: https://blog.trendmicro.com

Recomendaciones

Mantener el sistema y las aplicaciones actualizadas, así como hacer copias de seguridad de forma periódica, es la mejor medida para mitigar en lo posible este tipo de ataques.


Indicadores de compromiso


SHA256: 8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5



Francisco Salido
fsalido@hispasec.com

Más información:

New KillDisk Variant Hits Financial Organizations in Latin America:






Oracle corrige 237 vulnerabilidades en su boletín de enero

January 17, 2018, 11:57 pm
$
0
0
Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de enero. Contiene parches para 237 vulnerabilidades diferentes, en múltiples productos y de diferentes familias: algunas de ellas podrían permitir a un atacante remoto sin autenticar hacerse con el control del sistema en el caso de MySQL Enterprise Monitor, por ejmplo y llevar a cabo una denegación de servicio en MySQL Server.


Image may be NSFW.
Clik here to view.



Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:

  • Application Express, versiones anteriores a 5.1.4.00.08
  • Agile Material y Equipment Management for Pharmaceuticals, versiones 9.3.3, 9.3.4
  • Converged Commerce, versión 16.0.1
  • Hyperion BI+, versión 11.1.2.4
  • Hyperion Data Relationship Management, versión 11.1.2.4.330
  • Integrated Lights Out Manager (ILOM), versiones 3.x, 4.x
  • Java Advanced Management Console, versión 2.8
  • Java ME SDK, versión 8.3
  • JD Edwards EnterpriseOne Tools, versión 9.2
  • MICROS Handheld Terminal, versiones anteriores a BSP 02.13.0701 (070116)
  • MICROS Relate CRM Software, versiones 10.8.x, 11.4.x, 15.0.x
  • MICROS Retail XBRi Loss Prevention, versiones 10.0.1, 10.5.0, 10.6.0, 10.7.0, 10.8.0, 10.8.1
  • MySQL Connectors, versiones 5.3.9, 6.9.9, 6.10.4 y sus versiones anteriores.
  • MySQL Enterprise Monitor, versiones 3.3.6.3293, 3.4.4.4226, 4.0.0.5135 y sus versiones anteriores.
  • MySQL Server, versions 5.5.58, 5.6.38, 5.7.20 y sus versiones anteriores.
  • Oracle Access Manager, versiones 10.1.4.3.0, 11.1.2.3.0
  • Oracle Agile Engineering Data Management, PLM, PLM MCAD
  • Oracle Argus Safety, versiones 7.x, 8.0.x, 8.1
  • Oracle Autovue for Agile Product Lifecycle Management, versiones 21.0.0, 21.0.1
  • Oracle Banking Corporate Lending, versiones 12.3.0, 12.4.0
  • Oracle Banking Payments, versiones 12.3.0, 12.4.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Communications
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.2, 12.2.0.1
  • Oracle Directory Server Enterprise Edition, versión 11.1.1.7.0
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7
  • Oracle Endeca Information Discovery Integrator, versiones 3.1.0, 3.2.0
  • Oracle Financial Services
  • Oracle FLEXCUBE
  • Oracle Fusion Applications, versiones 11.1.2 hasta la 11.1.9
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 12.1.3.0, 12.2.1.2, 12.2.1.3
  • Oracle Health Sciences Empirica
  • Oracle Hospitality
  • Oracle HTTP Server, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0, 12.2.1.2.0, 12.2.1.3.0
  • Oracle Hyperion Planning, versión 11.1.2.4.007
  • Oracle Identity Manager
  • Oracle Internet Directory, versiones 11.1.1.7.0, 11.1.1.9.0, 12.2.1.3.0
  • Oracle iPlanet Web Server, versión 7.0
  • Oracle Java SE, versiones 6u171, 7u161, 8u152, 9.0.1
  • Oracle Java SE Embedded, versión 8u151
  • Oracle JDeveloper, versions 11.1.1.2.4, 11.1.1.7.0, 11.1.1.7.1, 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0, 12.2.1.2.0
  • Oracle JRockit, versión R28.3.16
  • Oracle Mobile Security Suite, versión 3.0.1
  • Oracle Retail Assortment Planning, versión 14.1.3, 15.0.3, 16.0.1
  • Oracle Retail Convenience y Fuel POS Software, versión 2.1.132
  • Oracle Retail Customer Management y Segmentation Foundation, versiones 10.8.x, 11.4.x, 15.0.x, 16.0.x
  • Oracle Retail Fiscal Management, versión 14.1
  • Oracle Retail Merchandising System, versión 16.0
  • Oracle Retail Workforce Management, versiones 1.60.7, 1.64.0
  • Oracle Secure Global Desktop (SGD), versión 5.3
  • Oracle Transportation Management, versiones 6.2.11, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6, 6.3.7, 6.4.1, 6.4.2, 6.4.3
  • Oracle Tuxedo System and Applications Monitor, versión 12.1.3.0.0
  • Oracle VM VirtualBox, versiones anteriores a 5.1.32, y 5.2.6
  • Oracle WebCenter Content, Portal, Sites y Server
  • Oracle X86 Servers, versiones SW 1.x, SW 2.x
  • OSS Support Tools, versiones anteriores a 2.11.33
  • PeopleSoft Enterprise FIN, FSCM, HCM, PRTL, SCM y PeopleTools
  • Primavera Unifier, versions 10.x, 15.x, 16.x, 17.x
  • Siebel Applications, versions 16.0, 17.0
  • Solaris, versiones 10, 11.3
  • Sun ZFS Storage Appliance Kit (AK), versiones anteriores a 8.7.13
A parte del listado comentado anteriormente, cabe destacar dos vulnerabilidades en el motor de base de datos MySQL:

La primera de ellas, CVE-2017-12617, para MySQL Enterprise Monitor, podría permitir a un usuario remoto sin autenticar hacerse con el control del sistema de base de datos.

La segunda de ellas, con el CVE-2018-2703, afectaría al plugin de autenticación sha256_password, y podría habilitar a un atacante remoto llevar a cabo una denegación de servicio en la fase de autenticación a través de un password especialmente grande.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial del boletín de Enero.



Más información:

Critical Patch Update - January 2018:
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html

My Oracle Support Note 209768.1 (Acceso para usuarios registrados): https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=209768.1

Credenciales por defecto en Intel AMT permiten obtener control total del equipo

January 13, 2018, 3:29 am
$
0
0
Llevamos solo dos semanas, pero a Intel ya se le está haciendo largo 2018. Mientras aún resuenan los ecos de Meltdown y Spectre, que creemos tardarán bastante en extinguirse, se descubre una nueva vulnerabilidad que afecta, esta vez en exclusiva, a sus productos.


Image may be NSFW.
Clik here to view.

En este caso se trata de un fallo en la tecnología 'Active Management Technology' (AMT), presente en equipos portátiles de gama corporativa. AMT es un acceso de administración remoto utilizado para administrar, mantener e inventariar el parqué de equipos de gama empresarial. Está presente en sistemas Intel vPro y en algunas estaciones de trabajo con procesadores de la familia Xeon.

Descubierto por la empresa finlandesa F-Secure en julio de 2017, el fallo se encuentra en una provisión incorrecta de fabrica de las credenciales de administración, y permite no solo el acceso administrativo al propio AMT, sino evitar además toda medida de seguridad adicional implementadas en el equipo (contraseñas de BIOS, sistema operativo, cifrado de disco), obteniendo acceso privilegiado al sistema de forma remota.

Al iniciar estos equipos de forma local, es posible acceder a la extensión para la BIOS de AMT antes de que cualquier credencial sea requerida (incluida la contraseña de BIOS). Una vez el sistema lo requiera, un usuario malintencionado puede acceder simplemente introduciendo la contraseña por defecto: admin.




A partir de aquí, se puede configurar el acceso remoto a través de AMT, desactivar el consentimiento del usuario y empezar a gestionar el sistema a través de VNC . Aunque por defecto está limitado a accesos desde la misma red cableada, se puede configurar la opción de hacerlo a través de la misma red Wi-Fi o incluso dirigir al usuario hacia un servidor externo controlado por el atacante, usando para ello 'Client Initiated Remote Access'CIRA.

A través de este acceso privilegiado, el atacante podrá leer y escribir cualquier fichero al que el usuario tenga acceso, además de ejecutar cualquier programa en su equipo.

Según F-Secure, este fallo no es una vulnerabilidad, si no un problema de configuración. Por ello, instan a seguir las buenas prácticas definidas por Intel para evitarlo. Guía que, por otro lado, parece no estar teniendo impacto real, ya que según su experiencia los equipos con AMT no están siendo configurados para garantizar la seguridad.

No es la primera vez que Intel se encuentra con problemas en AMT. El pasado mayo se publicó una vulnerabilidad que permitía a un atacante obtener privilegios del sistema a través de un fallo en el manejo de la autenticación a través de HTTP Digest.

Recordemos que, a pesar de que no se trata de una vulnerabilidad de software, las credenciales por defecto siguen siendo un grave fallo de seguridad (forman parte del OWASP Top-10 como "Security Misconfiguration"). En este caso, el problema obtiene aún más visibilidad debido a la delicada situación de Intel en las últimas semanas.



Francisco López
flopez@hispasec.com
Más información:

A Security Issue in Intel’s Active Management Technology (AMT):
https://youtu.be/aSYlzgVacmw


Explained — How Intel AMT Vulnerability Allows to Hack Computers Remotely:
Search

Nueva variante de Satori ataca a software de minado de criptodivisas

January 19, 2018, 3:25 am
$
0
0
En esta ocasión la botnet busca equipos con el software de minado Claymore para aprovechar una vulnerabilidad en el panel de gestión y cambiar el monedero asociado al del propio atacante.


Image may be NSFW.
Clik here to view.

Hace un mes hablábamos de Satori, una variante de la botnet Mirai que, a diferencia de esta, utilizaba vulnerabilidades en routers Huawei y otros dispositivos para extenderse. Los centros de control de la red zombie, en un esfuerzo conjunto de varios ISPs, fueron cerrados a mediados del pasado diciembre.

Sin embargo, la firma de seguridad Netlab.360 ha detectado un aumento de actividad similar a la de esta botnet, con el mismo esquema de ataque y nuevos servidores C&C. La diferencia es que esta vez sus objetivos no son solo los dispositivos de red e IoT.


Image may be NSFW.
Clik here to view.
Captura de código con el ataque al puerto 3333.

Esta nueva variante, bautizada como Satori.Coin.Robber, busca en la red equipos con el puerto 3333 abierto, que es utilizado por el software de minado de criptodivisas Claymore como acceso de gestión remota. Utilizando una vulnerabilidad en el panel, el malware cambia el pool de minado y el monedero al del atacante, en este caso:


Además, muy educadamente, el atacante deja un mensaje tranquilizador a la víctima: 


Satori dev here, dont be alarmed about this bot it does not currently have any malicious packeting purposes move along. I can be contacted at curtain@riseup.net

Así, el atacante ha podido ya obtener ya dos monedas Ethereum, con un valor de más de 2.000 dólares al cambio actual.

Aunque existen vulnerabilidades conocidas para Claymore que ya están solucionadas (CVE-2017-16929, por ejemplo), la botnet explota las versiones que por defecto no requieren contraseña para su administración, que es la configuración por defecto. 



Francisco López
flopez@hispasec.com
Más información:

Art of Steal: Satori Variant is Robbing ETH BitCoin by Replacing Wallet Address:
http://blog.netlab.360.com/art-of-steal-satori-variant-is-robbing-eth-bitcoin-by-replacing-wallet-address-en/





Vulnerabilidades en routers ASUS

January 20, 2018, 1:14 am
$
0
0
Se han dado a conocer múltiples vulnerabilidades en el firmware ASUSWRT de routers ASUS que podrían permitir adivinar el token de sesión, eludir restricciones de seguridad, obtener los credenciales del administrador y ejecutar código arbitrario sin necesidad de autenticación.

Image may be NSFW.
Clik here to view.
 
En total se trata de cuatro vulnerabilidades diferentes que explicaremos a continuación:

* CVE-2017-15654: Tokens de sesión predecibles

La primera de las vulnerabilidades se encuentra en la implementación de la función que genera el token de sesión para un usuario autenticado, que usa la función 'rand' para generar números aleatorios usando como semilla el reloj del dispositivo. Esto podría permitir a un atacante adivinar un token sabiendo aproximadamente el momento en el administrador ha iniciado sesión.

Para poder aprovechar esta vulnerabilidad es necesaria la interacción del administrador del dispositivo (debe iniciar una sesión en el router).

* CVE-2017-15653: Validación insuficiente de la dirección IP de usuario autenticado

El segundo de los problemas de seguridad consiste en la de falta de validación de la dirección IP del usuario autenticado cuando existe un token de sesión (es posible obtenerlo explotando la vulnerabilidad anterior y engañando al administrador para que inicie sesión). Esto podría permitir evitar restricciones de seguridad usando el token de sesión y un user-agent especial 'asusrouter-asusrouter-asusrouter-asusrouter'.

Image may be NSFW.
Clik here to view.
PoC CVE-2017-15653

* CVE-2017-15656: Contraseñas almacenadas en texto plano

Una tercera vulnerabilidad es debida al almacenamiento de las contraseñas en texto plano en la memoria NVRAM del dispositivo. Lo que permitiría obtener las credenciales del administrador ejecutando el comando 'nvram show' desde una sesión telnet o descargando un fichero con un volcado del contenido de la memoria y decodificándolo (ver la siguiente vulnerabilidad CVE-2017-15655).

Este fallo no ha sido solucionado por el momento. ASUS ha declarado que lanzará una actualización de ASUSWRT en febrero de este año en la que la NVRAM estará cifrada.

* CVE-2017-15655: Desbordamientos de memoria en el servidor HTTPd

Existen múltiples desbordamientos de memoria en cabeceras HTTP (como por ejemplo 'host') que podrían ser aprovechados por un usuario no autenticado para ejecutar código remoto con permisos de administrador. Este código se ejecutaría cuando el administrador visita determinadas páginas de la interfaz del router (por ejemplo, la pestaña de herramientas de red).

Siguiendo en la línea de las anteriores vulnerabilidades, se propone la siguiente prueba de concepto que realizaría un volcado de la memoria a un fichero descargable posteriormente (en el ejemplo 'nvram.css').

Image may be NSFW.
Clik here to view.
PoC CVE-2017-15655


Por último, existe una funcionalidad que permite a un usuario no autenticado obtener información sobre las sesiones actuales (si hay alguien conectado, quién es y su dirección IP). Esto, aun sin ser una vulnerabilidad, permitiría una explotación más fácil de los puntos anteriores.

Image may be NSFW.
Clik here to view.
PoC

Para terminar, Blazej Adamczyk alias 'br0x', el investigador de seguridad que descubrió estas vulnerabilidades ha liberado un exploit que las aprovecha para obtener un token válido y extraer las credenciales de acceso al dispositivo.

Estas vulnerabilidades fueron reportadas a ASUS en Septiembre de 2017 y han sido corregidas (excepto CVE-2017-15656) en la versión 3.0.0.4.382.18495 de ASUSWRT, aunque no se habían hecho públicas hasta el momento para permitir una ventana temporal para la la actualización de los dispositivos. Sin embargo existen routers afectados que se encuentran fuera de su ciclo de vida y no recibirán las actualizaciones de firmware necesarias (por ejemplo, los modelos RT-N65R y RT-N65U). En esos casos se recomienda restringir a la LAN el acceso a la administración del dispositivo.


Juan José Ruiz
jruiz@hispasec.com

Más información:

ASUS routers - part I (CVE-2017-15655):
http://sploit.tech/2018/01/16/ASUS-part-I.html

ASUS routers - part II (CVE-2017-15653, CVE-2017-15654, CVE-2017-15656):






Vulnerabilidad en Seagate Media Server permitiría el borrado aleatorio de ficheros y carpetas

January 21, 2018, 1:14 am
$
0
0
Un error en Seagate Media Server podría permitir la eliminación de contenido aleatorio por parte de usuarios sin autenticar.

Image may be NSFW.
Clik here to view.

Seagate Personal Cloud es una gama de dispositivos de almacenamiento conectado a la red (más conocidos como NAS, del inglés Network-Attached Storage) destinado a uso personal. Para permitir a los usuarios acceder fácilmente al contenido (películas, música, fotos, documentos, etc.) se incluye la aplicación Seagate Media Server. Además se posibilita el acceso a usuarios anónimos (sin autenticación) que, de manera predeterminada, pueden cargar ficheros en una carpeta pública del sistema.

La vulnerabilidad es debida a una falta de validación en la aplicación Seagate Media Server. Esta utiliza el framework Django y se han mapeado las extensiones 'psp' para que cualquier URL que termine con ella sea automáticamente procesado por la aplicación. Entre otras, las vistas 'delete' hacen uso de las extensiones ‘psp’, y además son accesibles por parte de cualquier usuario no autenticado.

Para aumentar la gravedad del asunto, Media Server se ejecuta con privilegios de root, por lo que prácticamente cualquier elemento del sistema de archivos podría verse afectado.

Además la aplicación carece de protección contra ataques CSRF y es accesible a través del dominio 'personalcloud.local', por lo que sería posible aprovechar este problema a través de un sitio web malicioso sin que sea necesario acceder directamente al NAS.

Se propone la siguiente prueba de concepto:

Image may be NSFW.
Clik here to view.
Prueba de concepto
Se ha corroborado el error en dispositivos con el firmware 4.3.16.0, aunque otras versiones podrían verse afectadas también. Seagate ha liberado la versión 4.3.18.0 del firmware que corrige este problema.

Según Seagate "Personal Cloud es un lugar extraordinario y seguro donde puede cargar y almacenar toda su música y sus películas favoritas junto con las fotos de toda una vida. Todo", sin embargo para evitar la posibilidad de sufrir la pérdida de contenido es recomendable aplicar las actualizaciones disponibles.


Juan José Ruiz
jruiz@hispasec.com

Más información:

Seagate Media Server allows deleting of arbitrary files and folders






El autor del troyano Exobot vende el código fuente

January 22, 2018, 2:38 am
$
0
0
Exobot es un troyano bancario para dispositivos Android. Cuando se conoció, se le dio el nombre de Marcher sin embargo ciertas características lo hacían distinguirse de él, entre ellas el ser capaz de renderizar overlays en versiones 6.0 de Android. Incluso el autor, lo quiso distinguir de Marcher llamándolo Exobot


Image may be NSFW.
Clik here to view.


Por lo general, este troyano se distribuía a través de markets externos y enlaces de phishing, además de SMS a través de las víctimas infectadas. Una vez la víctima estaba comprometida, el atacante podía interceptar los SMS de validación del banco y renderizar overlays sobre las aplicaciones objetivo.

El autor de Exobot lo alquilaba a los atacantes, los cuales nunca tenían acceso al código fuente. Para generar los troyanos, utilizaban un panel web donde podían configurar el troyano y estos debían ingeniárselas por su cuenta para infectar a las víctimas. Este ecosistema se ha dilatado a lo largo del tiempo, por lo que muy probablemente fuese un buen negocio para el autor. 

Sin embargo, recientemente el autor ha decidido cerrar el negocio de alquiler para pasar a vender el código fuente a un pequeño grupo de usuarios. Esto puede significar que el autor ha generado el suficiente dinero como para continuar arriesgando, o ha suscitado el interés de los organismos de la ley para ser investigado.

De momento, el código no ha sido filtrado pero se teme que acabe ocurriendo como con otros anteriores como MazarBot o Bankbot, los cuales han sido liberados al público para crear diferentes variantes con mejoras añadidas, y además haciéndolas accesibles a otros usuarios menos experimentados que quieran introducirse en la creación de este tipo de artefactos.

Tras la venta de este troyano, pronto se comenzaron a detectar nuevas campañas haciendo uso de este. Por tanto, podemos observar una clara relación entre su venta y el aumento de objetivos.

Para prevenir este tipo de infecciones, es ideal no descargar aplicaciones de markets externos, además de mantener las soluciones antivirus actualizadas. Por ejemplo, las aplicaciones infectadas que existan en el market de Google serán eliminadas automáticamente a través de Google Play Protect. 



Fernando Díaz
fdiaz@hispasec.com

Más información:

EXOBOT (MARCHER) - ANDROID BANKING TROJAN ON THE RISE:





Evrial, un troyano con capacidad para manipular tu portapapeles

January 23, 2018, 12:00 am
$
0
0
Evrial es un troyano diseñado para el robo de información en sistemas Windows. Como muchos otros tiene la capacidad de robar cookies y credenciales, pero la particularidad de esta nueva familia es que además puede acceder y manipular el portapapeles, pudiendo "secuestrar" transferencias de criptomonedas y redirigirlas a la cartera del atacante.


Image may be NSFW.
Clik here to view.



Descubierto por los investigadores @malwrhunterteam y @0x7fff9Evrial se anunciaba en foros por un precio que ronda los 25 dólares. 


Image may be NSFW.
Clik here to view.


Cuando se realiza el pago, el comprador recibe acceso a un panel web que permite al atacante configurar y compilar el ejecutable y recibir la información que recopila de las víctimas.

Image may be NSFW.
Clik here to view. Como comentábamos antes, Evrial tiene la capacidad de poder controlar el portapapeles de Windows, lo que permite detectar direcciones de carteras de bitcoin y reemplazarlas por una dirección arbitraria.


Image may be NSFW.
Clik here to view.
Detección de direcciones de 'wallets' para distintas criptomonedas


Image may be NSFW.
Clik here to view.
Reemplazando la cadena en el portapapeles


Además de esto también Evrial también tiene capacidad para:

  • Robar contraseñas almacenadas en el navegador
  • Robar ficheros 'wallet.dat'
  • Robar credenciales de Pidgin y FileZilla
  • Robar cookies y otros documentos del escritorio
  • Hacer capturas de pantalla


IOCS

9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d
https://www.virustotal.com/en/file/9edd8f0e22340ecc45c5f09e449aa85d196f3f506ff3f44275367df924b95c5d/analysis/1516121833/


Francisco Salido
fsalido@hispasec.com

Más información:

Evrial Trojan Switches Bitcoin Addresses Copied to Windows Clipboard:






Viewing all 3802 articles
Browse latest View live
Search