domingo, 2 de diciembre de 2018

Noticias de seguridad del mes de noviembre

Como ya empecé con el resumen de las noticias más destacadas de octubre, en este post vamos a ver cuáles han sido las noticias más destacadas del pasado mes de noviembre. Ha sido bastante complicado, pero supongo que será porque aún estoy empezando con esta sección en el Blog, así que imagino que conforme vaya cogiendo experiencia, esta sección irá mejorando.



4 noviembre

1. Ciberterroristas vulneran la seguridad de una fábrica nuclear y las cámaras de una prisión en Francia. No se ha especificado bien cómo, pero por lo visto un grupo de cibercriminales ha accedido a un servidor del cual han obtenido más de 11000 archivos de una fábrica nuclear, la posición de las cámaras de seguridad de una prisión de alta seguridad (sí, es bastante irónico) e información personal de los trabajadores. Más de 65 GB de información. Ni que decir tiene, que esto supone un gran problema y que denota una vez más la poca cultura en materia de seguridad que hay a nivel global.

2. Una nueva vulnerabilidad llamada PortSmash vuelve a afectar a Intel. Este fallo de seguridad permite a un atacante acceder a los datos cifrados de los procesos internos de la CPU utilizando un slide-channel. Para efectura el ataque se lanza un proceso malicioso junto a otros procesos normales utilizando para ello la capacidad de los procesadores de ejecutar subprocesos de forma paralela que permiten la tecnología HyperThreading. Este proceso malicioso lo que hace es filtrar pequeñas cantidades de datos del proceso objetivo. Así pues, con esos pequeños datos del proceso objetivo, se ha realizado un pequeño cifrado de esos datos entre el proceso malintencionado y el objetivo, por lo que con la cantidad suficiente de datos obtenidos de ese filtrado, un atacante podría reconstruir la información como si fuese un puzzle.

8 noviembre

1. Ataque DDoS deja sin Internet a Camboya. Varios ISPs de Camboya como son EZECOM, SINET, TelcoTech y Digi han sufrido ataques DDoS que han dejado sin Internet a varios de sus clientes en Camboya. El ataque duró hasta medio día y lo gracioso de todo esto es que compañías como la de EZECOM ofrecía soluciones contra ataques DDoS.

No creo que haga falta explicarlo, pero un DDoS a un ISP es el ataque que puede acabar con internet, ya que estaría atacando a DNS, y es esto mismo lo que nos permite navegar por Internet. Cuando visitamos una página, lo que estamos haciendo realmente es visitar un documento dentro de un ordenador, por lo que nos conectamos a ese ordenador a través de la IP y el puerto, pero claro, dile tú a mi madre que para conectarse a la web de recetas de cocina que visita siempre no lo haga en recetasdelamamademanu.com, sino a 213.44.51.89:80 o 213.44.51.89:443 si quiere conectarse bajo SSL. La colleja que me mete se escucha hasta en la China. Para eso, utilizamos DNS, y si los ISPs, que son los que posibilitan que un ordenador tenga su propio dominio, cae; todo Internet cae.



2. Cibercriminales coreanos roban millones en cajeros de todo el mundo. Un grupo de cibercriminales han robado dinero en cajeros de 23 países distintos. Para esto, según se asegura, los cibercriminales entraban a la red del Banco y después interactuaban con las máquinas encargadas de la transferencia. Es decir, si tenemos en una máquina dentro del banco, una Base de Datos que se encargue de, una vez insertada la tarjeta de crédito, verificar esos datos + PIN en su Base de Datos, y si es correcta la autenticación, solicitar cuánto dinero quiere solicitar, les bastaría con, en esa máquina de Bases de Datos, modificarla para que, insertes lo que insertes, valide el login.

3.   2 CVEs que expone datos de chips Bluetooth. La primera vulnerabilidad bajo CVE-2018-16986, afecta a múltiples puntos de acceso Wi-Fi de Cisco y Meraki. Esta vuln aprovecha un fallo de los chips Bluettoth TI CC2640 y CC2650 a la hora de analizar los datos entrantes. En esencia, esta vulnerabilidad provoca un buffer overflow que podría permitir a un atacante ejecutar código malicioso. Para esta primera vulnerabilidad se necesita estar a una determinada distancia física del dispositivo, pero una vez que se tiene acceso al dispositivo, se puede instalar una backdoor que permita tener acceso remoto al atacante siempre que se quiera.

La segunda vulnerabilidad bajo CVE-2018-7080, afecta a los chips TI CC2642R2, CC2640R2, CC2640, CC2650, CC2540 y CC2541, CC2640R2, CC2640, CC2650, CC2540 y CC2541CC. Vamos, a la polla de chips. Polla como unidad de medida. Esta vulnerabilidad lo que permite a un atacante es enviar una actualización maliciosa al punto de acceso seleccionado y obtener el control del dispositivo.

9 noviembre

1. Descubierto 0-day en VirtualBox. Sobre esto no voy a hablar porque ya lo hizo mi amigo Dani Púa en Una al Día. Lo explicó genial, por lo que sobran las palabras.

10 noviembre

1. El gobierno chino redirigió tráfico estadounidense a China. Según aseguró la Naval War Colleague, el Gobierno chino secuestró las rutas BGP para redirigir el tráfico americano a china.

Decir que BGP es un protocolo importante en Internet, ya que es el protocolo que se utiliza para el intercambio de información de enrutamiento entre los proveedores de servicios registrados en Internet.

Y es que Internet se basa en la interconexión de muchas redes, por lo que en los routers frontera de cada una de esas redes, funciona BGP, encargado de encaminar el tráfico por una u otra red dependiendo de cual sea el camino más corto. Así pues, el ataque parece claro, el ataque de sucuestro BGP ocurre cuando el router frontera anuncia una ruta hacia otra red, como ruta propia. Aquí se origina el error.



11 noviembre

1. XSS persistente en Evernote permite ejecutar aplicaciones en Windows. Este fallo está cuando un usuario sube una imagen a una nota, y al cambiarle el nombre, lo cambia por código JavaScript, ese código se ejecuta. Así pues, se puede ejecutar un script en un servidor remoto que lea los ficheros en la máquina Windows del usuario que abra la nota en modo presentación. En las PoC se ha mostrado cómo se podría llegar a ejecutar la calculadora en Windows.

2. La criptobolsa Gate.io elimina el servicio StatCounter tras una violación de seguridad. Según como afirmó ESET, investigadores suyos han demostrado que atacantes han añadido un código malicioso que contenía "myaccount/withdraw/BTC" con la intención de sustituir la dirección destino de la transferencia de los Bitcoins por la de los usuarios de criptocambio con una dirección de los atacantes.


Como se ve, un ataque muy sencillo, pues simplemente es cambiar las direcciones de las transferencias al no existir ningún validador en los servicios de StatCounter.

3. Apache Struts 2.3.X vulnerable a fallo crítico de RCE. Se encontró una vulnerabilidad en la librería Commons FileUpload, una librería que se utiliza para agregar utilidades de carga de archivos a servelets y aplicaciones webs. La vulnerabilidad reside en la versión 1.3.3. La vulnerabilidad existe por un objeto Java que puede manipular para escribir o copiar archivos a discos en ubicaciones random.

13 noviembre

1. 63 flaws y 0-days encontrados en Windows. Vamos a coger fuerza, porque tenemos desde una vulnerabilidad bajo CVE-2018-8589 que está siendo explotada  en el componente Win32k. En caso de poder explotarse, podría permitir a un atacante ejecutar código arbitrario en modo kernel y escalar privilegios en versiones de Windows 7, Windows Server 2008 o Windows Server 2008 R2. También tenemos bajo CVE-2018-8584 una vulnerabilidad en el servicio de Windows ALPC. Esta vulnerabilidad permite una escala de privilegios quese puede lograr ejecutando una aplicación maliciosa que permita ejecutar código arbitrario. Otro RCE.

Como imagináis hay muchas otras vulnerabilidades, entre los que están el servicio de correo Outlook,Excel, PowerShell,.NET o Skype For Bussiness. Si queréis la lista completa, os he dejado este Google Excel donde tenéis el servicio afectado, su criticidad y el CVE asociado.

2. ElevenPaths descubre un gran fallo en Cisco Meeting. El martes 13 de noviembre fue el día de la mala suerte para  las empresas. Primero se encuentran 63 vulnerabilidades y 0-days en Windows afectando a servicios que son muy usados en empresas como son Outlook o Skype For Bussines, y ahora para organizar las meetings con Cisco Server, se encuentra que es vulnerable a ataques de fuerza bruta.

No puedo hablar mucho sobre esto, pero estoy preparando un post que publicaré con una serie de fallos. Ese post, en teoría, va a tardar. Si todo va como espero, en 2 años tendréis el post. Sí, 2 años.

Pero lo cierto es que en empresas grandes donde hay trabajadores en varios países, cuando se organiza una meeting, lo normal es utilizar estos servicios de Cisco para que, con una llamada, primero te pida introducir un número para el idioma, después # y finalmente un código a modo de password. Pues tú puedes probar con todos los códigos que quieras, no hay límite de intentos. Evidentemente, que no haya límite de intentos para adivinar una password que se basa únicamente en número, no es algo bueno, y menos si puedes entrar a una meeting de una empresa en la que se traten temas relativamente importantes.

3. Otro fallo en Facebook que provoca fuga de información de los usuarios. El fallo, tal y como demostró el investigador Ron Masas,  reside en Impreva, el cuál no tiene mecanismos de protección contra CSRF y por el que consigue, mediante una página web maliciosa, engañar al usuario para que visite esa página web mientras siguen logueados en su cuenta de Facebook. Esta página web malicosa contiene un JavaScript que se ejecuta en segundo plano una vez que el usuario ha hecho click.

El atacante busca algo en esa web y le devuelve si al usuario le gusta o no lo que haya buscado. Hay una PoC que demuestra que podemos obtener mucha información de un usuario con este mecanismo y más si montamos un buen esquema de ataque.




14 noviembre

1. Adobe saca su parche mensual con vulnerabilidades en Acrobat, Reader y Photoshop CC. No son fallos que impliquen RCE, pero sí que permiten un Information disclosoure. En primer lugar tenemos la vulnerabilidad que afecta a Flas Player, una vulnerabilidad bajo CVE-2018-15978 del tipo out-of-bounds. En Acrobat, la vulnerabilidad puede provocar una fuga de información de las contraseñas has NTLM. Finalmente, Photoshop CC  se ha visto afectado por una vulnerabilidad de information disclosure.

15 noviembre

1. Iphone X, Samsung Galaxy S9 y Xiaomi MI6, hackeados en Pwn2Own 2018.  Se ha conseguido, en iPhone X, salir de la sandbox y lograr una escala de privilegios para, en la PoC, recuperar una foto que había sido eliminada por el usuario. Intentaron demostrar otro bug en la banda base de iPhone, pero no lo lograron antes de que se le terminase el tiempo.

En Samsung Galaxy S9, seha encontrado un memory head overflow en el componente de banda base del teléfono. Además, otro equipo, logró explotar una vulnerabilidad en la que forzaban al Samsung Galaxy S9 bajo una WiFi con portal cautivo sin la autenticación del usuario. Por supuesto la red era maliciosa para instalar en el dispositivo una aplicación maliciosa.

En Xiaomi MI6 han explotado una vulnerabilidad utilizando el NFC del dispositivo para forzar a abrir mediante el touch-to-connect, el navegador del dispositivo y navegar a una web especialmente diseñada por el equipo que explotó esta vulnerabilidad.

2. El popular plugin AMP para Wordpress afectado por un XSS. Se ha encontrado una importante vulnerabilidad en el plugin AMP for Wordpress, el cuál es un acelerador de las páginas webs construidas con Wordpress en los móviles.

En la PoC que se ha mostrado, se podía ver cómo, desde un usuario sin privilegios, se escaneó la respuesta con BurpSuites y se añadió un campo action con un script que ejecutaba un alert y posteriormente haría una redirección. Aquí podéis ver el vídeo con la PoC.  Un gran fallo que un usuario sin privilegios pueda ejecutar código remoto.



16 noviembre

1. Gmail permite manipular el campo "From" de los correos. Se ha descubierto que en Gmail, un atacante podría manipular e incluso insertar un sender con comillas y así engañar a un usuario. Esto por supuesto facilita aún más los ataques de Phishing. Y es que el investigador qu eha reportado esto, se dio cuenta que recibía correos en un hilo de correos que a él no le sonaba haber enviado nunca, y así fue, como tirando del hilo y profundizando, descubrió esta importante vulnerabilidad que aún no ha corregido Google.

2. Siete nuevas variantes de Meltdown y Spectre.  Dieron mucho de que hablar los fallos de Meltdown y Spectre en enero de este año. Pues se ve que antes de terminar el año querían mejorar estos ataques sacando una nueva tanda por lo que se siguen viendo afectados Intel y AMD. Son 7 variantes de Meltdown y Spectre, los cuales parecen que todavía no han terminado de dar guerra a los procesadores modernos. Es el segundo fallo que afecta a procesadores de este mes, sin duda, mal mes y año en general para los procesadores.

17 noviembre

1. Firefox te avisará si navegas por webs que hayan sido hackeadas. Se ha asegurado que Firefox está preparando su navegador para que cuando visites una web, te salga un aviso en el que se informe al usuario de que esa web, fue, está o ha sido hackeada. Conforme lo leía me acordaba de HaveIBeenPwned, y es que Firefox va a utilizar precisamente HaveIBeenPwned como base de datos para poder así avisar a los usuarios. Una forma muy interesante de avisar a los usuarios.


18 noviembre

1. Múltiples vulnerabilidades en D-Link Central WifiManager. Se han publicado 3 vulnerabilidades que afectan a D-Link Central WifiManager, una herramienta que permite a los administradores de sistemas, administrar y gestionar de forma remota múltiples puntos de accesos inalámbricos.

La primera vulnerabilidad bajo CVE-2018-15515 permite ejecutar código arbitrario bajo SYSTEM a través de una librería DLL creada para tal efecto. Esta librería se puede renombrar mover al directorio CaptivePortal y reiniciar el servicio de portal cautivo para ejecutar el contenido de la librería DLL.

La segunda vulnerabilidad bajo CVE-2018-15516, permitiría realizar un ataque de rebote FTP para utilizar el comando PORT para escanear puertos utilizando el servidor FT vulnerable como intermediario.

Finalmente, la tercera vulnerabilidad bajo CVE-2018-15517 afecta a la función MailConnect. En teoría está destinada para validar conexiones SMTP, pero el ataque consiste en permitir conexiones TCP salientes a cualquier puerto en cualquier dirección IP, lo que permitiría ataques SSRF a través de peticiones como:

https://DIRECCION-IP/index.php/System/MailConnect/host/DIRECCION-IP-VICTIMA/port/secure/


19 noviembre

1. Una botnet IoT infecta a 100,000 routers para enviar spam. Se ha utilizado una vulnerabilidad en el protocolo UPnP en los chips Broadcom conocida desde el 2013 para infectar routers y enviar correos de spam. Esta vulnerabilidad es del tipo format string, lo que quiere decir que el atacante podrá obtener y modificar información contenida en la memoria del proceso. La vulnerabilidad, para ser más precisos, reside en la función SetConnectionType y que se puede acceder a través de una petición SOAP.

Si en el parámetro NewConnectionType se incluye una cadena de texto que incluya un especificador de formato (para las funciones de formato en C suelen venir precedidos por ‘%’, como por ejemplo: ‘%s’, ‘%d’, etc.), entonces ese especificador de formato será interpretado y utilizado por el programa. Esto permite a un atacante obtener información contenida en la memoria o modificarla

22 noviembre

1. Fuga "accidental" de contraseñas de Instagram. El mismo equipo de Instagram se ha dado cuenta  de un gran fallo de seguridad que permitía ver la contraseña en texto plano de los usuarios. Esto pasaba cuando te querías descargar el histórico, algo que con la GDPR es legal. Antes de descargártelo, Instagarm solicitaba la contraseña, pero la contraseña se almacenaba en texto plano en la URL y posteriormente se almacenaba en texto plano también en Facebook. Algo muy casual. El fallo ahora mismo está solucionado, pero sin duda un fallo muy casual.

27 noviembre

1. Módulo de nodeJS infectado para robar Bitcoins. La biblioteca Event-Stream es una herramienta para trabajar con flujos de datos. Pues a esta librería se le ha añadido código malicioso el 9 de septiembre, pero como uno de sus módulos estaba cifrado, pasó desapercibido por la mayoría de la comunidad hasta hace poco. Tras analizarlo se ha demostrado que el código estaba pensado para el robo de Bitcoins de la aplicación Copay.

Si queréis las referencias de todas las noticias, os he dejado un documento con las mismas. Consultádlo si queréis ampliar información o mirar otras noticias.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...