Noticias

Vulnerabilidades en vBulletin exponen más de 27 millones de cuentas

Hispasec - Fri, 26/08/2016 - 21:30
Más de 27 millones de cuentas de usuarios, la mayoría del dominio mail.ru, se han visto expuestas debido a vulnerabilidades no parcheadas en foros con software vBulletin.
vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.
En total se han visto afectadas más de 27 millones de cuentas de usuario a través de casi una docena de sitios web. La mayoría de las cuentas comprometidas, hasta 25 millones, están vinculadas a los foros de tres juegos (CFire, Parapa y Tanks) alojados bajo el dominio mail.ru. También se han visto expuestas, más de 190.000 cuentas de expertlaw.com y más de 100.000 cuentas en gamesforum.com.
Según el grupo LeakedSource en torno a la mitad de contraseñas han sido fácilmente obtenidas mediante herramientas de cracking, debido a que todos los sitios usan alguna variación de MD5 con o sin salt única. Algo que como ya hemos comentado no es nada recomendable.
"Not a single website used proper password
storage, they all used some variation of
MD5 with or without unique salts.
"
Entre los datos filtrados se encuentran nombres de usuario, direcciones de correo, contraseñas, números de teléfono, direcciones IP y cumpleaños.
Los dominios afectados han sido:
  • cfire.mail.ru
  • parapa.mail.ru
  • parapa.mail.ru (forums)
  • tanks.mail.ru
  • expertlaw.com
  • ageofconan.com
  • anarchy-online.com
  • freeadvice.com
  • gamesforum.com
  • longestjourney.com
  • ppcgeeks.com
  • thesecretworld.com (inglés)
  • thesecretworld.com (francés)
  • thesecretworld.com (alemán)

Todos los sitios comprometidos funcionaban con una versión sin parchear del software vBulletin, que permitía la realización de ataques de inyección SQL a través del complemento (add-on) incluido Forumrunner en versiones anteriores a la 4.2.2 o 4.2.3. La actualización estaba disponible desde mediados de junio. Una vez más, la importancia de mantener actualizado todo el software.
La compañía Funcom ha reconocidola intrusión y el compromiso de los datos de los usuarios de los foros TheSecretWorld.com, AgeofConan.com, Anarchy-Online.comy LongestJourney.com. Aunque confirman que el software se actualizó el día 19 de agosto no pueden determinar exactamente cuando se produjo la intrusión. Como medida de seguridad temporal Funcon ha reiniciado todas las contraseñas de estos foros.
No es la primera vez que algún tipo de vulnerabilidad en este popular gestor de foros expone las cuentas de los usuarios de un foro. En 2013 se anunció una intrusión en el servidor correspondiente a los foros de la comunidad de Ubuntu (ubuntuforums.org), también se habían sustraído cuentas de correos de los usuarios así como los hashes de las contraseñas de acceso a los foros. Incluso, el propio equipo de vBulletin se vio obligado a reconoceruna intrusión en su sitio oficial que comprometió hasta 480.000 cuentas de usuarios en un ataque combinado sobre la propia vBulletin.com y sobre el foro de Foxit Software.
Más información:
Leaked Source. Mail.ruhttps://www.leakedsource.com/blog/mailru
una-al-dia (02/02/2016) Los sitios web que no amaban a las contraseñashttp://unaaldia.hispasec.com/2016/02/los-sitios-web-que-no-amaban-las.html
Security Update for vBulletin 4http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/4345175-security-update-for-vbulletin-4
una-al-dia (31/07/2013) Crónica del ataque a los foros de Ubuntuhttp://www.hispasec.com/unaaldia/5394
una-al-dia (03/11/2015) Intrusión en los foros de vBulletin y Foxit Softwarehttp://unaaldia.hispasec.com/2015/11/intrusion-en-los-foros-de-vbulletin-y.html
Data Breach on Funcom Forumshttp://www.funcom.com/news/data_breach_on_funcom_forums



Antonio Roperoantonior@hispasec.comTwitter: @aropero



Categories: Seguridad

Apple publica iOS 9.3.5 tras el descubrimiento de un spyware

Hispasec - Thu, 25/08/2016 - 21:41
Apple acaba de publicar la versión 9.3.5 de iOS, su sistema operativo para dispositivos móviles. Está versión está destinada a solucionar tres vulnerabilidades 0-day empleadas por un software espía.
Los problemas fueron descubiertos hace 10 días, por investigadores de Citizen Lab (Munk School de la Universidad de Toronto) y la compañía Lookout. Se trata de tres vulnerabilidades, bautizadas como Tridente, que forman una cadena de ataques que pueden permitir evitar toda la protección del sistema iOS. Una combinación que canaliza un ataque desde un simple click a un enlace a la elevación de privilegios dentro del dispositivo.
Este "Tridente" de vulnerabilidades se ha empleado en un spyware conocido como Pegasus, desarrollado según sus descubridores por la organización israelí NSO Group, una empresa con productos similares a los ofrecidos por Hacking Team.Imagen de un folleto de NSO Group. Fuente: Citizen Lab
"Pegasus es altamente avanzado en su
uso de 0-days, ofuscación, cifrado y
explotación a nivel del kernel.
"
La cadena de vulnerabilidades funciona según la siguiente sucesión:
CVE-2016-4657: Un exploit para WebKit, que permite la ejecución del shellcode inicial cuando el usuario pulsa un enlace.CVE-2016-4655: Un exploit para saltar la protección Kernel Address Space Layout Randomization (KASLR) que permite al atacante calcular la localización del kernel en memoria. CVE-2016-4656: Vulnerabilidades a nivel del kernel iOS de 32 y 64 bits que permiten la ejecución de código en el kernel, empleadas para realizar un jailbreak del dispositivo y ejecutar software espía sin conocimiento del usuario.
La secuencia de ataque se realizaba mediante un clásico esquema de phishing: enviar un mensaje de texto, abrir el navegador, cargar una página, explotar las vulnerabilidades e instalar el software persistente para recopilar información. Todo ellos, realizado de forma invisible y silenciosa, de manera que las víctimas no llegan a saber que han sido comprometidos.
Según los investigadores de Lookout el software espía es altamente configurable, dependiendo del país de uso y el conjunto de características adquiridas por el usuario, podía permitir acceder a los mensajes, llamadas, correos electrónicos, registros y datos desde aplicaciones como Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, WeChat, SS, Tango y otras. El kit parece persistir incluso cuando el software del dispositivo se actualiza y podía actualizarse a sí mismo para reemplazar módulos o funcionalidades obsoletas.
El equipo de Citizen Lab ha rastreado los ataques a varios actores políticos de diferentes partes del mundo, mientras que Lookout se ha centrado en los detalles técnicos del malware, desde la cadena del exploit hasta su uso. Ambos grupos de investigadores han publicado completos, y muy interesantes, informes con análisis detallados de las vulnerabilidades, de cómo se han llevado a cabo los ataques y del software espía.
Esta nueva versión de iOS está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod touch de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
Este hallazgo nos permite comprobar el principio de "no hay sistema seguro". Quizás podemos encontrar más o menos malware orientado a una plataforma concreta. En Koodous, es continuo el crecimiento en volumen de detecciones de malware, algo que experimentamos a diario. Pero los exploits o vulnerabilidades no poseen una "plataforma preferente", todo aquello que ejecuta código es explotable. Ni iOS, ni Android ni lo que esté por llegar se libran.
Más información:
About the security content of iOS 9.3.5https://support.apple.com/es-es/HT207107
Sophisticated, persistent mobile attack against high-value targets on iOShttps://blog.lookout.com/blog/2016/08/25/trident-pegasus/
The Million Dollar Dissident: NSO Group’s iPhone Zero-Days used against a UAE Human Rights Defenderhttps://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/
Technical Analysis of Pegasus Spywarehttps://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf
una-al-dia (08/07/2015) Sombreros verdes y 400 gigas de carameloshttp://unaaldia.hispasec.com/2015/07/sombreros-verdes-y-400-gigas-de.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Corregidas vulnerabilidades en WordPress

Hispasec - Wed, 24/08/2016 - 23:00
Se ha publicado la versión 4.6 de WordPress que entre otras mejoras está destinada a solucionar dos vulnerabilidades, que podrían permitir la construcción de ataques cross-site request forgery o provocar condiciones de denegación de servicio.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
El primer problema, con CVE-2016-6896, podría permitir a un atacante remoto autenticado aprovechar un fallo de traspaso de rutas en la función "wp_ajax_update_plugin()" de "ajax-actions.php" para leer datos de "/dev/random/" y agotar la fuente de entropía y de esta forma evitar la ejecución de scripts PHP.
Por otra parte, con CVE-2016-6897, una vulnerabilidad de cross-site request forgery; que podría permitir a un atacante remoto sin autenticar realizar acciones como un usuario autenticado, si consigue que la víctima cargue una página html específicamente creada.
Además está versión contiene la corrección de otros fallos y múltiples mejoras no relacionadas directamente con problemas de seguridad.
Se recomienda la actualización de los sistemas a la versión 4.6 disponible desde: https://wordpress.org/download/
Más información:
Path traversal vulnerability in WordPress Core Ajax handlershttps://www.securify.nl/advisory/SFY20160701/path_traversal_vulnerability_in_wordpress_core_ajax_handlers.htmlhttps://sumofpwn.nl/advisory/2016/path_traversal_vulnerability_in_wordpress_core_ajax_handlers.html
WordPress 4.6 “Pepper”https://wordpress.org/news/2016/08/pepper/
Version 4.6https://codex.wordpress.org/Version_4.6


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Escalada de directorios en VMware vRealize Log Insight

Hispasec - Tue, 23/08/2016 - 23:00
VMware ha publicadouna actualización de seguridad para corregir una vulnerabilidad en VMware vRealize Log Insight, que podría permitir a un atacante acceder a archivos del sistema afectado.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. VMware vRealize Log Insight ofrece una gestión de registros heterogénea y escalable con paneles de gestión y análisis. Especialmente orientado a entornos de cloud con un gran número de registros y datos.
El problema, con CVE-2016-5332, afecta a vRealize Log Insight 2.x y 3.x y reside en un filtrado inadecuado de las entradas del usuario, que podría permitir escalar directorios y acceder a cualquier archivo del sistema afectado. Este tipo de problemas se produce generalmente al no filtrar correctamente cadenas "..\", permitiendo escapar del propio entorno de trabajo del producto y acceder a otros archivos del sistema.
VMware ha publicado la  versión vRealize Log Insight 3.6.0 que soluciona el problema. Disponible desde https://my.vmware.com/web/vmware/details?downloadGroup=VRLI-360&productId=598&rPId=12336
Más información:
VMSA-2016-0011vRealize Log Insight update addresses directory traversal vulnerability. http://www.vmware.com/security/advisories/VMSA-2016-0011.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Antiguos dispositivos Fortinet afectados por un exploit de Equation

Hispasec - Mon, 22/08/2016 - 23:55
Al igual que Cisco, Fortinet también ha reconocido que uno de los exploits publicados de Equation Group también afecta a algunos de sus dispositivos anteriores a agosto de 2012.
La compañía ha indicado en un aviso que el firmware FortiGate (FOS) con fecha anterior a agosto de 2012 se ve afectado por un desbordamiento de búfer en el tratamiento de cookies. Lo vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario y tomar el control de los dispositivos afectados.
Son vulnerables las versiones de FortiGate (FOS): 4.3.8 (y anteriores)4.2.12 (y anteriores)4.1.10 (y anteriores)El firmware FOS 5.x no se ve afectado.
Se recomienda a los usuarios de dispositivos Fortinet adquiridos con anterioridad a agosto de 2012 comprobar la versión de su firmware y actualizar la versión a la 5.x o a la 4.3.9 (o superior) en modelos no compatibles con FortiOS 5.x.
Fortinet también confirma que continúa la investigación para comprobar que no existen más dispositivos afectados. De momento todas estas informaciones no hacen sino incrementar el interés en torno al resto del material
Más información:
Cookie Parser Buffer Overflow Vulnerabilityhttp://fortiguard.com/advisory/FG-IR-16-023
una-al-dia (19/08/2016) A la venta el arsenal del Equation Grouphttp://unaaldia.hispasec.com/2016/08/a-la-venta-el-arsenal-del-equation-group.html
una-al-dia (20/08/2016) Dispositivos Cisco afectados por el arsenal de Equation Grouphttp://unaaldia.hispasec.com/2016/08/dispositivos-cisco-afectados-por-el.html



Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Mensajes más interesantes de la semana (15 - 21 Agosto)

PDA Expertos - Mon, 22/08/2016 - 07:00
El resumen semanal de los mejores posts en el Foro de PDAExpertos.com
Categories: PDA / PPC

Nuevas versiones de PHP corrigen múltiples vulnerabilidades

Hispasec - Sun, 21/08/2016 - 21:30
El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.
Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. Afectan a un gran número de componentes, que además del propio core, incluyen Bz2, Calendar, COM, CURL, DOM, EXIF, Filter, FPM, GD, Intl, mbstring, Mcrypt, Opcache, PCRE, PDO_pgsql, Reflection, SimpleXML, SNMP, SPL, SQLite3, Standard, Streams, XMLRPC, Wddx y Zip.
Entre los problemas corregidos cabe señalar múltiples desbordamientos de entero, inyección de datos en la sesión PHP, fugas de memoria, uso de memoria después de liberarla, desbordamientos de búfer o referencias a puntero nulo.
Se recomienda actualizar a las nuevas versiones 7.0.10y 5.6.25 desde http://www.php.net/downloads.php
Más información:
PHP 7 ChangeLoghttp://www.php.net/ChangeLog-7.php#7.0.10
Version 5.6.25http://www.php.net/ChangeLog-5.php#5.6.25


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Dispositivos Cisco afectados por el arsenal de Equation Group

Hispasec - Sat, 20/08/2016 - 22:00
Ya hemos comentadola publicación de un grupo de exploits empleado por Equation Group como una muestra de algo que se supone mucho más grande. Pero esa simple muestra incluía un exploit 0day que permitía la ejecución de código en dispositivos Cisco y que ha obligado a la compañía a actuar con carácter de urgencia.
Realmente entre el material filtrado se incluía código que explotaba dos vulnerabilidades en dispositivos Cisco ASA y firewalls Cisco PIX. Si bien una de ellas ya había sido corregida en 2011, aunque la compañía de San Francisco ha publicado un nuevo aviso para incrementar su visibilidad y asegurar que todos los usuarios con versiones de software afectadas puedan protegerse contra este grupo de exploits.
La nueva vulnerabilidad anunciada, considerada 0day, reside en un desbordamiento de búfer en el código del protocolo SNMP (Simple Network Management Protocol) del software Cisco Adaptive Security Appliance (ASA) que podría permitir a atacantes remotos sin autenticar ejecutar código arbitrario en el sistema. Se le ha asignado el CVE-2016-6366.
Afecta a los siguientes productos:
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module para Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 4100 Series
  • Cisco Firepower 9300 ASA Security Module
  • Cisco Firepower Threat Defense Software
  • Cisco Firewall Services Module (FWSM)*
  • Cisco Industrial Security Appliance 3000
  • Cisco PIX Firewalls

Funcionamiento del exploit
http://blogs.cisco.com/security/shadow-brokersSe ven afectadas todas las versiones de SNMP. El atacante deberá conocer el nombre de comunidad SNMP para explotar la vulnerabilidad.
En la actualidad Cisco confirma que está trabajando en actualizaciones para las versiones afectadas. Se recomienda a los administradores que solo usuarios de confianza tengan acceso a SNMP y monitorizar los sistemas afectados mediante el comando "snmp-server".Se debe seguir el capítulo SNMP de la Guía de configuración de Cisco ASA para configurar adecuadamente este protocolo en los dispositivos:http://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/monitor-snmp.htmlLos nombres de comunidad SNMP son como contraseñas, y deben recibir el mismo tratamiento que cualquier otra contraseña.

Por otra parte, una segunda vulnerabilidad que aunque ya fue corregida en 2011, por su gravedad y repercusión ha merecido su tratamiento como si fuera nueva. El problema, con CVE-2016-6367, reside en una vulnerabilidad en la interfaz de línea de comandos del software Cisco Adaptive Security Appliance (ASA) que a través de determinados comandos no válidos podría permitir a atacantes locales autenticados ejecutar código arbitrario en los sistemas afectados.
Se ven afectadas las versiones de software Cisco Adaptive Security Appliance (ASA) anteriores a la 8.4(3) en los siguientes productos:
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco PIX Firewalls
  • Cisco Firewall Services Module (FWSM)
Cisco ha publicado las versiones 8.4(3) y 9.0(1) que corrigen este problema.

Más información:
una-al-dia (19/08/2016) A la venta el arsenal del Equation Grouphttp://unaaldia.hispasec.com/2016/08/a-la-venta-el-arsenal-del-equation-group.html
The Shadow Brokers EPICBANANAS and EXTRABACON Exploits
http://blogs.cisco.com/security/shadow-brokers
Cisco Adaptive Security Appliance SNMP Remote Code Execution Vulnerabilityhttp://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
Cisco Adaptive Security Appliance CLI Remote Code Execution Vulnerabilityhttp://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

A la venta el arsenal del Equation Group

Hispasec - Fri, 19/08/2016 - 13:27
El día 13 de agosto una cuenta de twitter anunciaba a varios medios una subastamuy peculiar: todo el arsenal de exploits usado por Equation, grupo vinculado supuestamente a la NSA. Para dar credibilidad, parte de los archivos han sido publicados y hasta ahora los análisis de éstos parecen confirmar la veracidad de la información.
No nos engañemos, todos sabemos que hay una guerra fría entre naciones, hacktivistas y grupos independientes con sus propios intereses en la red. Los ataques son continuos entre unos y otros. No es una guerra visible, de titulares abriendo telediarios o material gráfico que muestre la parte más inhumana de nuestra humanidad. Sólo de vez en cuando la punta del iceberg asoma para recordarnos que el fuego cruzado de esa guerra se debate entre paquetes TCP y se usan armas compuestas de ceros y unos.

¿Quién o quiénes son The ShadowBrokers?
Poco se sabe de momento, no existen referencias en el pasado. El mismo día 13, la información sobre la subasta del material supuestamente extraído apareció simultáneamente en varios sitios de Internet. Nunca antes se ha tenido noticia de un grupo con dicho nombre.
Varias voces relacionan el grupo con Rusia en un imbricado juego político de venganzas y atribuciones.
8) Circumstantial evidence and conventional wisdom indicates Russian responsibility. Here's why that is significant:— Edward Snowden (@Snowden) 16 de agosto de 2016
¿Qué se está subastando?
¿Recordáis la revelación de documentos de Edward Snowden en 2013? Esta es una imagen de uno de los muchos documentos clasificados filtrados, observad la mención al nombre en clave BANANAGLE.
https://leaksource.files.wordpress.com/2013/12/nsa-ant-jetplow.jpg
Y aquíel supuesto código de la herramienta usado por Equation Group, parte de la muestra liberada como prueba por Shadow Brokers.
Luego si se demuestra que el conjunto de archivos subastados es legítimo y pertenece a Equation Group cerraría un círculo que lleva tiempo esgrimiéndose a base de teorías y confirmaría tanto la existencia del grupo, ya anunciadapor Kaspersky en 2015 cómo su enlace con la NSA.
Básicamente y como anunciábamos al comienzo, el grueso de los archivos contiene todo el código fuente y objeto de exploits, puertas traseras y otras muchas herramientas usadas en las operaciones de Equation Group. Sería un filtrado de proporciones gigantescas con un material sin precedentes que ya está empezando a generar parches para tapar los 0days de varios fabricantes. Estos exploits han sido analizados a partir de la muestra de archivos liberada por ShadowBrokers, una pequeña porción del resto que permanece cifrado.
¿Veremos el resto? Es una noticia viva. Actualmente el grupo mantiene una subasta en la que pide un millón de bitcoins a cambio del resto de archivos. No sabemos si es una estrategia geopolítica de cabeza de caballo o van en serio y se conformarán con una cantidad sensiblemente inferior.

¿Hay datos sobre cómo ha sido el supuesto hackeo?
Todo son especulaciones. ShadowBrokers no ha publicado ningún escrito que indique como ha realizado la filtración. Dentro de las hipótesis remarcables que están dejando las redes es la que tiene el propio Snowden 

The hack of an NSA malware staging server is not unprecedented, but the publication of the take is. Here's what you need to know: (1/x)— Edward Snowden (@Snowden) 16 de agosto de 2016o el seguidísimo "the grugq". 

This dump does not support the assertion that NSA was hacked. That sort of access is too valuable to waste for (almost) any reason.— the grugq (@thegrugq) 15 de agosto de 2016
Indica Snowden que es habitual el rastreo e infiltración en servidores de control y comando o proxies usados por las infraestructuras del malware que emplean en las operaciones de campo. Práctica común en cualquier bando, que permite extraer inteligencia toda vez que permite reforzar las defensas propias. Lo que sí se parece descartar es un ataque directo a la infraestructura de la NSA sino que habría sido sobre la usada por Equation Group.
En este sentido es una estrategia clásica de inteligencia (lo que hasta hace unas décadas se llamaba sin eufemismos mercantilistas: "espionaje"), dejar al enemigo actuar para aprender sobre sus movimientos, controlar sus pasos y avances e incluso inducirle al engaño aprovechando sus propios medios (ahora cuadra la ‘I’  de integridad de la triada CIA ¿eh? guiño, guiño).
Aun así, todo es teoría e hipótesis, nada hay confirmado, incluso hay quienno descarta una operación de bandera falsa. Lo dicho, todo por escribir.

¿Y ahora?
Posiblemente los nuevos análisis del material filtrado vayan regando de CVEs y parches los días venideros. Nos queda pendiente vigilar si el resto sería publicado de alguna forma o se trata de una desconcertante estrategia. 
Por supuesto ni que decir, si administras alguno de los dispositivos afectados por los exploits publicados toca parchear.
Más información:
The Shadow Brokers EPICBANANAS and EXTRABACON Exploitshttp://blogs.cisco.com/security/shadow-brokers
Cisco Event Response: Cisco ASA SNMP and CLI Remote Code Execution Vulnerabilitieshttp://tools.cisco.com/security/center/viewErp.x?alertId=ERP-56516

David Garcíadgarcia@hispasec.comTwitter: @dgn1729
Categories: Seguridad

Vulnerabilidades en IBM WebSphere Application Server

Hispasec - Thu, 18/08/2016 - 22:30
IBM ha publicado actualizaciones para corregir dos vulnerabilidades en IBM WebSphere Application Server que podrían obtener información sensible o evitar restricciones de seguridad.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
El primer problema, con CVE-2016-0377, podría permitir a un atacante obtener información sensible debido a la inadecuada configuración de la cookie CSRFtoken. Afecta a las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5. IBM ha publicado el APAR PI56917 para solucionar esta vulnerabilidad. http://www-01.ibm.com/support/docview.wss?uid=swg24042624
Por otra parte, con CVE-2016-0385, un desbordamiento de búfer que podría permitir evitar restricciones de seguridad y visualizar datos a los que no esté autorizado. El problema solo se produce en entornos con la propiedad HttpSessionIdReuse activa. Afecta a las versiones de WebSphere Application Server 7.0, 8.0, 8.5, 8.5.5, 9.0 y Liberty. IBM ha publicado el APAR PI60026para corregir este fallo. http://www-01.ibm.com/support/docview.wss?uid=swg24042636
Más información:
Security Bulletin: Information Disclosure in IBM WebSphere Application Server (CVE-2016-0377)http://www-01.ibm.com/support/docview.wss?uid=swg21980645
Security Bulletin: Bypass security restrictions in WebSphere Application Server (CVE-2016-0385)http://www-01.ibm.com/support/docview.wss?uid=swg21982588


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Cross-site scripting en Ruby on Rails

Hispasec - Wed, 17/08/2016 - 22:30
Se han publicado las versiones Rails 5.0.0.1, 4.2.7.1 y 3.2.22.3 de Ruby on Rails, que corrigen una vulnerabilidad que podría permitir a atacantes remotos construir ataques de cross-site scripting.
Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).
El problemacorregido, con CVE-2016-6316, reside en un posible cross-site scripting en Action View, debido a que un texto declarado como "HTML safe" cuando se pasa como un valor atributo a un tag helper no tendrá las comillas escapadas, lo que podría permitir un ataque XSS.
Por otra parte, la versión 4.2.7.1 también incluye la corrección de otra vulnerabilidad (con CVE-2016-6317) cuando Active Record se usa en combinación con el tratamiento de parámetros JSON. Debido a la forma en Active Record interpreta parámetros en combinación con la manera en que se analizan los parámetros JSON, un atacante podrá realizar consultas de bases de datos con 'IS NULL' o cláusulas where vacías. Este problema no permitirá al atacante insertar valores arbitrarios en una consulta SQL. Sin embargo, puede permitir la consulta para comprobar NULL o eliminar una cláusula WHERE.
Más información:
Rails 5.0.0.1, 4.2.7.1, and 3.2.22.3 have been released!http://weblog.rubyonrails.org/2016/8/11/Rails-5-0-0-1-4-2-7-2-and-3-2-22-3-have-been-released/
[CVE-2016-6317] Unsafe Query Generation Risk in Active Recordhttps://groups.google.com/forum/#!topic/ruby-security-ann/WccgKSKiPZA
[CVE-2016-6316] Possible XSS Vulnerability in Action Viewhttps://groups.google.com/forum/#!topic/ruby-security-ann/8B2iV2tPRSE

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Actualización del kernel para SuSE Linux Enterprise 11

Hispasec - Tue, 16/08/2016 - 22:30
SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise 11 destinado a solucionar tres vulnerabilidades que podrían permitir a un atacante provocar denegaciones de servicio o elevar sus privilegios en el sistema.
La actualización afecta a SUSE Linux Enterprise Software Development Kit 11-SP4, SUSE Linux Enterprise Server 11-SP4, Linux Enterprise Server 11-EXTRA y SUSE Linux Enterprise Debuginfo 11-SP4.
El primer problema, con CVE-2016-5829, son múltiples desbordamientos de búfer en la función hiddev_ioctl_usage en drivers/hid/usbhid/hiddev.c en el kernel de Linux, que permitirían a usuarios locales provocar como mínimo denegaciones de servicio. Por otra parte, con CVE-2016-4997, un error en la implementación setsockopt en el subsistema netfilter del kernel de Linux podría permitir a usuarios locales elevar sus privilegios o provocar denegaciones de servicio. Por último, con CVE-2016-4470, la función key_reject_and_link de security/keys/key.c del kernel de Linux no asegura la inicialización de determinadas estructuras de datos, lo que podría permitir a usuarios locales provocar denegaciones de servicio.
Además se han corregido otros ocho problemas no relacionados directamente con fallos de seguridad.
Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".
Más información:
SUSE-SU-2016:2018-1: important: Security update for the Linux Kernelhttp://lists.suse.com/pipermail/sle-security-updates/2016-August/002201.htmlhttp://lists.opensuse.org/opensuse-security-announce/2016-08/msg00027.html


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Actualizaciones para corregir dos vulnerabilidades en PostgreSQL

Hispasec - Mon, 15/08/2016 - 21:30
PostgreSQL ha publicado nuevas versiones para todas las versiones soportadas para solucionar dos vulnerabilidades que podrían ser empleadas para provocar condiciones de denegación de servicio o inyección de código. 
PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.
Esta actualización incluye correcciones para evitar una denegación de servicio por un fallo (CVE-2016-5423) en el tratamiento de determinadas expresiones CASE anidadas. Por otra parte, con CVE-2016-5424, una vulnerabilidad en el tratamiento de bases de datos y nombres de rol con caracteres especiales incrustados que podría permitir la inyección de código durante operaciones administrativas como pg_dumpall.
Además de estas vulnerabilidades se han solucionado múltiples problemas no relacionados directamente con la seguridad.
Se han publicado las versiones PostgreSQL 9.5.4, 9.4.9, 9.3.14, 9.2.18y 9.1.23disponibles desde: http://www.postgresql.org/download
Por otra parte se avisa que PostgreSQL versión 9.1 llegará a su final de soporte en septiembre de 2016. Solo se espera la publicación de una actualización más para dicha versión, por lo que se recomienda a los usuarios planear la actualización a una versión posterior tan pronto sea posible.
Más información:
2016-08-11 Security Update Releasehttps://www.postgresql.org/about/news/1688/
Release 9.5.4http://www.postgresql.org/docs/9.5/static/release-9-5-4.html
Release 9.4.9https://www.postgresql.org/docs/9.4/static/release-9-4-9.html
Release 9.3.14http://www.postgresql.org/docs/9.3/static/release-9-3-14.html
Release 9.2.18http://www.postgresql.org/docs/9.2/static/release-9-2-18.html
Release 9.1.23http://www.postgresql.org/docs/9.1/static/release-9-1-23.html


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Denegación de servicio en Cisco IOS XR

Hispasec - Sun, 14/08/2016 - 21:00
Cisco ha confirmadouna vulnerabilidad en routers Cisco ASR 9001 Aggregation Services con Cisco IOS XR que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio.
El problema, con CVE-2016-6355, reside en el tratamiento inadecuado de paquetes fragmentados específicamente creados dirigidos al dispositivo afectado. Un ataque exitoso podría provocar una fuga de memoria en el procesador de rutas del dispositivo que provocaría la caída de los paneles de control de protocolo y la consiguiente condición de denegación de servicio.
El problema afecta a Cisco IOS XR versions 5.1.x, 5.2.x y 5.3.x, en routers Cisco ASR 9001 Aggregation Services.
Se ha solucionado en la versión de Cisco IOS XR 5.3.3, con las siguientes Software Maintenance Updates (SMUs):asr9k-px-5.3.2.CSCux26791.pie para versiones 5.3.xasr9k-px-5.2.4.CSCux26791.pie para versiones 5.2.xasr9k-px-5.1.3.CSCux26791.pie para versiones 5.1.x
Más información:
Cisco IOS XR Software for Cisco ASR 9001 Aggregation Services Routers Fragmented Packet Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160810-iosxr


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Actualización para Adobe Experience Manager

Hispasec - Sat, 13/08/2016 - 22:30
Adobe ha publicado un boletín de seguridad para anunciar una actualización para solucionar cuatro vulnerabilidades importantes en Adobe Experience Manager que podrían provocar fugas de información o realizar ataques de cross-site scripting.
El boletín APSB16-27está destinado a solucionar cuatro vulnerabilidades en Adobe Experience Manager 5.6.1 y 6.x (para Windows, Unix, Linux y OS X); la solución de gestión de contenidos empresariales de Adobe que ayuda a simplificar la gestión y entrega de contenidos y activos.
Se solucionan dos problemas de validación de entradas que podrían permitir la realización de ataques de cross-site scripting (CVE-2016-4168 y CVE-2016-4170), una vulnerabilidad que podría permitir a usuarios sin privilegios acceder al registro de eventos (CVE-2016-4169) y una vulnerbailidad en la funcionalidad de Backup que podría permitir la fuga de información (CVE-2016-4253).
Adobe ha publicado las siguientes actualizaciones para cada una de las versiones afectadas:Para 5.6.1:Hotfix 10764 for 5.6.1Hotfix 10936 for 5.6.1Hotfix 10870 for 5.6.1
Para 6.0:Hotfix 10767 for 6.0Hotfix 10936 for 6.0Hotfix 10870 for 6.0
Para 6.1:Hotfix 9639 for 6.1
Hotfix 10768 for 6.1
Hotfix 10936 for 6.1
Hotfix 10870 for 6.1

Para 6.2:Hotfix 10956 for 6.2Hotfix 10936 for 6.2Hotfix 10870 for 6.2
Más información:
Security hotfixes available for Adobe Experience Managerhttps://helpx.adobe.com/security/products/experience-manager/apsb16-27.html




Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Vulnerabilidades en Joomla!

Hispasec - Fri, 12/08/2016 - 22:00
Se han anunciado tres vulnerabilidades en Joomla! que podrían permitir a atacantes remotos realizar ataques de cross-site scripting y cross-site request forgery o evitar las ACL. 
Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.
El primer problema reside en un filtrado inadecuado de los datos en el componente mail que podría permitir la realización de ataques de cross-site scripting, por otra parte errores en las comprobaciones de las listas de control de acceso (ACLs) en 'com_content' podrán permitir acceso de lectura a datos restringidos a usuarios con nivel edit_own. Estos dos problemas afectan a las versiones 1.6.0 hasta la 3.6.0. Por último, en Joomla! CMS 3.6.0 se ha mejorado la protección contra ataques de cross-site request forgery en com_joomlaupdate.
Se ha publicado la versión 3.6.1 disponible desde www.joomla.org
Más información:
Security Centrehttp://developer.joomla.org/security-centre.html



Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categories: Seguridad

Múltiples vulnerabilidades en Foxit Reader y Foxit PhantomPDF

Hispasec - Thu, 11/08/2016 - 22:00
Foxit ha corregido un total de 15 vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF que podrían permitir a un atacante provocar denegaciones de servicio, obtener información sensible o la ejecución de código arbitrario.
Foxit es un lector de PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDFs. Se encuentra disponible para sistemas operativos Windows y GNU/Linux, y en forma de plugin para navegadores web. Supone una alternativa más ligera y menos "atacada" al lector de Adobe.
Se ven afectados Foxit Reader 8.0.0.624 (y anteriores) para Windows, 2.0.0.0625 (y anteriores) para Mac OS X y 1.1.1.0602 (y anteriores) para Linux; y Foxit PhantomPDF 8.0.1.628 (y anteriores) para Windows.
Los problemas corregidos se deben a accesos fuera de límites en el tratamiento de TIFF, uso de memoria después de liberarla al tratar streams FlateDecode específicamente construidos, corrupción de memoria y accesos fuera de límites al tratar archivos JPEG2000, falsificación de dlls, Accesos fuera de límites al procesar archivos pdf con streams JPXDecode específicamente construidos, lectura fuera de límites al manejar archivos BMP especialmente construidos y vulnerabilidades de corrupción de memoria.
Los problemas han sido corregidosen las versiones de Foxit Reader 8.0.2 para Windows, Foxit Reader 2.1 para Mac/Linux y Foxit PhantomPDF 8.0.2.
Para actualizar las aplicaciones se puede realizar desde la pestaña "Help" de Foxit Reader o Foxit PhantomPDF, en la opción "Check for Update".O descargando las versiones actualizadas desde:https://www.foxitsoftware.com/downloads/#Foxit-Readerhttps://www.foxitsoftware.com/downloads/#Foxit-PhantomPDF-Business
Más información:
Security updates available in Foxit Reader for Windows 8.0.2, Foxit Reader for Mac/Linux 2.1, and Foxit PhantomPDF 8.0.2 https://www.foxitsoftware.com/support/security-bulletins.php#content-2016

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Microsoft publica nueve boletines de seguridad y soluciona 38 vulnerabilidades

Hispasec - Wed, 10/08/2016 - 22:00
Este martes Microsoft ha publicado nueve boletines de seguridad (del MS16-095 al MS16-103) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los avisos presentan un nivel de gravedad "crítico"mientras que los cuatro restantes son "importantes". En total se han solucionado 38 vulnerabilidades (algunas de ellas en varios productos). 
  • MS16-095: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona nueve nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2016-3288al CVE-2016-3290, CVE-2016-3293, CVE-2016-3321, CVE-2016-3322, CVE-2016-3326, CVE-2016-3327y CVE-2016-3329).
         
  • MS16-096: Boletín "crítico" que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan ocho vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-3289, CVE-2016-3293, CVE-2016-3296, CVE-2016-3319, CVE-2016-3322, CVE-2016-3326, CVE-2016-3327y CVE-2016-3329).
         
  • MS16-097: Destinado a corregir tres vulnerabilidades "críticas" en Microsoft Graphics Component, que podrían permitir la ejecución remota de código si se abre un documento o web específicamente creada. Afecta a todas las versiones soportadas de Microsoft Windows, a Microsoft Office 2007 y 2010, Skype for Business 2016 y Microsoft Lync 2013 y 2010. (CVE-2016-3301, CVE-2016-3303y CVE-2016-3304).
         
  • MS16-098: Boletín de carácter "importante" destinado a corregir cuatro vulnerabilidades en el controlador modo kernel de Windows que podrían permitir la elevación de privilegios (CVE-2016-3308 al CVE-2016-3311). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10.
         
  • MS16-099: Boletín "crítico" que soluciona cinco vulnerabilidades, la más grave de ellas que podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2016-3313, CVE-2016-3315 al CVE-2016-3318).
         
  • MS16-100: Boletín "importante" que resuelve una vulnerabilidad (CVE-2016-3320) que podría permitir evitar funciones de seguridad si un atacante carga un boot manager afectado por la vulnerabilidad. Afecta a Windows 8.1, Windows Server 2012 y Windows 10.     
  • MS16-101: Boletín de carácter "importante" destinado a corregir dos vulnerabilidades en los métodos de autenticación de Windows, que podrían permitir la elevación de privilegios si un atacante ejecuta una aplicación maliciosa en un sistema perteneciente a un dominio (CVE-2016-3237 y CVE-2016-3300).
         
  • MS16-102: Actualización considerada "importante" que resuelve una vulnerabilidad en la librería PDF, que podría permitir la ejecución remota de código si un usuario abre un documento PDF específicamente creado (CVE-2016-3319).
         
  • MS16-103: Boletín de carácter "importante" destinado a corregir una vulnerabilidad en Universal Outlook cuando falla al establecer una conexión segura. Un atacante podría emplear este fallo para obtener el nombre y contraseña de un usuario (CVE-2016-3312). 

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Microsoft Security Bulletin Summary for August 2016 https://technet.microsoft.com/library/security/ms16-aug
Microsoft Security Bulletin MS16-095 - CriticalCumulative Security Update for Internet Explorer (3177356)https://technet.microsoft.com/library/security/MS16-095
Microsoft Security Bulletin MS16-096 - CriticalCumulative Security Update for Microsoft Edge (3177358)https://technet.microsoft.com/library/security/MS16-096
Microsoft Security Bulletin MS16-097 - CriticalSecurity Update for Microsoft Graphics Component (3177393)https://technet.microsoft.com/library/security/MS16-097
Microsoft Security Bulletin MS16-098 - ImportantSecurity Update for Windows Kernel-Mode Drivers (3178466)https://technet.microsoft.com/library/security/MS16-098
Microsoft Security Bulletin MS16-099 - CriticalSecurity Update for Microsoft Office (3177451)https://technet.microsoft.com/library/security/MS16-099
Microsoft Security Bulletin MS16-100 - ImportantSecurity Update for Secure Boot (3179577)https://technet.microsoft.com/library/security/MS16-100
Microsoft Security Bulletin MS16-101 - ImportantSecurity Update for Windows Authentication Methods (3178465)https://technet.microsoft.com/library/security/MS16-101
Microsoft Security Bulletin MS16-102 - CriticalSecurity Update for Microsoft Windows PDF Library (3182248)https://technet.microsoft.com/library/security/MS16-102
Microsoft Security Bulletin MS16-103 - ImportantSecurity Update for ActiveSyncProvider (3182332)https://technet.microsoft.com/library/security/MS16-103


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Las vulnerabilidades QuadRooter afectan a más de 900 millones de dispositivos Android

Hispasec - Tue, 09/08/2016 - 20:30
Investigadores de Check Point han presentado un conjunto de cuatro nuevas vulnerabilidades que afectan a prácticamente todos los dispositivos del ecosistema Android. Hasta 900 millones de teléfonos y tabletas podrían verse afectados por estas nuevas vulnerabilidades, ya bautizadas como QuadRooter.
La culpa no siempre va a ser de GoogleQuadRooter (¡falta una web dedicada y logo!) es un conjunto de cuatro vulnerabilidades que afectan a dispositivos Android con el conjunto de chips de Qualcomm. Esta firma es el líder mundial de fabricantes de chipsets LTE, con un 65% del mercado. Basta con que un atacante explote alguna de las cuatro vulnerabilidades para que pueda elevar privilegios en el dispositivo y conseguir acceso root en el sistema.
Adam Donenfeld, investigador Senior de seguridad de Check Point, presentólas nuevas vulnerabilidades durante una conferencia en la última Def Con, que acaba de celebrarse. Su investigación, partía de la premisa de que Google no es el único en el que recae la carga de la lucha para proteger a Android. Qualcomm, como proveedor de la mayoría de los chipsets del ecosistema Android, tiene tanta responsabilidad como Google.
Según la firma, los últimos y más populares dispositivos Android del mercado actual usan los chipset de Qualcomm, como:
  • BlackBerry Priv
  • Blackphone 1 y 2
  • Google Nexus 5X, Nexus 6 y Nexus 6P
  • HTC One, HTC M9 y HTC 10
  • LG G4, LG G5 y LG V10
  • Moto X de Motorola
  • OnePlus One, OnePlus 2 y OnePlus 3
  • Samsung Galaxy S7 y Samsung S7 Edge
  • Sony Xperia Z Ultra
Un atacante podría aprovechar estas vulnerabilidades a través de una aplicación maliciosa, que sin necesidad de ningún permiso especial podría explotar los problemas sin levantar sospechas en el usuario.

Las vulnerabilidades residen en los controladores de Qualcommincluidos con sus chipsets. Estos drivers que se encargan de regular la comunicación entre los componentes del chipset son incluidos en las diferentes versiones de Android que los fabricantes desarrollan para sus dispositivos.
Como los controladores vulnerables están incluidos en los dispositivos desde el fabricante, las vulnerabilidades solo podrán corregirse mediante la instalación de un parche proporcionado por el mismo distribuidor o el fabricante. Que a su vez, solo podrán ofrecer las actualizaciones tras recibir los controladores corregidos por parte de Qualcomm.
Según ha confirmado Qualcomm recibió la notificación de los problemas en abril de 2016, en el mes de julio ya había distribuido los controladores actualizados a los fabricantes, que deberán ser ahora los encargados de distribuir las actualizaciones pertinentes a sus usuarios y distribuidores. Una vez más, los sistemas sin soporte se quedan desprotegidos.
El problema de la cadena de fabricantes, distribuidores
y operadoras, hasta llegar al usuario finalEsta situación pone de relieve los riesgos inherentes en el modelo de seguridad de Android. Actualizaciones de seguridad críticas deben pasar a través de toda la cadena de proveedores antes de que estar disponible al usuario final. Una vez disponibles, son los propios usuarios finales quienes deben instalar estas actualizaciones para proteger sus datos y dispositivos.
Cada una de las cuatro vulnerabilidades afecta a un módulo diferente, con impacto en todo el sistema Android del dispositivo:
  • IPC Router (comunicación entre procesos)
    El módulo ipc_router proporciona comunicación entre procesos para varios componentes Qualcomm, procesos en modo usuario y controladores de hardware.
  • Ashmem (Android Shared Memory)
    Es un driver que facilita el uso compartido de memoria entre procesos. Es el subsistema de asignación de memoria propietaria de Android que permite a los procesos compartir búfers de memoria de forma eficiente. Los dispositivos Android con chipsets Qualcomm usan un sistema ashmem modificado,
  • kgsl (kernel graphics support layer) y kgsl_sync (kernel graphics support layer sync)
    El componente GPU de Qualcomm kgsl es un controlador del núcleo que genera los gráficos mediante la comunicación con binarios en modo usuario. Aunque este controlador incluye muchos módulos, kgsl_sync es el responsable de la sincronización entre la CPU y las aplicaciones

De esta forma la primera de las cuatro vulnerabilidades, con CVE-2016-2059, afecta a IPC router y puede permitir convertir cualquier puerto en  un puerto de control. Con CVE-2016-5340, una vulnerabilidad en ashmem que podría permitir a un atacante montar su propio sistema de archivos, creando un archivo en el directorio raíz llamado "ashmem". El atacante podrá engañar al sistema para que crea que el archivo creado es realmente un archivo "ashmem", cuando en realidad puede ser cualquier archivo.
Por último, dos vulnerabilidades (con CVE-2016-2503 y CVE-2106-2504) por condiciones de carrera que pueden provocar un uso de memoria después de liberarla en KGSL.
Check Point ha publicado una aplicación que permite escanear cualquier dispositivo Android para determinar si está afectado o no por las vulnerabilidades. Disponible desde:https://play.google.com/store/apps/details?id=com.checkpoint.quadrooter
Por el momento y a la espera de parches para evitar estos problemas, que seguramente tardarán mucho en llegar a los usuarios, hay que recordar las recomendaciones habituales. Como instalar las actualizaciones de Android lo antes posible, comprobar cada aplicación que descarguemos (y los permisos que solicita) para comprobar que es legítima, descargar únicamente aplicaciones desde Google Play, usar redes WiFi confiables y usar soluciones de seguridad como Koodous.
Más información:
QuadRooterNew vulnerabilities affecting over 900 million Android deviceshttps://www.checkpoint.com/downloads/resources/quadRooter-vulnerability-research-report.pdf
QuadRooter: New Android Vulnerabilities in Over 900 Million Deviceshttp://blog.checkpoint.com/2016/08/07/quadrooter/
Stumping the Mobile Chipsethttps://www.defcon.org/html/defcon-24/dc-24-speakers.html#Donenfeld
Stumping the mobile chipsethttps://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEFCON-24-Adam-Donenfeld-Stumping-The-Mobile-Chipset.pdf

Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Actualización de seguridad para cURL y libcurl

Hispasec - Mon, 08/08/2016 - 22:00
Se han publicado tres boletines de seguridad del proyecto cURL para alertar de vulnerabilidades en la librería libcurl y en la propia herramienta curl, que podrían permitir a un atacante evitar restricciones de seguridad y comprometer los sistemas afectados.
cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.
El primer problema, con CVE-2016-5419, reside en que libcurl intenta reanudar una sesión TLS incluso si el certificado del cliente ha cambiado. Por otra parte, con CVE-2016-5420, otro problema relacionado con el tratamiento de sesiones TLS. libcurl soporta la reutilización de conexiones establecidas para peticiones posteriores, sin embargo no tiene en cuenta los certificados de cliente al reutilizar las conexiones TLS.
Estos problemas afectan a todas las versiones de curl y libcurl que soporten TLS (SSL/TLS para CVE-2016-5420) y certificados de cliente. Se ven afectadas las versiones libcurl 7.1 hasta la 7.50.0 (incluida).
Por último, con CVE-2016-5421, una vulnerabilidad de uso de memoria después de liberarla relacionado con la función "curl_easy_perform()". Este fallo no afecta a la herramienta de línea de comandos cURL. Se ven afectadas las versiones libcurl 7.32.0 hasta la 7.50.0 (incluida).
Se ha publicado la versión 7.50.1 que soluciona estas vulnerabilidades. Disponible desde:https://curl.haxx.se/download.htmlTambién se han publicado partes individuales para cada una de las vulnerabilidades:https://curl.haxx.se/CVE-2016-5419.patchhttps://curl.haxx.se/CVE-2016-5420.patchhttps://curl.haxx.se/CVE-2016-5421.patch
Más Información:
cURL and libcurlhttp://curl.haxx.se/
TLS session resumption client cert bypasshttps://curl.haxx.se/docs/adv_20160803A.html
Re-using connections with wrong client certhttps://curl.haxx.se/docs/adv_20160803B.html
use of connection struct after freehttps://curl.haxx.se/docs/adv_20160803C.html


Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Pages