You are here

Seguridad

Vulnerabilidad en Schneider Electric’s software

Hispasec - Mon, 20/11/2017 - 10:00
Se ha descubierto una vulnerabilidad en InduSoft Web Studio y InTouch Machine Edition de Schneider Electric’s, reportada por Aaron Portnoy. Esta vulnerabilidad de gravedad alta, permitiría a un atacante remoto ejecutar código arbitrario.


Indusoft Web Studio es una colección de herramientas de desarrollo de HMI, sistemas SCADA y componentes integrados. InTouch Machine Edition permite crear aplicaciones HMI de manera intuitiva y segura para su uso en dispositivos inteligentes y en una amplia gama de dispositivos embebidos de bajo nivel.


La vulnerabilidad con CVE-2017-14024, se debe a un error en la subscripción de etiquetas en clientes HMI que podría causar un desbordamiento de memoria intermedia basada en pila. Esto podría ser aprovechado por un atacante remoto no autenticado para ejecutar código arbitrario con permisos de usuario a través de paquetes especialmente manipulados.

Afecta a las versiones:

  • InduSoft Web Studio v8.0 SP2 Patch 1 y versiones anteriores.
  • InTouch Machine Edition v8.0 SP2 Patch 1 y versiones anteriores.
Se recomienda actualizar a versiones superiores.

Desde el laboratorio técnico de Hispasec recomendamos tomar las siguientes medidas de seguridad:

  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).



Juan Sánchez
jasanchez@hispasec.com
Más información:
Security Bulletin LFSEC00000124http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000124/

Schneider Electricwww.schneider-electric.com


Categories: Seguridad

Vulnerabilidad en Ikarus Antivirus

Hispasec - Sun, 19/11/2017 - 10:00
Se ha reportado una vulnerabilidad en Ikarus antivirus de gravedad alta, en la que un atacante remoto podría elevar privilegios dentro del sistema y potencialmente escribir código arbitrario.
Ikarus incorpora una amplia gama de productos de seguridad tanto para usuarios domésticos como para protección de redes empresariales complejas. Cuenta con soporte gratuito, asesoramiento profesional y sus soluciones antivirus se centran en la detección y eliminación de troyanos, virus, spyware y todo tipo de malware.

En el problema reportado, con CVE-2017-14961, es debido a un error de validación de determinados valores de entradas en el driver 'ntguard.sys'. Esto podría ser aprovechado por el atacante malicioso, para elevar privilegios dentro del sistema y leer/escribir código arbitrario a través de entradas especialmente manipuladas.

Este problema fue detectado por el analista de seguridad Parvez Anwar y afecta a las versiones 'Windows' de diferentes productos antivirus Ikarus. 

El fabricante ha proporcionado una herramienta para poder comprobar que versiones son las afectadas:
http://www.ikarussecurity.com/fileadmin/download/IKSA20170002_w32.exe

Se recomienda actualizar a versiones superiores.



Juan Sánchezjasanchez@hispasec.com
Más información:
Ikarus Security
https://www.ikarussecurity.com/

Vulnerability in windows antivirus products (IK-SA-2017-0002)https://www.ikarussecurity.com/about-ikarus/security-blog/vulnerability-in-windows-antivirus-products-ik-sa-2017-0002/




Categories: Seguridad

JOLTandBLEED: grave vulnerabilidad en productos Oracle Tuxedo y PeopleSoft

Hispasec - Sat, 18/11/2017 - 11:02
Los investigadores de ERPScan han demostrado públicamente, como una nueva vulnerabilidad afectaría gravemente a varios productos del fabricante Oracle, en concreto la línea Tuxedo y PeopleSoft.
La vulnerabilidad se presentaría en el servidor Java Jolt, integrado en Oracle Tuxedo, servidor de aplicaciones y componente central de muchos productos de la firma. Este nuevo tipo de ataque, que ha recibido la máxima puntuación (10.0 y 9.9) y diferentes CVEs (CVE-2017-10272, CVE-2017-10267, CVE-2017-10278, CVE-2017-10266 y CVE-2017-10269), permitiría a un atacante remoto comprometer el sistema totalmente, revelando información sensible.
Técnicamente, el error es debido a una incorrecta gestión de las comunicaciones en el Jolt Handler (JSH) que permitiría a un atacante enviar paquetes especialmente manipulados para provocar una fuga de datos en el servidor Jolt y recuperar las credenciales de usuario, como se puede ver en el siguiente vídeo publicado:

El ataque, denominado JOLTandBLEED, se asemeja a otro importante ataque, Heartblead, ya que siguen mecanismos similares a la hora de revelar información sensible del servidor.
Por su parte, Oracle ha publicado urgentemente parches para PeopleoSoft y Tuxedo:
  • Oracle PeopleSoft Campus Solutions
  • Oracle PeopleSoft Human Capital Management
  • Oracle PeopleSoft Financial Management
  • Oracle PeopleSoft Supply Chain Management
  • Oracle Tuxedo, versiones 11.1.1, 12.1.1, 12.1.3, 12.2.2

José Mesa
@jsmesa
Más información:
Oracle Security Alert Advisory - CVE-2017-10269:http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html
PEOPLESOFT JOLTANDBLEED VULNERABILITY:https://erpscan.com/press-center/blog/peoplesoft-joltandbleed/

Categories: Seguridad

De la LOPD al RGPD

Hispasec - Fri, 17/11/2017 - 11:00
El 12 de septiembre de 2005, se publicaba la entrada titulada “Seguridad informática y protección de datos”. Hoy, 12 años más tarde y a seis meses de su fecha de aplicación, hablamos del Reglamento General de Protección de Datos y vamos a tratar de señalar qué ha cambiado desde entonces y qué implica su aplicación, tanto para la empresa responsable del tratamiento de los datos de carácter personal (o encargado del mismo por parte de un responsable) como para el ciudadano (titular de los mismos).




El RGPD es un Reglamento Europeo que entró en vigor el 25 de mayo de 2016, es una legislación europea, de aplicación directa en todos los países de la UE, al contrario que la LOPD (Ley orgánica de protección de datos), legislación española que responde a la transposición de la directiva europea 95/46. 

Además del RGPD, tendremos como compañera de este a la “nueva” LOPD (aprobada en el Consejo de Ministros del pasado viernes 10 de noviembre), que podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite, por lo que será necesario acudir a la LOPD y al RGPD para conocer las obligaciones y derechos que nos afectan. 

El RGPD no sólo es de aplicación a todo responsable o encargado establecido en la UE, sino que lo es también a empresas establecidas fuera de la Unión que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea. Es decir que el RGPD pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

El RGPD en las empresas.

Vamos a desarrollar fundamentalmente los aspectos que pueden ser del interés de las empresas, en su papel de responsables y/o encargados de tratamiento. El RGPD contiene también novedades importantes, que entran en el apartado de los Derechos del titular de los datos, y que, por tanto, suponen obligaciones para los responsables y encargados de tratamiento. 

Como comentario general, diríamos que el nuevo escenario es más flexible y exige, por tanto, más atención para las empresas. Frente a unas formas de pensar “tabuladas” (como han sido los conocidos niveles básico, medio y alto de medidas de seguridad detallados en el reglamento de desarrollo de la “vieja” LOPD), se imponen formas de pensar más abiertas, en las que aparecen conceptos como el enfoque a riesgos, la evaluación de impacto o la protección de datos desde el diseño.

Como idea fundamental, el RGPD obedece al principio de responsabilidad proactiva que requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo para, a partir de este conocimiento, determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. 

Comenzando por el principio, en la obtención de datos de carácter personal, aparece uno de los cambios importantes del RGPD en relación a la LOPD: la forma de obtener el consentimiento del interesado para el tratamiento de sus datos, que exige que sea libre, informado, específico e inequívoco, lo que deja sin valor el consentimiento tácito hasta ahora permitido. Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa. 

Además de la nueva forma de obtener el consentimiento, las empresas deben informar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo sobre la base legal para el tratamiento de los datos, los períodos de retención de los mismos y otros aspectos. Adicionalmente se debe informar sobre la forma de ejercicio de sus derechos al titular de los datos, teniendo en cuenta que se han añadido derechos como el de portabilidad, que obliga a las empresas a proporcionar al interesado la información que se tiene de él en un formato estructurado, de uso común y lectura informatizada. 

Como decíamos, las medidas de seguridad a aplicar a los tratamientos de datos no se establecen ya en función de unos niveles básico, medio y alto. En el RGPD se define que los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de los tipos de tratamiento, la naturaleza de los datos o el número de interesados afectados. 

Tampoco el Documento de Seguridad, exigido en el reglamento de desarrollo de la LOPD y en el que se establecen los niveles de seguridad básico, medio y alto está ya en el RGPD. No obstante, se deberá disponer de un registro de actividades de tratamiento, que deberá contener información sobre finalidades del tratamiento, categorías de datos personales tratados, sistemas de tratamiento y medidas de seguridad aplicadas. 

El RGPD introduce otro aspecto también nuevo en la protección de datos desde el diseño, que exige que se analice en términos de protección de datos, desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.

Como hemos comentado, las medidas de seguridad que se deberán tener en cuenta no se relacionan en el RGPD con el tipo de datos personales que se tratan, como ocurría en la LOPD. En su lugar, se establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Para ello, los responsables podrán llevar a cabo una evaluación de impacto sobre la protección de datos con carácter previo a la puesta en marcha de aquellos tratamientos, que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

Por último, analizamos una de las novedades más importantes del RGPD, mediante la cual la posición de las empresas se pretende que sea más proactiva y de mayor responsabilidad en todo lo relativo a la protección de datos de carácter personal. El RGPD establece para ello la figura del Delegado de Protección de Datos (DPD) que será obligatoria en algunos casos.


  • Autoridades y organismos públicos.
  • Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

Y otros que se enumeran en el borrador de la nueva LOPD. 

El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos. Aunque no debe tener una titulación específica, en la medida en que entre las funciones del DPD se incluya el asesoramiento al responsable o encargado en todo lo relativo a la normativa sobre protección de datos, los conocimientos jurídicos en la materia son sin duda necesarios, pero también es necesario contar con conocimientos ajenos a lo estrictamente jurídico, como por ejemplo en materia de tecnología aplicada al tratamiento de datos o en relación con el ámbito de actividad de la organización en la que el DPD desempeña su tarea.

Es importante tener en cuenta, en relación con la obligación de nombrar un DPD (cuando sea exigible) que: 


  • Se permite nombrar un solo DPD para un grupo empresarial.
  • Se permite que el DPD mantenga con responsables o encargados una relación laboral o mediante un contrato de servicios.
  • Está permitido que el DPD desarrolle sus funciones a tiempo completo o parcial.
  • Para definir las funciones del DPD se deberá atender a lo establecido en el RGPD.


Este último aspecto del RGPD analizado ya permite prever un crecimiento importante en la prestación de servicios de “outsourcing” del rol del DPD por las organizaciones, públicas y privadas, por la dificultad de incorporar a profesionales del perfil requerido y por la facilidad que supone la posibilidad de acudir a un contrato de servicios.

En este sentido, es importante señalar la AEPD promueve un sistema de certificación de profesionales de protección de datos como herramienta de evaluación de candidatos a DPD.Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados y en las que se tienen en cuenta tanto la formación acreditada como la experiencia en labores relacionadas con la protección de datos de carácter personal.


Juan Carlos López
AIDCON CONSULTINGMás información:
Reglamento General de Protección de Datos
https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf

Anteproyecto de Ley Orgánica de Protección de Datos
http://www.mjusticia.gob.es/cs/Satellite/Portal/1292428461386?blobheader=application%2Fpdf&blobheadername1=Content-Disposition&blobheadervalue1=attachment%3B+filename%3DAPLO_Proteccion_Datos_Caracter_Personal_Texto.PDF

Guía del Reglamento General de Protección de Datos para responsables de tratamiento
https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf





Categories: Seguridad

Seguridad, caos y movimiento infinito

Hispasec - Thu, 16/11/2017 - 09:30
Estás leyendo esto por la misma razón que el que lo escribió: la seguridad. Probablemente, ambos, nos dedicamos a trabajar en esta materia o al menos es algo que te preocupa o quizás sobre la que tienes interés. Es tan importante que, si le preguntamos al mismísimo Abraham Maslow, este nos indicaría apuntando con el dedo y de forma amable, que esta se encuentra en la segunda planta de su famosa pirámide “Justo ahí caballero, suba por la sección de alimentación, que la de eliminar los desechos está en obras. De nada, buenos días, adiós, adiós…”.
Si intentásemos atrapar el concepto “seguridad”, probablemente saldrían volando miles de definiciones, algunas más acertadas que otras y otras más certeras que algunas. Según la Real Academia de la Lengua, esto es la seguridad:

No muy inspiradora ¿verdad? No me atrevo a recurrir a los filósofos, puesto que hay tantas escuelas y doctrinas que terminaríamos retorciendo el concepto tanto como para terminar enredados como una lámina de Escher. Como podemos ver, un término tan sencillo puede complicarse tanto que es casi imposible dar una descripción que lo atornille a nuestras mentes. ¿Por qué? Quizás porque la seguridad es compleja, engañosa.
Cuando crees tenerlo todo bajo control hay un detalle que saltaste por alto, una milésima de segundo que pensaste qué “la probabilidad de que ocurriera era muy pequeña”. Es como esa partida de ajedrez que jugaste y perdiste por aquel pérfido alfil que salió, por sorpresa, cuando moviste a la caballería. “Ah, cuando parecía que todo estaba ganado, un mal movimiento y el desastre lo reduce todo a una nube de escombros”.
Frank Bird decía que antes de que ocurriese un accidente grave le precedía un reguero de incidentes de menor categoría. Esos pequeños “Bah, tampoco es para tanto, lo tenemos controlado”, al final terminaban siendo un gran y solo motivo para lamentarse. La falsa percepción de control sobre el devenir, los acontecimientos, que deriva en un daño irreversible, una pérdida que no devolverán las lamentaciones. Pero mientras dura, esa sensación de control es un reconfortante remanso de paz…
Si quisiéramos categorizar a la seguridad bajo la teoría de sistemas complejos, apuesto, sin formalidades previas, que entraría de lleno dentro de los sistemas caóticos. La misma solución no funciona dos veces, el mismo cortafuego que usa tu vecino no es el que te protege mejor a ti. Si en el mundillo de la ingeniería del software Brooks ya anticipó que “no hay balas de plata”, en seguridad estamos en condiciones de afirmar con rotundidad un concepto otras veces repetido: “Si hay algo seguro es que no hay nada seguro”. No suena tan potente como el clásico, pero es con lo que tenemos que vivir día a día.
Pretender aplicar soluciones genéricas, desprovistas de enfoque, ausentes de una dirección concreta y bajo el precepto de “a otros le funciona” es el equivalente a recetar un calmante para intentar curar la estulticia congénita. No existe “la solución”. No existe “el producto”. Ni tan siquiera existe “el proceso”. No hay Unguentum Armarium. ¿Qué tenemos entonces? ¿Cómo resolvemos el problema?
Primero, asumir que no existe el riesgo cero. Segundo, asumir que algo va a ocurrir cuando el riesgo no es cero. Sí, es así de fácil. Es una carrera imposible, la suma infinita de Aquiles, una paradoja perversa. No existe una meta, siempre perseguimos una finalidad que es un espejismo. No terminamos un día y decimos “ya es seguro, recoge y vámonos”. No existe una muralla sin grietas y no hay una grieta que mañana no se convierta en una brecha. Todo es un proceso: descubrir, analizar el riesgo, valorar su minoración, prepararnos para el impacto y tener un plan de contención de los daños y por último…vuelta a empezar de nuevo.
Desde Hispasec estamos cambiando la forma en la que planteamos la seguridad a nuestros clientes. No creemos en balas de plata. Asumimos que el mundo es complejo, lleno de detalles, matices. Que no es solo poseer un sentido de adaptación y anticipación, sino que debemos ofrecer una mimetización con las necesidades concretas, analizadas, detalladas y estudiadas. No queremos ser un recurso genérico, una alternancia necesaria o sucumbir a la maquinización sistemática; a la fiebre del bajo costo y sensación de deja-vú.

Creemos que acercarnos y escuchar es el principio adecuado. Tenemos armas para combatir el riesgo, pero es necesario medir, cuantificar, valorar, sopesar, etc. El traje debe ser hecho a medida, no valen arreglos de sastre con prisas. Esa es la idea: escuchar, escuchar y escuchar. Hay una necesidad y necesita ser comprendida, encaminada a una solución óptima y satisfactoria, y eso no puede alcanzarse haciendo lo mismo que hacemos siempre. No podemos pretender avanzar y hacer progresar las cosas si siempre andamos el mismo camino.

Si algo nos han enseñado años de auditoría, diálogo abierto y manos tendidas es que el único actor cómodo con la generalización es el riesgo. Un auténtico depredador sigiloso, paciente, acechante. Haz dos veces lo mismo, a la tercera estará esperando que muevas la pieza equivocada sobre el tablero para asestarte un certero jaque. Entonces te acordarás de Bird, Brooks, Winslow y de toda la caballería…


David García
@dgn1729





Categories: Seguridad

¿Quieres jugar a un juego? Demuestra tus habilidades en seguridad con Una-al-mes

Hispasec - Wed, 15/11/2017 - 09:30
El proyecto se basa en una serie de retos al más puro estilo 'Capture the flag' donde se pondrán a prueba vuestros conocimientos en las distintas categorías comunes en este tipo de juegos.



Las pruebas serán lanzadas los días 15 de cada mes y estarán accesibles durante 7 días. Cuando resolváis el reto, debeis enviar un correo a la dirección unaalmes@hispasec.com con el 'write-up' y su 'flag' correspondiente. 

Al finalizar los 7 días, se creará una entrada en la web con la resolución del reto y los tres primeros participantes en haberlo resuelto. Acordaos de incluir vuestro nombre completo y enlace al perfil de Twitter si queréis que este también sea publicado.

Cualquier duda/consulta sobre la prueba o la iniciativa llevada a cabo, también debe ser transmitida al correo especificado anteriormente. Los coordinadores del proyecto, Mario Parra y Daniel Púa, estarán encargados de responderos a los mensajes.

En las misiones os pondréis en la piel de Rick, un espía contratado por una serie de inversores anónimos para realizar actividades delictivas.

El enlace al primer reto, lo tendréis en el apartado "Más información" de esta misma página.

Destacar que el formato de la 'flag' será el siguiente: UAM{...}.

¡Mucha suerte con la misión!


Daniel Púa
@arrowcode_
dpua@hispasec.com
Más información:

Acceso al primer reto:http://34.253.233.243/mission1.php

Capture the Flag:
https://es.wikipedia.org/wiki/Capturar_la_bandera






Categories: Seguridad

Las apps que abusen de los servicios de accesibilidad serán eliminadas de Google Play.

Hispasec - Tue, 14/11/2017 - 09:30
En un comunicado enviado a los desarrolladores de Android, se ha informado de la intención de eliminar de la Play Store todas aquellas aplicaciones que abusen los servicios de accesibilidad de Android.



Esta API permite a los dearrolladores crear aplicaciones para usuarios con discapacidades. Esto permite a la aplicación hacer accesos programaticos a determinadas acciones que en otras circusntancias habrían requerido alguna intervención física por parte del usuario. 
Por ejemplo, estos servicios permiten a los usuarios escuchar un listado de los elementos en pantalla para asi poder decidir cual escoger. Sin embargo, también incluyen otras caracteristicas que pueden simular pulsaciones y puede utilizarse para fines maliciosos

Esta caracteristica permite a los atacantes desarrollar aplicaciones que abusen dichos servicios, como por ejemplo llevar al usuario a autorizar permisos que intencionalmente no concederían. También permitiria realizar ataques con overlays que, bien situados, podrían espiar las pulsaciones del usuario. 
Ataques como Toast Overlay emplea este tipo de técnicas, y la colección de ataques vía overlay de Cloak&Dagger necesitan en gran medida abusar de los métodos de dicha API.

Es por esto que, Google ha emitido un comunicado en el cual especifica que todas aquellas aplicaciones que hagan uso de los servicios de accesibilidad sin estar realmente orientados a ello seran eliminadas de la Play Store. Aquellas aplicaciones legítimas que hagan uso de esta funcionalidad como los gestores de contraseñas o aquellas que modifiquen el mapping de algunas 'teclas' se verán afectadas por esta nueva política. 

A pesar de todo, los atacantes siguen teniendo acceso a aquellos lugares donde Google Play no puede imponer su política, como los markets de terceros y sitios web de distribución de APKs. Estas vías suelen utilizarse por los atacantes para infectar a una gran mayoría de víctimas, aunque a pesar de todo algunos artefactos maliciosos logran eludir los controles de la Play Store. 

Fernando Díaz
fdiaz@hispasec.com
Más información:
Google will remove Play Store apps that use Accessibility Services:http://en.miui.com/thread-1087928-1-1.html





Categories: Seguridad

Nueva campaña de vales regalo que recolecta tu tarjeta de crédito

Hispasec - Mon, 13/11/2017 - 10:34

Durante estas últimas semanas, hemos detectado numerosos correos de spam publicitando una nueva campaña fraudulenta, que está afectando a gran cantidad de firmas españolas y extranjeras, utilizándolas como señuelo para recolectar los datos privados de los visitantes, e incluso, para estafarlos recabando sus datos bancarios

Ejemplo del spam recibido.

Esta nueva campaña se está propagando sobre todo por email, y dadas las fechas en las que nos encontramos, donde se planifican compras próximas al 11.11, Black-friday o Navidad, está afectando a numerosos usuarios. Por el momento este es el listado de firmas que están siendo utilizadas de manera fraudulenta como señuelo: El Corte Inglés, IKEA, Aldi, Spar, Peugeout, Leroy Merlin, H&M, Primark, Carrefour, Vueling, Amazon, Dyson, Thermomix, Nespresso, Apple, Nivea, Booking.com y RyanAir entre otros. 

Falsa campaña de El Corte InglésFalsa campaña de Amazon
Falsa campaña de CarrefourFalsa campaña IKEA
El modus operandi sigue siendo el habitual: se recolectan datos privados del usuario (nombre, dirección, fecha de nacimiento, móvil) y se le ofrece un supuesto premio por rellenar la encuesta. Además, y para incrementar el volumen de suscripciones, se ofrecen falsos formularios de afiliación a seguros (como DKV, MetLife, Adeslas...), páginas de formación (Educaweb), información financiera (iAhorro) e incluso de organizaciones benéficas u ONGs (ONU - ACNUR

Suscripción a segurosSuscripciones a servicios de terceros.
En verdad se nos está subscribiendo a campañas de spam masivo y nuestros datos terminarán  formando parte de grandes bases de datos, con objetivo de ser revendidas a terceros.
Como particularidad de esta campaña, se está ofertando un supuesto lote de premios que intenta como objetivo final, obtener los datos bancarios del usuario (tarjeta de crédito, CVV y fecha caducidad) por lo que supone una estafa muy peligrosa para el visitante. 
Segundo reclamo para recabar datos bancarios.Formulario para capturar la tarjeta de crédito, CVV y caducidad.
Como en otras ocasiones en las que hemos alertado de estas actividades fraudulentas, recomendamos encarecidamente ser precavidos y no rellenar ningún tipo de dato privado en cualquiera de estas u otras campañas, y aplicar el sentido común.   Recordar también que desde Hispasec, y gracias al servicio Antifraude, ofrecemos un servicio integral de detección y desactivación de este tipo de amenazas para evitar el abuso de marca en Internet.   José Mesa Orihuela @jsmesa   Más información:
Campaña de "boletos" fraudulentos afecta a Iberia y Ryanair http://unaaldia.hispasec.com/2017/09/campana-de-boletos-fraudulentos-afecta.html   Campaña internacional de fraude por Whatsapp a diferentes supermercados http://laboratorio.blogs.hispasec.com/2015/08/campana-internacional-de-fraude-por.html 
Categories: Seguridad

Fallo de seguridad en un ‘wallet’ de Ethereum pone en riesgo cerca de 150 millones de dólares de esta criptomoneda

Hispasec - Sun, 12/11/2017 - 12:23
Un fallo en el ‘wallet’ Parity Wallet, puede haber provocado la pérdida de 600 mil Ethereum. Parity Wallet es un conocido ‘wallet’ creado por Gavin Wood co-fundador de Ethereum.


Esta misma empresa tuvo también un fallo de seguridad el pasado 19 de julio, que provocó el robo de 150,000 ETH o el equivalente del momento, 30 millones de dolares. Lo grave es que al parecer el fallo ha sido provocado por el código introducido para solucionar el fallo del 19 de julio. Una situación bastante bochornosa que pone en peligro la confianza de los usuarios en esta empresa de gestión de carteras.

La vulnerabilidad descubierta, permite a un atacante remoto borrar el contenido de una cartera, este fallo que solo afecta a las carteras ‘multi-sig’, este tipo de carteras permiten el consentimiento de más de una parte, lo que minimiza el número de carteras expuestas.

En estos momentos estamos viendo no solo caer la cotización de esta moneda sino como empresas relacionadas con el blockchain pueden haberse visto afectadas de forma indirecta, como es el caso de Polkadot.

Los usuarios pueden comprobar si su cartera está bloqueada accediendo al siguiente enlace.



Fernando Ramírez
@fdrg21Más información:
Aviso de seguridad oficial:
https://paritytech.io/blog/security-alert.html

Aviso de seguridad de la vulnerabilidad del 19 de julio de 2017:
https://paritytech.io/blog/security-alert-high-2.html


Categories: Seguridad

Nueva víctima del ataque R.O.C.A.: el DNIe español

Hispasec - Sat, 11/11/2017 - 08:00
El DNI electrónico español también se ve afectado por la vulnerabilidad de la librería de claves RSA y el ataque R.O.C.A.


Hispasec.com

La Dirección General de Policía a través de la página oficial del DNI electrónico ha publicado un comunicado que alerta de un problema de seguridad relacionado con los certificados electrónicos del DNIe. El Organismo de Certificación español y la Dirección General de la Policía se encuentran trabajando en un análisis de la viabilidad del ataque R.O.C.A. y en la modificación de las funcionalidades del DNIe para corregir el actual problema y "garantizar la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España".

Debido a la vulnerabilidad R.O.C.A. de la que hablábamos anteriormente se puede obtener o inferir la clave RSA privada a partir de la correspondiente clave pública.

El DNIe utiliza un certificado digital con clave RSA de 2048 bits lo que supondría que para obtener la clave privada, en el peor de los casos y según el ejemplo que se comentaba en la anterior noticia, se necesitarían unos pocos días de cómputo. Se debe considerar que las instancias Amazon AWS C4 hacen uso de hasta 36 CPUs virtuales basadas en procesadores Intel Xeon, y que otros tipo de instancias basadas en GPU podrían mejorar tanto los tiempos como los costes derivados del ataque.

Por el momento se ha desactivado la funcionalidad de certificado digital en los DNIe. Estos podrán ser actualizados por los titulares en las Oficinas de Documentación cuando esté disponible la solución, aunque no se ha establecido ninguna fecha estimada.

Los documentos nacionales de identidad cuyos certificados podrían verse afectados por la vulnerabilidad son aquellos cuyo número de soporte es posterior al ASG160.000 (dicho dato aparece en el campo "Número de Soporte" de los nuevos y en el campo "IDESP" de los DNIe de los anteriores; ver imágenes para mayor información), que fueron expedidos a partir del mes de Abril de 2015.


Número de soporte en las distintas versiones del DNIe. Fuente: dnielectronico.es


Juan José Ruiz
jruiz@hispasec.com
Más información:
Portal DNIe:https://www.dnielectronico.es/PortalDNIe/
ROCA: descubierta grave vulnerabilidad en la librería de claves RSA Infineon:http://unaaldia.hispasec.com/2017/10/roca-descubierta-grave-vulnerabilidad.html





Categories: Seguridad

Ejecución de código remoto y denegación de servicio en Asterisk

Hispasec - Fri, 10/11/2017 - 09:30
Asterisk ha publicado dos actualizaciones de seguridad para solucionar dos vulnerabilidades que podrían permitir a atacantes en la misma red local causar una denegación de servicio o ejecutar código arbitrario en los sistemas afectados.



Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

La primera vulnerabilidad, explicada en el boletín AST-2017-010, permite a un atacante en la misma red local ejecutar código remoto. El fallo se da por no comprobar el tamaño de una cadena de texto que recibe la centralita, concretamente de la cadena de texto que contiene el usuario al que se llama. Cuando la centralita crea el CDR (call detail record, un registro que contiene información de llamada como los usuarios, la duración...) y copia esta cadena de texto que proviene de fuera, puede exceder el tamaño máximo y desbordar la memoria, el famoso buffer overflow. En este caso, esto se puede explotar hasta ejecutar código arbitrario si la cadena se diseña especialmente. La solución consiste básicamente en comprobar que no se excede el tamaño básico al copiar la cadena de texto.

La segunda vulnerabilidad, descrita en el boletín AST-2017-011, podría permitir a un atacante en red local causar una denegación de servicio. El fallo se produce cuando una llamada se rechaza antes de establecerse. Cuando esto ocurre, cierta parte de la memoria de la centralita no se libera (cuando debería hacerlo, ya que es memoria temporal con información de la llamada cancelada). Al ser posible realizarlo sin límite, se podría llegar a quedar sin memoria la centralita si se realiza demasiadas veces el proceso de llamada y su cancelación. La solución pasa por liberar la memoria correctamente.

Ambas vulnerabilidades afectan a Asterisk Open Source en sus ramas 13, 14 y 15 y a Certified Asterisk en su versión 13.13 (aunque la primera vulnerabilidad sólo afecta a la rama 13 de Asterisk Open Source a partir de la versión 13.5.0). Actualizar a las últimas versiones de cada rama soluciona estos problemas.

Carlos Ledesmacledesma@hispasec.com

Más información:
Buffer overflow in CDR's set userhttp://downloads.asterisk.org/pub/security/AST-2017-010.html
Memory/File Descriptor/RTP leak in pjsip session resourcehttp://downloads.asterisk.org/pub/security/AST-2017-011.html
Categories: Seguridad

Actualización de seguridad de la librería OpenSSL

Hispasec - Thu, 09/11/2017 - 10:00
OpenSSL ha publicado una actualización de la popular librería, en la que se han corregido dos vulnerabilidades, una lectura de memoria fuera de límites y un fallo de acarreo que podría facilitar la obtención de la clave privada.

El fallo de propagación de acarreo ocurre en el procedimiento x86_64 Montgomery. Este fallo solo afecta a procesadores que soportan las extensiones BMI1, BMI2 y ADX, por ejemplo, los procesadores Intel Broadwell y posteriores o los AMD Ryzen. Aunque se cree que pueda afectar al material criptográfico y poner en riesgo la integridad de la clave privada, se necesitaría una gran cantidad de recursos computacionales y un escenario con ciertos condicionantes que dificultan efectuar un ataque práctico. Este fallo posee el CVE-2017-3736.El error de lectura fuera de límites, de un solo byte, ocurre al procesar la extensión IPAdressFamily en un certificado X.509 especialmente manipulado. Posee el CVE-2017-3735. Como dato curioso, ha estado presente en las librerías OpenSSL desde el año 2006.Ambos fallos han sido hallados por el equipo del proyecto OOS-Fuzz patrocinado por Google.Se ha de actualizar a las versiones de OpenSSL 1.1.0g y 1.0.2m de sus respectivas ramas.

Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.



Más información:
OpenSSL Security Advisoryhttps://www.openssl.org/news/secadv/20171102.txt





Categories: Seguridad

Google corrige también la vulnerabilidad KRACK en sus boletines de Android

Hispasec - Wed, 08/11/2017 - 10:30
Si hace unos días Apple solucionaba entre una gran cantidad de parches, la importante vulnerabilidad en el protocolo WPA2, KRACKS, Google ha hecho lo mismo en su plataforma Android, publicando un nuevo boletín de seguridad y facilitando un numeroso conjunto de parches que corrigen hasta 31 vulnerabilidades distintas, nueve de ellas de nivel crítico
Para facilitar la tarea de despliegue de los mismos entre los diferentes partners, Google ha publicado 3 boletines conjuntos.

En concreto, el boletín 2017-11-01 se centra en las vulnerabilidades corregidas en Framework, Media Framework y System, ya que 6 de ellas permitirían la ejecución remota de código.En cambio, en el 2017-11-05 se corrigen aquellas presentes en los componentes del Kernel, MediaTek, Nvidia y sobre todo Qualcomm, apartado que adolece de las vulnerabilidades más críticas, relacionadas con el módulo WLAN y que han recibido 3 CVEs (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) por ejecución remota de código.
Estas vulnerabilidades fueron reportadas y analizadas en su blog por el investigador y desarrollador Scott Bauer (@scottybauer1), centradas en el controlador WiFi qcacld de Qualcomm/Atheros, y afectando a los dispositivos Pixel y Nexus 5x. En un extenso desarrollo, Bauer alerta de un total de 8 vulnerabilidades, centrándose sobre todo en la vulnerabilidad más importante (CVE-2017-11013) de ejecución remota de código, pero explica que otras dos vulnerabilidades remotas quedan todavía por ser corregidas (Bug #7 y Bug #8), aunque están planificadas por Google.Finalmente, en el boletín 2017-11-06 se solucionan hasta 9 vulnerabilidades de elevación de privilegios, relacionadas con el ataque KRACKs y que, en el caso de Android, el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key).

Estas actualizaciones están ya disponibles en todos los dispositivos Android de Google compatibles, así como en las diferentes actualizaciones de los fabricantes mediante OTA. Como siempre, recomendamos encarecidamente aplicar las mismas en cuanto estén disponibles.

José Mesa
@jsmesaMás información:
Android Security Bulletin—November 2017 
https://source.android.com/security/bulletin/2017-11-01

Please Stop Naming Vulnerabilities: Exploring 6 Previously Unknown Remote Kernel Bugs Affecting Android Phones 
https://pleasestopnamingvulnerabilities.com/ 





Categories: Seguridad

Apple parchea KRACK entre otras vulnerabilidades en sus últimos boletines

Hispasec - Tue, 07/11/2017 - 09:30
Apple ha publicado siete boletines de seguridad que solucionan fallos para sus productos iOS, watchOS, macOS, tvOS, Safari y iTunes y iCloud para Windows. En total se corrigen 238 fallos de seguridad entre los que se encuentra KRACK.




Apple ha aprovechado el día de Halloween para lanzar su nueva actualización de seguridad que da solución a KRACK, una grave vulnerabilidad en WPA/WPA2 de la que ya hablamos en esta entrada. El fallo ha sido corregido de todos los dispositivos de Apple con soporte, entre los que se encuentran iOS, macOS High Sierra, tvOS y watchOS. De esta manera, la empresa de Cupertino se ha adelantado a Google en ofrecer una solución a este grave fallo. Se espera un parche en Android el día 6 de noviembre, si todo va según lo esperado.

El sistema que más cambios ha recibido ha sido macOS Sierra 10.13.1, con 148 fallos solucionados. La mayoría de los errores pertenecen a tcpdump, con 90 de los fallos. El resto de componentes afectados, entre los que se encuentran Audio, CFString, fsck_msdos, ImageIO, libarchive, Open Scripting Architecture, Quick Look, QuickTime, HFS, Remote Management y Sandbox, permitían la ejecución de código aleatorio y acceso a memoria restringida. Este último, Sandbox, hacía posible además la ejecución con privilegios del sistema. Otros 12 errores pertenecen a Apache, y otros 11 al Kernel, siendo la mayoría de lectura de áreas de memoria restringida y de ejecución de código arbitrario. APFS vuelve a estar en el ojo de mira, permitiendo además de ejecución aleatoria de código, el descifrado de disco con un conector manipulado ( CVE-2017-13786 ).

iOS 11.1 soluciona 23 errores, de los cuales 14 afectan a WebKit, y habiendo sido la mayoría descubiertos por Ivan Fratric de Google Project Zero. Estos errores permitían la ejecución de código arbitrario en el procesado de una web especialmente manipulada. Estos mismos errores, se vuelven a ver en Safari, tvOS, y iCloud y iTunes para Windows. El resto de componentes afectados han sido CoreText, Kernel, Messages, Siri, StreamingZip y UIKit. En su mayoría son errores que afectan a la privacidad del usuario. Destaca el fallo en el kernel ( CVE-2017-13799 ), que permite la ejecución de código arbitrario con los permisos del kernel, y que afecta también a macOS Sierra, tvOS y watchOS. El fallo en StreamingZip permitiría además acceder a zonas restringidas del sistema de archivos.

watchOS 4.1 sólo ha tenido que parchear 4 fallos, que pertenecen a CoreText, Kernel, StreamingZip y Wi-Fi; siendo este último KRACK, del que hablamos al principio. Estos mismos fallos pueden verse en tvOS y iOS. Además, salvo el de CoreText, los otros 3 también están en macOS. tvOS 11.1 tiene los mismos 4 errores parcheados, además de los 14 de WebKit de los que se habló en el apartado anterior.

Safari 11.0.1, iTunes 12.7.1 para Windows y iCloud para Windows 7.1, poseen los 3 los mismos 14 fallos de WebKit, al encontrarse todos basados en este. Ni iTunes ni iCloud tienen fallos adicionales, siendo Safari el único que cuenta con parches para el mismo, con los CVE-2017-13790 y CVE-2017-13789, que permitían hacer spoofing a la barra de direcciones.



Juan José Oyaguejoyague@hispasec.comMás información:
Security content of macOS High Sierra 10.13.1
https://support.apple.com/es-es/HT208221

About the security content of iOS 11.1
https://support.apple.com/es-es/HT208222

Acerca del contenido de seguridad de watchOS 4.1
https://support.apple.com/es-es/HT208220

Acerca del contenido de seguridad de tvOS 11.1
https://support.apple.com/es-es/HT208219

About the security content of Safari 11.0.1
https://support.apple.com/es-es/HT208223

Acerca del contenido de seguridad de iTunes 12.7.1 para Windows
https://support.apple.com/es-es/HT208224

Acerca del contenido de seguridad de iCloud para Windows
https://support.apple.com/es-es/HT208225





Categories: Seguridad

Vulnerabiidad en Tor Browser permite obtener las IPs reales de los usuarios

Hispasec - Mon, 06/11/2017 - 09:30
El investigador italiano Filippo Cavallarin, CEO de "We Are Segment", detecta esta vulnerabilidad en el navegador del proyector Tor, precisamente orientado a procurar la navegación anónima.


Como viene siendo habitual en los últimos tiempos, la vulnerabilidad ya tiene nombre propio: TorMoil, aprovechando el juego de palabras con el termino inglés "turmoil", que tiene acepciones como "confusión" o "desorden". Nada bueno en cualquier caso. 





La vulnerabilidad radica en un fallo de Mozilla Firefox, navegador en el que Tor Browser está basado. Concretamente, se proviene de un bug en el manejo de URLs que utilizan el esquema 'file://', usado comúnmente para identificar ficheros dentro de nuestro propio sistema.

Al acceder a un sitio especialmente diseñado con este tipo de URLs el sistema operativo dejará de usar la conexión a través de la red Tor para conectarse directamente al sitio remoto, provocando la revelación de la IP real del usuario al mismo. 

El fallo afecta a las versiones 7.0.8 y anteriores de Tor Browser en sistemas macOS y Linux. La versión de Windows no está afectada por esta vulnerabilidad. Según los desarrolladores, no hay evidencias que indiquen que este error haya sido explotado hasta el momento.

Tor Project ha lanzado la versión 7.0.9 del navegador que añade una contramedida temporal mientras se soluciona el problema. Como consecuencia, las URLs file:// han dejado de funcionar al introducirlas en la barra de direcciones y pulsar sobre los enlaces resultantes, comportamiento que se mantendrá hasta la salida del parche definitivo.



Francisco Lópezflopez@hispasec.com@zisk0
Más información:
The TorMoil Bug – Tor Browser Critical Security Vulnerability
https://www.wearesegment.com/news/the-tormoil-bug-torbrowser-critical-security-vulnerability/

Tor Browser 7.0.9 is released
https://blog.torproject.org/tor-browser-709-released




Categories: Seguridad

El servicio de VoD Crunchyroll es vulnerado para la distribución de malware

Hispasec - Sun, 05/11/2017 - 09:30
El sitio web Crunchyroll.com, equivalente a Netflix especializado en animación, distribuyó malware a los usuarios a través de un software de seguimiento de series modificado para alojar contenido malicioso.

Crunchyroll mostrando la descarga drive-by del sofware malicioso
El pasado sábado 4 de noviembre el sitio web Crunchyroll, el cual se encuentra en el puesto 245 del ranking de Alexa para EEUU, fue vulnerado al menos desde las 12 de la mañana (UTC+1, hora peninsular en España), momento en que empezó a distribuir un fichero llamado 'CrunchyViewer.exe' con contenido malicioso.

Una vez descargado y ejecutado, nos encontramos ante una aplicación llamada Taiga, un seguidor de series de código abierto. Esta aplicación ha sido modificada para ejecutar software malicioso (más información en la incidencia https://github.com/erengy/taiga/issues/489). Al ejecutarla, a pesar de parecer una aplicación normal, en segundo plano se creará el archivo svchost.exe (que obtiene de los recursos, en base64) en %APPDATA% y posteriormente se ejecutará.

Creación del archivo svchost.exeEjecución del svchost.exe malicioso
Este archivo %APPDATA%/svchost.exe creará una entrada de registro para ejecutarse tras iniciar el sistema. Una vez instalada, contactará con un servidor remoto alojado en OVH, especificamente a la dirección 145.239.41[.]131:6969, desde el cual descargará un shellcode y lo ejecutará en caso de estar disponible. 


Creación de clave de registro para persistencia
En el momento en que se detectó el malware, VirusTotal sólo mostraba 2 detecciones para el mismo, llegando en el momento de escribir estas líneas a 4 detecciones. Tras su instalación, este troyano pasa a ejecutarse con el inicio del sistema gracias a la clave de registro 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Java 
C:\Users\user\AppData\Roaming\svchost.exe'. Si crees que puedes estar infectado, comprueba si existe dicha clave, y elimínala de ser así.


El ataque fue parado a cerca de las 14:00, momento en que el servidor desde el que se descargaba el programa, y en el que residía la página fraudulenta, fue desconectado. Crunchyroll no ha dado detalles del ataque, pero existe la posibilidad de que los servidores originales del portal no se hubiesen visto comprometidos. La web utiliza el servicio de proxy inverso Cloudflare para mejorar su servicio, pudiendo ser la cuenta de éste la que haya sido comprometida. Esta opción resulta bastante convincente, ya que el troyano residía en una máquina de un pequeño hosting de Países Bajos, en vez de en los propios servidores de Crunchyroll.

Este caso sorprende al no tratarse de un caso de ataque arbitrario, sino dirigido especialmente a la audiencia del sitio web. La página fue modificada especialmente con este motivo, al igual que la forma de infección. Aunque no hay de momento una estimación del número de usuarios que pudieron instalar el programa, al ser una página de gran afluencia, contar con pocas detecciones por parte de los antivirus en el momento de instalación, y tratarse de un servicio con apps para otros sistemas, es posible que el número de afectados sea bastante alto.



Fernando Díaz
@entdark_
fdiaz@hispasec.com
Más información:
@entdark_ en Twitter:
https://twitter.com/entdark_/status/926778851807637504

@Crunchyroll en Twitter:
https://twitter.com/Crunchyroll/status/926849277430718464





Categories: Seguridad

Actualización de seguridad Cisco Firepower 4100 Series NGFW y Firepower 9300 Security Appliance

Hispasec - Sat, 04/11/2017 - 09:30
Cisco ha publicado una actualización de seguridad que soluciona un fallo de seguridad en dos de sus modelos de Firewall Firepower.


El fallo identificado como CVE-2017-12277 permitiría a un atacante remoto sin autenticar ejecutar código remoto con privilegios de administración a través una URL especialmente manipulada.

Esta vulnerabilidad se debe a una incorrecta validación de los datos de entrada en los parámetros de configuración de "Smart Licensing", y afecta a las versiones 1.1.3, 1.1.4, y 2.0.1 de FX-OS en Cisco Firepower. Las versiones 2.1.1, 2.2.1, y 2.2.2 no están afectadas.


Los productos afectados son:
  • Firepower 4100 Series Next-Generation Firewall
  • Firepower 9300 Security Appliance

Más información:
CiscoSecurityAdvisory:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171101-fpwr





Categories: Seguridad

Google declara obsoleto HTTP Public Key Pinning (HPKP)

Hispasec - Fri, 03/11/2017 - 19:28
La misma Google acaba con este estándar que anunció hace 3 años para prevenir los ataques "Man in the Middle" usando CAs vulnerados.



Hace 3 años se anunciaba con el rfc7469 esta medida de seguridad adicional, creada por la misma Google e implementado en sus servidores y el navegador Chrome con su versión 46, que previene de un posible 'ataque MitM de sustitución' haciendo uso de una CA vulnerada en la que confía el cliente.

La medida ha sido anunciada por Chris Palmer, que trabaja en la seguridad de Google Chrome, el pasado 27 de octubre. Entre las razones que exime para declararlo obsoleto se encuentra el alto riesgo de dejar un sitio inutilizable.

HTTP Public Key Pinning (HPKP) es una cabecera adicional enviada por el servidor que contiene la declaración de las claves públicas válidas para el sitio web durante un periodo de tiempo. En caso de cambiar la clave pública utilizada, como cuando se cifra la conexión con el certificado de otra CA, el cliente corta la conexión evitando así un posible ataque MitM. El problema de esta medida es que no se diferencia entre un cambio de clave pública fidedigno y un ataque real, pudiendo dejar el sitio inaccesible.


Ejemplo de cabeceras HPKP. Fuente: rfc7469.
Además del problema antes descrito, puede que su baja adopción, con sólo un 0.1% según Netcraft, también sea una de las razones para su eliminación. Otra opción es el apoyo de Google a su otro proyecto similar (aunque complementario) Certificate Transparency.

Certificate Transparency (CT) es un proyecto de Google para el registro y monitorización de los certificados expedidos, el cual involucra a entidades de certificación, dueños de los certificados y clientes. Las CAs enviarían los cambios de los certificados que gestionan a los registros CT, los dueños podrían monitorizar los cambios indebidos sobre los certificados de sus dominios, y los clientes validarían el certificado que envía el sitio respecto al registrado en CT. Este nuevo sistema permite a los dueños saber rápidamente si están sufriendo un ataque, y a los clientes denegar el cambio fraudulento de no estar registrado.

Esta medida, que no requiere de cambios por los dueños de los sitios para su adopción, da solución a uno de los mayores problemas del ataque por reemplazo de certificado: la mayoría se realizan sin que el dueño se entere.


Juan José Oyague
joyague@hispasec.com
Más información:

Intent To Deprecate And Remove: Public Key Pinning
https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/he9tr7p3rZ8/eNMwKPmUBAAJ

Rolling out Public Key Pinning with HPKP Reporting
https://developers.google.com/web/updates/2015/09/HPKP-reporting-with-chrome-46

RFC 7469 - Public Key Pinning Extension for HTTP
https://tools.ietf.org/html/rfc7469

Is HTTP Public Key Pinning Dead?
https://blog.qualys.com/ssllabs/2016/09/06/is-http-public-key-pinning-dead

Secure websites shun HTTP Public Key Pinning
https://news.netcraft.com/archives/2016/03/22/secure-websites-shun-http-public-key-pinning.html

The fall of Public Key Pinning and rise of Certificate Transparency
https://hackernoon.com/on-guarding-against-certificate-mis-issuance-b968e61baf18

Certificate Transparency
https://www.certificate-transparency.org/





Categories: Seguridad

Ejecución arbitraria de comandos en ShadowSocks

Hispasec - Thu, 02/11/2017 - 10:00
El investigador de seguridad, Niklas Abel, ha descubierto un problema de seguridad en la librería shadowsocks que podría resultar en una ejecución de comandos del shell arbitrarios.

Shadowsocks es una librería que implementa socks5 de forma segura.

El problema reside en el componente ss-manager, el cual no valida adecuadamente la entrada proveniente de usuario, en concreto, peticiones de configuración en formato JSON. Un usuario malintencionado podría ejecutar comandos de forma arbitraria a través de una petición especialmente manipulada.

La vulnerabilidad tiene asignado el CVE-2017-15924

El parche del fallo está publicado aquí.

Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.


Más información:
DSA-4009-1 shadowsocks-libev -- security updatehttps://www.debian.org/security/2017/dsa-4009

Shadowsocks
https://shadowsocks.org/en/index.html





Categories: Seguridad

Exfiltrando fallos de seguridad en productos de Google a través de su Issue Tracker

Hispasec - Wed, 01/11/2017 - 09:30
El investigador y desarrollador Alex Birsan ha descubierto diversos fallos de seguridad en el 'Issue Tracker' de Google que le han permitido acceder a información técnica sobre graves vulnerabilidades en diferentes productos de la compañía.





Issue Tracker, también conocido como "Buganizer", es una herramienta usada por Google para llevar un registro de fallos, vulnerabilidades y futuras 'features' de sus productos.

La herramienta permite el acceso a usuarios que no pertenecen a la organización, pero sólo a ciertos tickets marcados como públicos. La mayor parte del contenido (más del 99%) sólo está disponible para usuarios a los que se les ha dado acceso explícito. 

Como Birsan explica en su artículo, una fuga de información en la herramienta podría tener un grave impacto, por lo que se propuso poner a prueba la seguridad del sistema.

El primer intento de Birsan fue intentar conseguir una cuenta corporativa que le permitiera el acceso a zonas restringidas del sistema. Diferentes intentos le llevaron a descubrir que podía registrar una cuenta falsa y luego cambiar el correo por uno de tipo "@google.com" a través del correo de confirmación. Esto le permitió registrar la cuenta "buganizer-system+123123+67111111@google.com", que aunque no sirvió para conseguir acceso a Buganizer sí que permitía utilizar otros servicios exclusivos como GRide.


Login área corporativa (Fuente: @alex.birsan)

El segundo fallo descubierto por Birman permitía suscribirse a una 'issue' arbitraria cambiando el ID, al no aplicarse ningún control de acceso sobre esta llamada a la API. Aunque no consiguió filtrar ninguna información importante, Google clasificó esta vulnerabilidad como crítica.


Actualizaciones recibidas de distintas 'issues' (Fuente: @alex.birsan)
La última vulnerabilidad reportada por Birsan es la más crítica y permitiría monitorizar en tiempo real toda la actividad que sucedía en el sistema de tickets. El fallo residía en una llamada a la API expuesta en el JavaScript de la página y que se utilizaba para dejar de recibir notificaciones sobre un cierto ticket.


    POST /action/issues/bulk_edit HTTP/1.1
    {
    "issueIds":[
        67111111,
        67111112
    ],
    "actions":[
        {
            "fieldName":"ccs",
            "value":"test@example.com",
            "actionType":"REMOVE"
        }
    ]
    }

Esta llamada revelaba en su respuesta todos los detalles sobre el ticket, sin implementar ningún control de acceso. Pudiendo conocer los detalles técnicos de cualquier fallo o vulnerabilidad simplemente consultando su ID.

A pesar de que los tickets de prioridad alta se corrigen en pocas horas, el equipo de Google atendió rápidamente las vulnerabilidades reportadas por Birsan y recompensó al técnico a través de su programa de 'bug bounty'.


Francisco Salido
fsalido@hispasec.com
Más información:
Messing with the Google Buganizer System for $15,600 in Bounties
https://medium.com/@alex.birsan/messing-with-the-google-buganizer-system-for-15-600-in-bounties-58f86cc9f9a5





Categories: Seguridad

Pages

Subscribe to Bytecoders aggregator - Seguridad