You are here

Noticias

Página web de Blackberry hackeada para minar criptomonedas

Hispasec - Sun, 14/01/2018 - 10:00
El código usado para este incidente ha sido del servicio de scripts de minería CoinHive.

Logo de la empresa CoinHive y de la criptomoneda Monero.
Que las criptomonedas están ganando popularidad día a día es un hecho. Tanto es así que ha habido numerosos casos de webs vulneradas para minar criptomonedas ilegalmente, el último caso es el de la empresa de telefonía Blackberry.

El atacante habría entrado en la web de la conocida marca de teléfonos para usar los recursos de sus visitantes para minar. En este caso, la moneda en cuestión que se estuvo minando fue Monero.

La empresa CoinHive, autora del código usado para minar en la web, explica en el foro de Reddit que había una vulnerabilidad en el software de la tienda de Blackberry, la cuál fue explotada por el atacante. Tras el descubrimiento de la ilegalidad, CoinHive ha cerrado la cuenta del usuario por violación de términos del servicio.

Segun explica la propia web de scripts, esa vulnerabilidad encontrada en la web de Blackberry ha sido utilizada para vulneras más webs.

Blackberry por su parte ya ha borrado el código y asegura que la web vuelve a ser segura de nuevo.

A medida que aumente el valor de las criptomonedas, esto va a ser más usual.


Daniel Púa
@acek_101
dpua@hispasec.com
Más información:
Infosecurity Magazine:https://www.infosecurity-magazine.com/news/monero-cryptomining-invades/






Categories: Seguridad

Credenciales por defecto en Intel AMT permiten obtener control total del equipo

Hispasec - Sat, 13/01/2018 - 12:29
Llevamos solo dos semanas, pero a Intel ya se le está haciendo largo 2018. Mientras aún resuenan los ecos de Meltdown y Spectre, que creemos tardarán bastante en extinguirse, se descubre una nueva vulnerabilidad que afecta, esta vez en exclusiva, a sus productos.



En este caso se trata de un fallo en la tecnología 'Active Management Technology' (AMT), presente en equipos portátiles de gama corporativa. AMT es un acceso de administración remoto utilizado para administrar, mantener e inventariar el parqué de equipos de gama empresarial. Está presente en sistemas Intel vPro y en algunas estaciones de trabajo con procesadores de la familia Xeon.

Descubierto por la empresa finlandesa F-Secure en julio de 2017, el fallo se encuentra en una provisión incorrecta de fabrica de las credenciales de administración, y permite no solo el acceso administrativo al propio AMT, sino evitar además toda medida de seguridad adicional implementadas en el equipo (contraseñas de BIOS, sistema operativo, cifrado de disco), obteniendo acceso privilegiado al sistema de forma remota.

Al iniciar estos equipos de forma local, es posible acceder a la extensión para la BIOS de AMT antes de que cualquier credencial sea requerida (incluida la contraseña de BIOS). Una vez el sistema lo requiera, un usuario malintencionado puede acceder simplemente introduciendo la contraseña por defecto: admin.




A partir de aquí, se puede configurar el acceso remoto a través de AMT, desactivar el consentimiento del usuario y empezar a gestionar el sistema a través de VNC . Aunque por defecto está limitado a accesos desde la misma red cableada, se puede configurar la opción de hacerlo a través de la misma red Wi-Fi o incluso dirigir al usuario hacia un servidor externo controlado por el atacante, usando para ello 'Client Initiated Remote Access'CIRA.

A través de este acceso privilegiado, el atacante podrá leer y escribir cualquier fichero al que el usuario tenga acceso, además de ejecutar cualquier programa en su equipo.

Según F-Secure, este fallo no es una vulnerabilidad, si no un problema de configuración. Por ello, instan a seguir las buenas prácticas definidas por Intel para evitarlo. Guía que, por otro lado, parece no estar teniendo impacto real, ya que según su experiencia los equipos con AMT no están siendo configurados para garantizar la seguridad.

No es la primera vez que Intel se encuentra con problemas en AMT. El pasado mayo se publicó una vulnerabilidad que permitía a un atacante obtener privilegios del sistema a través de un fallo en el manejo de la autenticación a través de HTTP Digest.

Recordemos que, a pesar de que no se trata de una vulnerabilidad de software, las credenciales por defecto siguen siendo un grave fallo de seguridad (forman parte del OWASP Top-10 como "Security Misconfiguration"). En este caso, el problema obtiene aún más visibilidad debido a la delicada situación de Intel en las últimas semanas.



Francisco Lópezflopez@hispasec.com@zisk0Más información:
A Security Issue in Intel’s Active Management Technology (AMT):https://youtu.be/aSYlzgVacmw

Intel(R) Active Management Technology MEBx Bypass:
https://sintonen.fi/advisories/intel-active-management-technology-mebx-bypass.txt
Explained — How Intel AMT Vulnerability Allows to Hack Computers Remotely:https://thehackernews.com/2017/05/intel-amt-vulnerability.html

Categories: Seguridad

macOS High Sierra y las contraseñas ignoradas

Hispasec - Fri, 12/01/2018 - 09:30
Se ha descubierto una nueva vulnerabilidad en macOS High Sierra, que permite acceder a una parte de las preferencias del sistema con cualquier contraseña




Probabablemente una de las vulnerabilidades más sencillas de reproducir. Basta con tener el sistema operativo macOS en su versión 10.13.2, haber iniciado sesión desde una cuentra de administrador local y seguir los siguientes pasos:

  • Abrir el panel de preferencias de la App Store desde Preferencias del Sistema
  • Haz click en el candado para desbloquear el panel
  • Introduce cualquier contraseña

El resultado es ciertamente alarmante: El panel se encuentra desbloqueado como si se hubiese introducido la contraseña correcta, y se puede cambiar cualquier opción de este panel. De entre todas las opciones disponibles, es particularmente peligroso poder desactivar las actualizaciones del mismo sistema operativo:


La única pega es que, como hemos indicado antes, debemos tener el rol de administrador. También deberíamos tener en cuenta que la protección del candado que permite bloquear y desbloquear las acciones sobre este panel en concreto se implementó hace pocas versiones. La cosa es que no es la primera vez en los últimos meses que Apple comete un fallo "tonto" en el manejo de contraseñas en las interfaces gráficas principales de macOS. Desde mostrar la contraseña de un volumen cifrado en la pista de contraseña hasta sobreescribir directamente la contraseña de administrador (root) sin más.

La forma de corregir esta vulnerabilidad es esperando a que salga la versión 10.13.3 en los próximos días, ya que esta vulnerabilidad está corregida en la última beta de esa versión.



Carlos Ledesma
cledesma@hispasec.com


Más información:
macOS High Sierra's App Store System Preferences Can Be Unlocked With Any Password
https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/

AppStore Preferences lock is a lie
https://openradar.appspot.com/36350507

El nuevo sistema operativo macOS 'High Sierra' se estrena con una grave vulnerabilidad
http://unaaldia.hispasec.com/2017/10/el-nuevo-sistema-operativo-macos-high.html
Categories: Seguridad

Vulnerabilidades en NAS Western Digital MyCloud

Hispasec - Thu, 11/01/2018 - 10:00
Desde Gulftech se ha liberado el estudio sobre un conjunto de vulnerabilidades en la conocida familia de servidores NAS, Western Digital MyCloud. La más grave, permitiría tomar el control del dispositivo al aprovechar varias vulnerabilidades en el servicio HTTP de administración remota, alertándose además de un backdoor presente en el firmware y no documentado, entre otros impactos.Según las investigaciones llevadas a cabo por Gulftech en junio del pasado año, y coordinadas después con el fabricante para la publicación del parche, los dispositivos se verían afectados por las siguientes vulnerabilidades:

  • Salto de restricciones que permitiría subir ficheros al dispositivo (CVE-2017-17560) :
Existirían unas incorrectas políticas de seguridad en el fichero "web/pages/jquery/uploader/multi_uploadify.php" al utilizar la función php "gethostbyaddr". Un atacante remoto con una petición especialmente manipulada, podría subir ficheros al dispositivo sin autenticarse; por ejemplo, una webshell al servidor NAS. Existen exploits disponibles que aprovechan esta vulnerabilidad, ya que fue también descubierta por el grupo Exploiteers en junio de 2017, los cuales publicaron un PoC y se ha adaptado a Metasploit. 

  • Cuenta de administración remota no documentada "mydlinkBRionyg":
Tras realizar un reversing a los módulos cgi del dispositivo, se descubrió que existía un usuario de administración remota activo y no documentado. Este 'backdoor' se localizaba en el cgi "/cgi-bin/nas_sharing.cgi" y acepta como login válido al usuario "mydlinkBRionyg" con password "abc12345cba"
if (!strcmp(v3, "mydlinkBRionyg") && !strcmp((const char *)&v9, "abc12345cba") )

  • Otras vulnerabilidades:
El resto de vulnerabilidades reportadas, aunque requerirían autenticación en el servidor, facilitarían ataques de tipo XSRF, ya que virtualmente la protección no estaría activa. Llamadas del tipo:
http://wdmycloud/web/dsdk/DsdkProxy.php?;rm -rf /; 
Permitirían eliminar el contenido del sistema si un usuario autenticado lo visitara. Otras vulnerabilidades comentadas en el reporte son, la inyección de código, denegaciones de servicio o la revelación de información sensible del dispositivo.
Finalmente, el análisis concluye que la elección del nombre de usuario "mydlinkBRionyg" no es casual, ya que se determina que esta familia de dispositivos de Western Digital comparte código con el fabricante D-Link, tras analizar el firmware del modelo DNS-320L ShareCenter, aunque estos no se vean, por el momento, afectados. 
Parches y contramedidas disponibles
Las vulnerabilidades han sido corregidas por el fabricante en su versión 2.30.174 del firmware, según el reporte oficial, aunque existen avisos en los foros de Western Digital, alertando que algunas de ellas todavía seguirían activas tras aplicar el firmware. 
Por ello el fabricante ha declarado que en determinadas versiones (2.xx del firmware) y configuraciones (configuración por defecto, port forwarding y/o Dashboard Cloud Access activado) se deberían desactivar dichas funcionalidades y esperar a una nueva actualización.
Los dispositivos vulnerables y sus versiones serían: 
MyCloud <= 2.30.165 MyCloudMirror <= 2.30.165 My Cloud Gen 2 My Cloud PR2100 My Cloud PR4100 My Cloud EX2 Ultra My Cloud EX2 My Cloud EX4 My Cloud EX2100 My Cloud EX4100 My Cloud DL2100 My Cloud DL4100 

José Mesa@jsmesa

Más información:

WDMyCloud Multiple Vulnerabilities 
http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125 

Western Digital My Cloud Update 
https://blog.westerndigital.com/western-digital-cloud-update/ 

Multiple serious vulnerabilitys including Backdoor etc. as disclosed by gulftech.org 
https://community.wd.com/t/multiple-serious-vulnerabilitys-including-backdoor-etc-as-disclosed-by-gulftech-org/219436/5

CVE-2017-17560 Detail
https://nvd.nist.gov/vuln/detail/CVE-2017-17560 

Western Digital MyCloud - 'multi_uploadify' File Upload (Metasploit) 
https://www.exploit-db.com/exploits/43356/ 

Exploiteers DEFCON25 - WD MyCloud
https://www.exploitee.rs/index.php/Western_Digital_MyCloud#.2Fjquery.2Fuploader.2Fmulti_uploadify.php_.28added_08.2F06.2F2017.29
https://download.exploitee.rs/file/generic/Exploiteers-DEFCON25.pdf 
Categories: Seguridad

Un fallo en el wallet Electrum podría permitir la sustracción total del mismo

Hispasec - Wed, 10/01/2018 - 08:00
Ha sido publicada una vulnerabilidad en el wallet Electrum que podría permitir a una página maliciosa realizar mediante javascript una conexión RPC al interfaz Electrum. Este fallo podría permitir el robo de información de transacciones, la modificación de configuración y en caso de no tener password la sustracción total del wallet.




El vector de ataque más común es el acceso http a localhost, este tipo de conexiones son bloqueadas por los navegadores modernos, por ello sería más habitual la explotación de electrum server en casos en que el atacante tenga acceso directo a localhost, como un hosting compartido. Las versiones afectadas van desde la 2.6 de noviembre de 2015, hasta las más actuales. El bug ha sido corregido en la versión 3.0.5.

Se han detectado también escaneos buscando electrum server en hostings compartidos, especial atención con electrum server, sobretodo en hostings compartidos.

La recomendación es actualizar a la 3.0.5, aunque para los más paranoicos, sería recomendable generar un nuevo wallet en la 3.0.5 y transferir allí los activos, por si se descubren otros vectores de explotación.


Angel López
@alopezcrypto


Más información:
Referencias:https://github.com/spesmilo/electrum/blob/master/RELEASE-NOTES
https://bitcointalk.org/index.php?topic=2702103.0
https://github.com/spesmilo/electrum/issues/3374

Unaaldia:
http://unaaldia.hispasec.com/2017/08/cuidado-donde-gastas-tus-bitcoin-puede.html
http://unaaldia.hispasec.com/2017/11/fallo-de-seguridad-en-un-wallet-de.html
http://unaaldia.hispasec.com/2017/12/la-casa-de-intercambio-de-bitcoin.html








Categories: Seguridad

Ejecución remota de código en AMD Secure Processor

Hispasec - Tue, 09/01/2018 - 10:00
Cfir Cohen, del equipo de investigadores de seguridad de Google, ha descubierto un fallo en los microcontroladores PSP de AMD que permitiría a un atacante remoto ejecutar código arbitrario.



AMD Secure Procesor o AMD PSP (Platform Security Processor) es un microcontrolador incluido en los procesadores AMD dedicado entre otras cosas a gestionar la seguridad de los procesos.


La vulnerabilidad permitiría a un atacante remoto ejecutar código arbitrario debido a un error de validación en el código del firmware del módulo TPM (Módulo de plataforma confiable)

Para ello, el atacante podría utilizar un certificado especialmente manipulado que provocara un desbordamiento de la pila en la función 'EkCheckCurrentCert'. Esta función es llamada a través de otra: 'TPM2_CreatePrimary', que no comprueba si la longitud de los certificados (EK) está dentro de los límites, lo que podría provocar el desbordamiento de la pila:

NESTED_CERT_DATA1 = '\x03\x82\x07\xf0' + 'A * 0x7f0
NESTED_CERT_DATA2 = '\x03\x82' + pack('>H', len(NESTED_CERT_DATA1)) +
NESTED_CERT_DATA1
CERT_DATA = '\x03\x82' + pack('>H', len(NESTED_CERT_DATA2)) +
NESTED_CERT_DATA2

En esta prueba de concepto se consigue el control total del contador de programa:

EkCheckCurrentCert+c8    : B               loc_10EE4
EkCheckCurrentCert+60    : LDR             R4, =0xB80
EkCheckCurrentCert+62    : ADDS            R4, #0x14
EkCheckCurrentCert+64    : ADD             SP, R4
EkCheckCurrentCert+66    : POP             {R4-R7,PC}
41414140                 : ????
|
R0=ff,R1=f00242c,R2=f001c24,R3=824,R4=41414141,R5=41414141,R6=41414141,R7=41414141,PC=41414140,SP=f003000,LR=11125

La vulnerabilidad fue debidamente notificada a AMD y corregida en una actualización de la BIOS.


Francisco Salido
fsalido@hispasec.com
Más información:
AMD-PSP: fTPM Remote Code Execution via crafted EK certificate
http://seclists.org/fulldisclosure/2018/Jan/12

Secure Hardware and the Creation of an Open Trusted Ecosystem
https://classic.regonline.com/custImages/360000/369552/TCC%20PPTs/TCC2013_VanDoorn.pdf





Categories: Seguridad

Ejecución de código remota en Cisco IOS

Hispasec - Mon, 08/01/2018 - 09:00
Cisco IOS: vulnerabilidad de ejecución remota de código a través de SNMP



Introducción


Recientemente se ha descubierto una vulnerabilidad que permitiría a un atacante la ejecución de código remoto a través del protocolo SNMP en Cisco IOS.

Cisco IOS es el software usado por la empresa Cisco Systems en sus dispositivos de red(routers, switches...etc). Por otro lado el protocolo SNMP es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red.


Vulnerabilidad

El ataque se lleva a cabo mediante el uso  de paquetes SNMP (IPv4o IPv6) formados de una manera concreta. La vulnerabilidad se debe a una condición de desbordamiento de búfer en la implementación de SNMP por parte de Cisco IOS.

Esta vulnerabilidad está presente en todas las versiones de SNMP (1, 2c y 3). Pero con una particularidad, para explotar estas vulnerabilidades a través de SNMP 2c o anterior, el atacante debe conocer la cadena de solo lectura de SNMP del sistema afectado.

Para explotar la vulnerabilidad en versiones superiores a la 2c, osea la 3, el atacante debe conocer las credenciales del usuario para el sistema afectado.

Todos los dispositivos de la compañía que hayan habilitado el protocolo SNMP y no haya excluido explicitamente 'MIB' u 'OID' son vulnerables.

MIB y OID

MIB o Management Information Base es una colección que definen las propiedades de un objeto gestionado dentro del dispositivo donde queremos llevar a cabo la administración. Los ficheros MIB se escriben en un formato concreto y contiene la información organizada jerárquicamente. Se puede acceder a esta colección mediante SNMP como es lógico.

OID o Object Identifiers es el identificador único que permite el manejo de los objetos en la colección MIB.


Exploit

La prueba de concepto (PoC) puede ser descargada desde el siguiente enlace.


CVE

La vulnerabilidad ha sido recogida en el CVE-2017-6736


Créditos

Artem Kondratenko: https://packetstormsecurity.com/files/author/12898/




Mario Parra
@MPAlonso_Más información:
Referencias:https://packetstormsecurity.com/files/145727/Cisco-IOS-SNMP-Remote-Code-Execution.html
https://packetstormsecurity.com/files/cve/CVE-2017-6736





Categories: Seguridad

SQL Injection en iJoomla Ad Agency

Hispasec - Sun, 07/01/2018 - 09:00
Descubierta vulnerabilidades SQLInjection en iJoomla Ad Agency



Introducción

iJoomla Ad Agency es una extensión para el conocido CMS Joomla que se usa para generar ingresos con el tráfico de nuestro sitio. Los ingresos se obtienen mediante la publicidad en nuestro sitio. Este componente nos permite añadir y modificar publicidad fácilmente.


Explicación

La vulnerabilidad de SQL Injection se encuentra en los parámetros 'advertiser_status' y 'status_select' del módulo 'com_adagency'.

Un atacante puede construir un método 'GET' malicioso que ejecute los comandos para el SQL Injection a través de los parámetros vulnerables citados antes. Estos parámetros se encuentran en el fichero 'index.php'. Para explotar esta vulnerabilidad es necesario un usuario con privilegios y puede explotarse de manera remota.


Explotación

Para explotar esta vulnerabilidad solo tenemos que modificar la petición de la URL e incluir el parámetro de SQL Injection en el parámetro 'advertiser_status':


SQL PoCSQL PoCExploit
Versión vulnerable y Parche

La versión vulnerable: 6.0.9
La vulnerabilidad está corregida en la última actualización de 'com_adagency'

Créditos

Esta vulnerabilidad ha sido descubierta por Benjamin K.M.[bkm () vulnerability-lab com] 
https://www.vulnerability-lab.com/show.php?user=Benjamin+K.M.

Mario Parra
@MPAlonso_Más información:
Reporte:http://seclists.org/fulldisclosure/2018/Jan/11http://www.vulnerability-lab.com/get_content.php?id=1927




Categories: Seguridad

Corregidas graves vulnerabilidades en EMC y VMware vSphere Data Protection

Hispasec - Sat, 06/01/2018 - 20:35
El fabricante Dell EMC ha corregido tres importantes vulnerabilidades que podrían facilitar a un atacante remoto controlar el servidor. Las vulnerabilidades se presentarían en la familia EMC Data Protection Suite, en la que también se basa VMware vSphere Data Protection.


Los investigadores de Digital Defense, han publicado un reporte alertando de tres vulnerabilidades por salto de restricciones que permitirán tomar el control total del servidor:

  • Salto de restricciones de autenticación a través de "SecurityService" (CVE-2017-15548):
    Existen unas incorrectas políticas de seguridad a la hora de controlar las peticiones SOAP al servidor, que podrían ser utilizadas para saltar restricciones de autenticación y poder realizar un login válido. 
  • Salto de restricciones de acceso a ficheros a través de "UserInputService" (CVE-2017-15550):
  • Existiría una incorrecta validación de usuario en la clase "UserInputService", en concreto en el método "getFileContents", que permitiría acceder y descargar ficheros del servidor. Además, al estar ejecutándose en el servidor como root, se tendría acceso a cualquier fichero del mismo.
  • Salto de restricciones por subida de ficheros a través de la clase "UserInputService" (CVE-2017-15549):
  • Existiría una incorrecta validación de parámetros en el método "saveFileContents", que permitiría generar rutas arbitrarias de subida de ficheros al servidor.
Todas las vulnerabilidades, en combinación, permitirían conseguir un control total del servidor, bien mediante la subida de una shell o la modificación de los ficheros de configuración y acceso para crear nuevos credenciales.

Tanto Dell EMC como VMware han publicado los parches necesarios para corregir urgentemente estas vulnerabilidades, siendo las versiones afectadas las siguientes:

  • Avamar Server 7.1.x, 7.2.x, 7.3.x, 7.4. x, 7.5.0
  • NetWorker Virtual Edition 0.x, 9.1.x, 9.2.x
  • Integrated Data Protection Appliance 2.0
  • VMware vSphere Data Protection 5.x, 6.x




José Mesa
@jsmesa
Más información:
Avamar Zero-Day
https://www.digitaldefense.com/blog/zero-day-alerts/avamar-zero-day/
ESA-2018-001: EMC Avamar Server, NetWorker Virtual Edition and Integrated Data Protection Appliance Multiple Security Vulnerabilities
http://seclists.org/fulldisclosure/2018/Jan/17
VMSA-2018-0001vSphere Data Protection (VDP) updates address multiple security issues.https://www.vmware.com/security/advisories/VMSA-2018-0001.html

Categories: Seguridad

Meltdown y Spectre: Graves vulnerabilidades en los procesadores de los principales fabricantes

Hispasec - Fri, 05/01/2018 - 08:05
Tres vulnerabilidades graves han sido descubiertas en las versiones modernas de los procesadores Intel, AMD y ARM, que permiten en el peor de los casos leer memoria reservada privada del kernel desde código no privilegiado




Solution: Replace CPU hardware (Solución: Reemplace el procesador). Así rezaba la nota en CERT/CC sobre estas tres vulnerabilidades. Afortunadamente, actualmente anuncia como solución actualizar los diversos sistemas operativos que suelen correr sobre los procesadores afectados. Y esto es básicamente lo que deben hacer los usuarios de a pie, mantener sus sistemas operativos actualizados, así como un antivirus. No nos cansamos de repetir esto, como podéis observar.

En resumen, todo procesador moderno está afectado en mayor o menor medida. Ya hemos visto que para estas vulnerabilidades la solución recomendada es actualizar el sistema operativo. Lo cierto es que los usuarios de a pie tampoco pueden hacer mucho más. Está claro que no vas a tirar el procesador, o cambiarlo por otro modelo moderno probablemente igual de vulnerable. (¿o quizás sí y cambiar tu Intel por un AMD menos vulnerable como veremos ahora?).

En cualquier caso, los parches que pueden ofrecer los sistemas operativos estarán básicamente restringidos a evitar la explotación de una de las tres vulnerabilidades, la conocida como Meltdown (CVE-2017-5754). Las otras dos, bajo el nombre Spectre (CVE-2017-5753 y CVE-2017-5715) no se pueden mitigar completamente a pesar de los parches que salgan, aunque se puede dificultar la facilidad con que se explotan, o detectar programas conocidos que intenten explotarlas. Estas dos vulnerabilidades bajo el nombre Spectre tienen las mismas consecuencias, por lo que se puede explicar lo básico de forma conjunta.

La incidencia de estas vulnerabilidades afecta principalmente a los servidores que corren múltiples procesos de múltiples usuarios, ya que es posible acceder a la información de otros usuarios a través de estas vulnerabilidades. Para el usuario de a pie, con mantener actualizado el sistema operativo y un antivirus, es suficiente. También se ha hablado de disminución en el rendimiento provocada por los parches para estas vulnerabilidades, pero lo cierto es que para el usuario de a pie es despreciable.

Vamos a hacer una comparativa básica de Meltdown y Spectre:

  • Productos afectados: Meltdown afecta a casi todo procesador Intel producido después de 1995 (y a algunos ARM's). Spectre afecta prácticamente a todos los procesadores modernos de Intel, AMD y ARM, en mayor o menor medida.
  • Impacto: Meltdown permite leer memoria privada del kernel desde código no privilegiado. Spectre también permite leer memoria, pero del mismo proceso o de otro distinto.
  • Dificultad de explotación: Meltdown es relativamente fácil de explotar, y la parte principal del exploit es básicamente universal. Spectre requiere conocimiento profundo del código de los procesos a explotar, y por tanto los exploits son personalizados por objetivo.
  • Solución: Para Meltdown vale con que los sistemas operativos cambien su manera de trabajar con la memoria. Para Spectre no hay parches definitivos (¿tirar el procesador a la basura?), pero lo básico es actualizar el sistema operativo y un antivirus, como dijimos previamente.

Ya para los más avanzados, sigue una explicación técnica de las vulnerabilidades. Sin embargo, hasta para la mayoría de éstos es necesario hacer un repaso básico de algunos conceptos de arquitectura de computadores. Los conceptos se simplifican lo máximo posible:


  • Los procesadores modernos no siempre leen directamente de la memoria, sino que primero consultan una memoria caché, que se encarga de almacenar las entradas de memoria que son accedidas con más frecuencia. Es una memoria bastante limitada en tamaño, cuyas entradas más antiguas y menos accedidas se van eliminando en favor de entradas nuevas. La ventaja que tiene esto es que si una entrada está en la memoria caché, ahorras la lectura de la memoria principal, que es más lenta.

  • La ejecución fuera de orden permite cambiar el orden de las instrucciones a ejecutar en un programa, o incluso ejecutarlas simultáneamente (siempre conservando la lógica original). Esto es algo que hace el procesador por su cuenta para mejorar la velocidad de ejecución. El procesador lleva un registro de la ejecución, y revierte los efectos de instrucciones que se adelantaron si resulta que una instrucción anterior provocó algún error o se saltó a otro sitio y esas instrucciones adelantadas no debieron ejecutarse.

  • A veces, la ejecución fuera de orden llega a una instrucción de salto cuya dirección de destino depende de instrucciones previas a la instruccion de salto que no han sido ejecutadas todavía (precisamente por lo que hace la ejecución fuera de orden). El procesador entonces realiza la llamada ejecución especulativa, que consiste en predecir la dirección de salto, saltar y seguir la ejecución. De forma similar a lo que ocurre en la ejecución fuera de orden, esto lo hace llevando un registro de los cambios realizados tras la predicción, para poder volver al estado original si la predicción fue fallida. Si no, se ha ahorrado tiempo.

  • Para la ejecución especulativa, es necesario predecir de alguna forma la dirección del salto. Para eso existen diversas implementaciones de predicción de saltos en los procesadores, generalmente basados en el mismo principio de direcciones de salto más frecuentes desde cierta dirección almacenada.

Espero que no haya sido muy duro :)
A continuación la descripción técnica de las dos primeras vulnerabilidades (la tercera es una variación de la segunda fácil de comprender si se entiende ésta):

Meltdown (CVE-2017-5754)
Una de las cosas principales que permite la existencia de estas vulnerabilidades es lo mal que están implementadas la ejecución fuera de orden, la especulativa, la predicción de saltos... Desde el punto de vista de la seguridad. Por ejemplo, en la ejecución especulativa, cuando la predicción de salto falló y en realidad se ejecutó código que no debía ejecutarse, recordamos que se deshacen todos los cambios pertinentes... Bueno, no todos. La memoria caché no vuelve a su estado original.
Es decir, que la ejecución de ese código realmente sí deja cierta huella. Dejando de lado la seguridad, que cambie un poco la caché puede afectar ligeramente a la velocidad de acceso a las entradas, que se hayan perdido entradas de la caché que valían... Pero poco más... El problema viene cuando estos cambios en la caché que no deberían haber ocurrido permiten revelar información de una forma algo compleja, como veremos ahora...
Recordamos que Meltdown se usa para leer memoria privada del kernel desde código no privilegiado. Un proceso no privilegiado en los sistemas operativos modernos tiene en su espacio de direcciones un trozo reservado para el kernel, aunque no vaya a usarse directamente (por razones que no vienen al caso). Por tanto, intentar acceder a esta zona de la memoria genera una excepción y se aborta la ejecución del programa.
El problema principal que permite la existencia de Meltdown es que los procesadores afectados no manejan correctamente estos accesos ilegales cuando se ejecutan instrucciones fuera de orden. Esto permite que se ejecute la instrucción que accede ilegalmente al trozo del kernel, pero para cuando el procesador se prepara para manejar la excepción generada por el acceso ilegal, ya se habrán ejecutado unas cuantas instrucciones por delante de la instrucción que accedió ilegalmente.
En principio esto no debería ocasionar problema alguno, ya que como explicamos, en la ejecución fuera de orden se revierte todo... Excepto el estado de la memoria caché. El siguiente trozo de código nos explica cómo se puede aprovechar esto:

Extraído de https://meltdownattack.com/meltdown.pdf
'rcx' es la dirección del kernel que queremos leer, y 'rbx' un array que usaremos para recuperar indirectamente el valor de 'al', el byte leído del kernel (ahora veremos cómo). Ignorando las líneas 3, 5 y 6 para la explicación básica, en la línea 4 leemos el byte del kernel. Y en la línea 7 accedemos a una dirección de memoria que dependerá del valor del byte leído del kernel (en la línea 5 se transforma un poco, y recordemos que el registro 'al' es un subconjunto del registro 'rax').

Básicamente, acabamos de provocar que cambie la caché almacenando la dirección a la que se ha accedido en la línea 7 dependiendo del byte leído del kernel. Esto lo permite la ejecución fuera de orden, ya que deja ejecutar varias instrucciones por delante antes de lanzar la excepción por acceso ilegal, y que la caché no se restaura cuando la excepción ocurre.

A partir de aquí, es posible darse cuenta de qué dirección cambió en la caché de forma indirecta. Si previamente se preparó la caché para que no contuviese ninguna entrada asociada al array 'rbx', tras ejecutar el código de la imagen la caché contendrá una única entrada de ese array. Si intentamos acceder una a una a todos las posibles direcciones a las que se pudo acceder en la línea 7, notaremos que una de las direcciones se accede muy rápidamente... Porque ya estaba en la caché, gracias a la línea 7.

Sabiendo la dirección que está en la caché, se puede recuperar el byte leído del kernel (ya que esa direccion dependía de ese byte, y de una forma fácil de deducir). Si se hace esto para cada uno de los bytes del trozo del kernel, podremos leer efectivamente todo la memoria reservada al kernel. Una última cosa a tener en cuenta es que tendremos que manejar la excepción de alguna forma, para que no aborte el programa. Esto se hace de forma legal sin problema alguno.



Spectre (CVE-2017-5753)
Esta vulnerabilidad se basa en engañar al sistema de predicción de saltos, para que en una estructura condicional tipo 'if' salte a la rama equivocada y la ejecución especulativa deje huellas en la caché, como pasa en Meltdown. El código explotable por esta vulnerabilidad tiene que seguir un patrón específico. Por tanto, habrá que buscar en el proceso objetivo un trozo de código con ciertas características. A continuación, un ejemplo simplificado del tipo de código que buscamos:

Extraído de https://spectreattack.com/spectre.pdf

En este trozo de código, 'x' debe ser una variable controlada por el atacante (una entrada externa a un programa, como un argumento o un valor de un paquete de red). Básicamente la idea es buscar un valor de 'x' que haya que la carga de 'array[x]' apunte a la dirección de memoria que queremos extraer (¿una contraseña en memoria?). La comprobación del 'if' es una comprobación clásica de seguridad, para evitar que se acceda a memoria fuera de rango en la instrucción de dentro. Y seguramente 'x' sea demasiado grande para pasar la comprobación. La gracia está en que podemos engañar al sistema de predicción de saltos para que ejecute especulativamente lo de dentro, dejando huella en la caché dependiendo del valor de 'x', al estilo de Meltdown.
Tiene que darse una serie de condiciones para que se pueda explotar, y todavía no se ha explicado cómo es posible engañar al sistema de predicción de saltos o extraer información de la caché, especialmente estando en procesos totalmente distintos. Lo básico será conseguir que se ejecute ese código en el proceso víctima, está claro. Para esto, tenemos que realizar alguna acción que lleve a ello. Por ejemplo, si ese código se encarga de manejar peticiones HTTP, podemos mandarle una.
Respecto al tema de engañar al sistema de predicción de saltos... Resulta que el BTB (Branch Target Buffer), la tabla que se usa para llevar un registro de los saltos más comunes para permitir la ejecución especulativa, es compartida entre procesos. No sólo eso, ni siquiera almacena toda la dirección de salto, sino simplemente los 20 bits inferiores. Esto permite que desde un proceso puedas afectar a la BTB desde el proceso atacante, ejecutando múltiples veces un salto desde la misma dirección (o que al menos coincidan los 20 bits inferiores), y que salte al mismo sitio al que nosotros queremos que la víctima salte.

Con esto ya se tiene la primera parte del ataque. Se controla 'x' para que apunte a una zona de memoria que queramos leer, se engaña al sistema de predicción de salto para que ejecute lo que hay dentro del 'if' y deje huella en la caché por la ejecución especulativa. La caché es compartida entre procesos,y si bien no se pueden recuperar entradas de otro proceso, se puede aprovechar el hecho de que las entradas de la caché de diferentes procesos compiten entre ellas por el mismo hueco, y se echan unas a otras. Esto es, el proceso atacante llena la caché con sus entradas, y después de ejecutar el exploit, podemos empezar a leer de memoria, a ver cuál es más lenta y por tanto ha sido echada de la caché por el proceso víctima.

Advertencia

Hemos hecho un esfuerzo para ofrecer una introducción técnica a estas vulnerabilidades, una introducción corta y básica. Para ello hemos esquivado detalles y probablemente cometido alguna que otra herejía explicando conceptos. Esta explicación no pretende ser exhaustiva ni usarse como referencia, para ello están las referencias oficiales en las siguientes páginas:

  • https://meltdownattack.com/
  • https://spectreattack.com/
  • https://googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-with-side.html



Carlos Ledesma
cledesma@hispasec.com


Más información:
Vulnerability Note VU#584653 - CPU hardware vulnerable to side-channel attacks
https://www.kb.cert.org/vuls/id/584653

Meltdown and Spectre - Bugs in modern computers leak passwords and sensitive data
https://meltdownattack.com/
https://spectreattack.com/

Reading privileged memory with a side-channel
https://googleprojectzero.blogspot.com.es/2018/01/reading-privileged-memory-with-side.html

Meltdown y Spectre: así es la pesadilla en la seguridad de las CPUs de Intel, AMD y ARM
https://www.xataka.com/seguridad/meltdown-y-spectre-asi-es-la-pesadilla-en-la-seguridad-de-las-cpus-de-intel-amd-y-arm

Cómo actualizar todos tus sistemas operativos y navegadores para frenar a Meltdown y Spectre
https://www.xataka.com/seguridad/como-actualizar-todos-tus-sistemas-operativos-y-navegadores-para-frenar-a-meltdown-y-spectre

A Simple Explanation of the Differences Between Meltdown and Spectre
https://danielmiessler.com/blog/simple-explanation-difference-meltdown-spectre/

Negative Result: Reading Kernel Memory From User Mode
https://cyber.wtf/2017/07/28/negative-result-reading-kernel-memory-from-user-mode/

Categories: Seguridad

Actualización en el software de integración continua Atlassian Bamboo soluciona dos graves vulnerabilidades

Hispasec - Thu, 04/01/2018 - 18:24
Han sido descubiertas dos vulnerabilidades en Bamboo, del grupo Atlassian, que podría permitir la ejecución remota de código en el host de Bamboo y la ejecución arbitraria de argumentos sobre un servidor Mercurial configurado en el sistema.





Bamboo es una herramienta pertenecientes a la suite para empresas y desarrolladores de software Atlassian, creado específicamente para satisfacer los ciclos de integración continua y despliegue de aplicaciones.

Las dos vulnerabilidades han recibido los identificadores CVE-2017-14589 y CVE-2017-14590.

La primera de ellas, la vulnerabilidad asociada al CVE-2017-14589, permitiría a un atacante remoto ejecutar código a través de una web especialmente manipulada que sea visitada por la administración del host. El código que permite la vulnerabilidad pertenece a la librería de código abierto para JavaOGNL, que permite el uso del lenguaje de expresiones del mismo nombre.

La segunda de ellas, asociada al CVE-2017-14590, podría permitir a un usuario de la plataforma poder ejecutar argumentos contra un servidor Mercurial configurado en el sistema, saltándose las restricciones de acceso definidas por la propia plataforma y de este modo permitir la ejecución arbitraria de parámetros. Esto daría a este atacante la posibilidad de insertar argumentos arbitrarios sobre el servidor Mercurial.

Estos dos fallos ya han sido solucionados a partir de las versiones 6.1.6 y 6.2.5, por lo que recomendamos desde Hispasec a los usuarios de este software actualizar inmediatamente a la última versión de la rama correspondiente.



Más información:
Bamboo Security Advisory 2017-12-13:https://confluence.atlassian.com/bamboo/bamboo-security-advisory-2017-12-13-939939816.html





Categories: Seguridad

Trackmageddon: Múltiples vulnerabilidades en servicios de localización por GPS

Hispasec - Wed, 03/01/2018 - 17:05
Los investigadores de seguridad Vangelis Stykas y Michael Gruhn han publicado un informe donde exponen múltiples vulnerabilidades que afectan a servicios de localización de dispositivos por GPS.



Estas vulnerabilidades permitirían a un atacante extraer información sobre la posición, número de teléfono, IMEI del dispositivo y posiblemente otro tipo de información personal sobre los usuarios de estos servicios.

Estas empresas se dedican a almacenar en sus bases de datos información que facilite el rastreo de dispositivos con GPS, como localizadores de niños, mascotas o coches entre otros.

En muchos de los servicios analizados esta información se encuentra muy desprotegida: uso de contraseñas comunes, APIs abiertas que no requieren autenticación, referencias inseguras directas (IDOR), etc.

En total más de 100 servicios de localización por GPS presentaban vulnerabilidades que permitirían a un atacante revelar algún tipo de información sobre sus usuarios. Sin embargo, hasta el momento sólo 4 sitios han corregido estos fallos.

Para saber si su dispositivo está afectado puede consultar la lista de servicios que aún no han sido parcheados: https://0x0.li/trackmageddon/#unfixed




Francisco Salido
fsalido@hispasec.com
Más información:
Multiple vulnerabilities in the online services of (GPS) location tracking devices
https://0x0.li/trackmageddon/

http://gpsui.net complete take over of all managed tracking devices
https://0x0.li/trackmageddon/0x0-20171222-gpsui.net.html




Categories: Seguridad

Publicada vulnerabilidad en macOS presente desde hace más de 15 años

Hispasec - Tue, 02/01/2018 - 17:39
El pasado 31 de diciembre fue publicado un 0-Day que permitiría a un atacante local elevar privilegios a root en sistemas macOS hasta la versión 10.13.1.



El desarrollador y hacker amateur @siguza, como así se describe él mismo, publicó en la víspera de año nuevo un fallo oculto en el componente IOHIDFamily desde hace más de 15 años.

Fuck it, dropping a macOS 0day. Happy New Year, everyone. https://t.co/oG2nOlUOjk— Siguza (@s1guza) December 31, 2017
IOHIDFamily es una extensión del kernel utilizada por dispositivos de interfaz humana (HID). A lo largo de su historia, diversos fallos de corrupción de memoria y condiciones de carrera han hecho necesario reescribir gran parte de su código. En este caso la vulnerabilidad reside en la clase IOHIDSystem: el atacante podría modificar el contenido de 'eop->evGlobalsOffset' haciendo que 'evg' apunte a una dirección de memoria arbitraria.

IOHIDSystem::initShmem Fuente: https://siguza.github.io/IOHIDeous/
Mediante ataques ROP, un usuario local podría escalar privilegios y desactivar las protecciones de integridad del sistema SIP (System Itegrity Protection) y AMFI (Apple Mobile File Integrity), pudiendo ejecutar código arbitrario con privilegios de sistema.

Siguza ha sido acusado de revelar de forma irresponsable una vulnerabilidad sin parchear que podría comprometer el sistema completo. Sin embargo el hecho de que sólo sea explotable de forma local reduce mucho las posibilidades de un ataque.

Francisco Salidofsalido@hispasec.com
Más información:
IOHIDeous:https://siguza.github.io/IOHIDeous/
Categories: Seguridad

Posible brecha de seguridad en Nissan Canadá

Hispasec - Mon, 01/01/2018 - 19:38
La brecha podría haber expuesto información de 1.13 millones de canadienses que adquirieron su vehículo a través de la financiera de Nissan




Nissan Canada Finance (NCF) se ha puesto en contacto con sus clientes para informarles de que su información personal podría haberse visto comprometida. El acceso no autorizado se habría realizado el día 11 de diciembre, según tiene conocimiento la financiera. Se desconoce el número de personas y la información exacta que podría haber sido sustraída, por lo que la empresa ya ha avisado a todos sus clientes.

En el acceso, podrían haber obtenido los datos de 1.13 millones de clientes. Entre la información sustraída, se encontrarían el nombre completo, la dirección, vehículo y modelo, número identificativo del vehículo (VIN), puntuación crediticia, cantidad prestada y mensualidades. La empresa no tiene constancia de momento de que puedan haberse visto comprometidos datos de vehículos fuera de Canada, y ha asegurado que las tarjetas de crédito no se han visto afectadas.

Además de avisar a todos sus clientes, Nissan Canada Finance ha ofrecido a todos sus clientes 12 meses gratis en servicios de monitorización de crédito con TransUnion, puedan haberse visto comprometidos o no. También se ha avisado a las agencias de privacidad de Canadá, a las autoridades componentes y ha puesto el caso en manos de expertos de seguridad.


Al menos en esta ocasión, parece que se han tomado medidas rápido y los clientes han sido informados, no intentándose ocultar los hechos.


Juan Antonio Oyague
joyague@hispasec.com
Más información:
Nissan Canada Finance informs customers of possible data breach:http://nissannews.com/en-CA/nissan/canada/releases/nissan-canada-finance-informs-customers-of-possible-data-breach
Categories: Seguridad

VoIP: Lo que nos ha deparado el 2017 y Feliz Año 2018

Sinologic - Sun, 31/12/2017 - 10:00

Como viene siendo habitual en estas fechas, toca echar la vista atrás y hacer una recopilación de lo que ha sido este año, en cuanto a noticias y eventos ha ocurrido.

Empezamos el año anunciando que una de las grandes de las comunicaciones: Avaya, entraba en concurso de acreedores y su más que posible bancarrota. También comenzamos el año con la presentación de lo que inicialmente fue un fork de Elastix: Issabel, que semana tras semana sigue creciendo con fuerza y que acaban de anunciar su primer año con unas cifras record de descargas y apoyos en un software de comunicaciones.

Kamailio también presentaba su versión Kamailio 5.0 con muchas mejoras con respecto a la anterior versión. Misma filosofía, mucha más flexibilidad, agilidad y potencia para aquellos que trabajan día a día con este software, además de confirmarse la KamailioWorld como uno de los eventos más importantes de Europa en cuanto a VoIP. Igualmente, la comunidad de desarrolladores de Asterisk presentaba en la Astricon la versión Asterisk 15 con muchas novedades y soporte para WebRTC.

El 2017 también pasará por ser el año en el que desapareció el roaming dentro de Europa, permitiéndonos a los europeos utilizar nuestras tarifas de datos y de voz en cualquier país de la Unión. No obstante, nos llevábamos un chasco cuando veíamos que, en cambio, si quisiera llamar a un amigo francés en Francia, iba a seguir pagando llamada internacional hasta 10 veces más caro con el operador de siempre, así que, menos mal que tenemos a los operadores IP para poder seguir hablando sin tener que vender órganos.

En la seguridad aprendimos que un virus era capaz de poner en jaque en un solo día a medio mundo y a la semana siguiente a la otra mitad. El WannaCry afectó desde servidores hasta simples terminales de supermercados, por lo que nos enseñó (o debería hacerlo) que estar actualizado es algo vital y que eso de quedarnos en versiones antiguas solo puede traernos cosas malas con el tiempo.

Por último, 2017 pasará a la historia como el año en el que los intereses de unos pocos se pusieron por delante de los intereses de muchos, en el que las empresas de telecomunicaciones junto con los gobiernos acabaron con la Neutralidad de la Red, y les permitieron curiosear con lo que se envía y se recibe para poder ofrecerte mejores tarifas y descuentos, lo que viene siendo “vender tu privacidad a cambio de descuentos en tu factura“.

En resumen, 2017 quedará en la historia como un año de estabilización tras los movimientos de años anteriores, un “tocar fondo” y asentarse para empezar a crecer y mejorar en el año que entra. El año en que la IoT entró en la casa mediante frigoríficos, lavadoras o ventiladores. El año del Blockchain, las criptomonedas y su complejo sistema del que todos sabemos que será el futuro, pero que no será fácil de entender.

Sobre el 2018, va a ser un año de cambios, de movimientos estratégicos, de cambios de paradigmas y para muchos, de enfilar a la buena dirección, para otros será un año para crecer y mejorar sus objetivos, pero sea como sea, Sinologic seguirá estando aquí, con algunos cambios que esperemos sean del interés de todos, deseándoos una feliz entrada de año nuevo, que lo celebréis lo mejor que podáis y que disfrutéis todo lo posible cada minuto del nuevo año que entra con vuestros seres queridos.

Categories: Asterisk

Un repaso del 2017 en la seguridad

Hispasec - Sun, 31/12/2017 - 10:00
2017 será recordado como el año de Wannacry en España y otros países del mundo, pero también por filtraciones como la de Equifax o el exploit en Apache Struts que la provocó




Cada vez se valora más el sector de la seguridad entre gobiernos y empresas, siendo este año el detonante en el ámbito nacional la aparición del randomware Wannacry. Éste afectó a múltiples empresas como Telefónica, Gas Natural o Iberdrola. Los estragos causados de este malware sólo evidencia lo que lleva desde hace tiempo advirtiéndose desde el sector. Cabe recordar, que este Wannacry se aprovechaba de la vulnerabilidad EternalBlue, que ya había sido parcheada en el momento de la propagación.



MalwarePero Wannacry no ha sido el único ransomware de este año: también hemos visto a NotPetya, que afectó en especial a Ucrania y Rusia, haciendo uso de las vulnerabilidades EternalBlue (también usada por Wannacry) y EternalRomance. Además hemos visto a Locky, una variación de este último. Sin duda, este año ha sido el año del ransomware, siendo un denominador común de la mayoría de estos la solicitud de un rescate en Bitcoins.



WannaCry ha sido uno de los ransomware más destacados del presente año
En relación con los rescates en Bitcoins, hemos visto cómo su precio se elevaba hasta los 15.000 dólares, y en el sector de la seguridad nos ha afectado con una nueva tendencia en los malware: el minado de criptomonedas. Uno de estos troyanos fue reportado para Android por Kaspersky, con nombre Loapi. No sólo lo hemos visto en troyanos, sino también al acceder sitios web, como el caso de The Pirate Bay. Aunque este nuevo tipo de ataques acaba de comenzar, podría convertirse en una tendencia en 2018 debido al alza de las monedas digitales.



VulnerabilidadesEn cuanto a las vulnerabilidades que han sido aprovechadas y descubiertas este 2017, tenemos a las ya mencionadas EternalBlue y EternalRomance, vulnerabilidades encontradas en el protocolo SMB. Estas dos vulnerabilidades pertenecerían a la supuesta vulneración que sufrió la NSA en 2016 de un ingente número de troyanos supuestamente desarrollados por ellos, y por los que el grupo The Shadow Brokers buscaba recaudar 1 millón de Bitcoins en una puja pública.

Mientras tanto en Android, hemos podido ver el ataque Toast Overlay, que podría haber sido utilizado para adquirir permisos sin conocimiento del usuario. Y en Intel, hemos visto de nuevo cómo Intel Management Engine (Intel ME) suscita las críticas de los consumidores, al encontrarse nuevos fallos graves en este módulo incluido en sus procesadores desde 2008, que permitiría tomar el control de la máquina independientemente de su sistema operativo.



BlueBorne y Krack han sido de las vulnerabilidades más graves en protocolos
También se han anunciado vulnerabilidades en los protocolos Bluetooth y WPA2, con los nombres de BlueBorne y KRACKs respectivamente. La primera de estas permitiría la infección de los dispositivos de forma remota y su autopropagación. La segunda, la modificación de las conexiones seguras realizadas con WPA. Estas dos vulnerabilidades, las dos muy graves, ya han estado siendo parcheadas a lo largo de los meses desde su anuncio.

Las vulnerabilidades también han sido aprovechadas para la filtración de datos, como el fallo en Apache Strusts que permitía la ejecución de código remoto, y que fue utilizada para la filtración de Equifax. También se encontraría CloudBleed, encontrada por Google Project Zero Team, y que explotaría un fallo en el proxy inverso de Cloudflare, utilizado por miles de sitios como Uber, OKCupid o FitBit. No se conoce de momento de ningún atacante que haya aprovechado dicha vulnerabilidad.



FiltracionesSin duda la mayor filtración de este año ha sido la de Equifax, con 143 millones de Estadounidenses afectados. Teniendo en cuenta que en EEUU hay 324 millones de personas, hablamos de un 44% de la población expuesta. Equifax, como entidad financiera, disponía de información de sus clientes como nombres, números de la seguridad social o los datos de la licencia de conducir. También se habrían expuesto 209.000 tarjetas de crédito y documentación de 182.000 personas.




La filtración de Equifax ha sido una de las más grave de la historia

La filtración en Uber de 52 millones de usuarios, también ha dado mucho que hablar, no solo por la cantidad de usuarios afectados sino también por los intentos de la compañía de ocultar lo ocurrido. Los datos de la filtración en realidad no son de este año, sino del 2016: Uber habría pagado 100.000$ al hacker por no decir nada y borrar la información.

Otras filtraciones han sido las de 235GiB de documentación militar confidencial en Corea del Sur, 2.5GiB de documentación de seguridad del aeropuerto de Londres Heathrow en un pendrive perdido, más de 28 millones de cuentas de Taringa, o 711 millones de emails junto con sus contraseñas que se encontraron a través de un spam. Y por si supiese a poco, hace pocos días se descubrió la mayor base de datos de usuarios y contraseñas conocida, con 1,4 millardos. De esta última filtración muchas eran conocidas, pero algunas eran nuevas y de algunas hasta ahora sólo se conocía su hash.



ConclusiónEste año 2017 ha sido sin duda el año del ransomware, una tendencia que tristemente parece haber llegado para quedarse, volviendo a demostrar lo importante que es la seguridad para las empresas privadas, particulares e instituciones. Una tendencia que seguiremos viendo este 2018, junto con algunas nuevas, como el minado de criptomonedas.

También hemos visto nuevas vulnerabilidades en la misma línea que años anteriores, sobresaliendo el culebrón que ya comenzó en 2016 con The Shadow Brokers y del que salieron vulnerabilidades como EternalBlue y EternalRomance, que han sido aprovechados por múltiples troyanos. Además, este ha sido con diferencia el año en que se han descubierto más vulnerabilidades como puede verse en Vuldb, al casi doblarse el número de entradas respecto el año anterior. Esta cifra sí que se dobla en Cvedetails.



Las vulnerabilidades este 2017 se han disparado respecto años anteriores

Y en cuanto a filtraciones, este parece haber sido por fortuna un año más tranquilo que los anteriores. Ha habido filtraciones muy graves, pero cada vez parecen quedar más lejos esos 3 millardos de cuentas de Yahoo! de 2013, o los 412.2 millones de Adult Friend Finder del año pasado.


Hace años la seguridad informática apenas era tenida en cuenta por los legisladores, las empresas y las personas de a pie. Y justamente por eso, estos últimos años hemos podido ver cada vez más casos de filtraciones, explotaciones y usuarios afectados en la portada de los periódicos, demostrando que no podemos despreocuparnos y evidenciando que existe un problema. La tendencia no obstante parece estar cambiando, y este año que entra parece que será parte de este cambio.



El equipo de Hispasec y de la Una Al Día os desea a todos un muy feliz año 2018.


Juan José Oyague
joyague@hispasec.com
Más información:
Malware ataca múltiple compañías (Wannacry):
http://unaaldia.hispasec.com/2017/05/un-ransomware-ataca-multiples-companias.html

Precio Bitcoin:
http://www.lavanguardia.com/economia/20171226/433891489800/bitcoin-precio-compra.html

Kaspersky Loapi:
https://www.kaspersky.es/blog/loapi-trojan/15024/

The Pirate Bay runs a cryptocurrency miner:
https://torrentfreak.com/the-pirate-bay-website-runs-a-cryptocurrency-miner-170916/

Android Toast Overlay Attack:
https://www.paloaltonetworks.com/cyberpedia/android-toast-overlay-attack

Vulnerabilidades en Intel Management:
http://unaaldia.hispasec.com/2017/11/vulnerabilidades-en-intel-management.html

The Shadow Group libera el resto del arsenal robado a la NSA:
http://unaaldia.hispasec.com/2017/04/the-shadow-group-libera-el-resto-del.html

Vulnerabilidad crítica en Apache Struts:
http://unaaldia.hispasec.com/2017/03/vulnerabilidad-critica-en-apache-struts.html

BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación:
http://unaaldia.hispasec.com/2017/09/blueborne-una-vulnerabilidad-en.html

KRACKs: grave vulnerabilidad en el protocolo WPA2:
http://unaaldia.hispasec.com/2017/10/kracks-grave-vulnerabilidad-en-el.html

Equifax Data Breach Impacts 143 Million Americans:
https://www.forbes.com/sites/leemathews/2017/09/07/equifax-data-breach-impacts-143-million-americans/#3af477b9356f


CloudBleed:
https://en.wikipedia.org/wiki/Cloudbleed
Uber data hack cyber attack:
https://www.theguardian.com/technology/2017/nov/21/uber-data-hack-cyber-attack

North Korea hackers stole South Korea-U.S. military plans to wipe out North Korea leadership: lawmaker:
https://www.reuters.com/article/us-northkorea-cybercrime-southkorea/north-korea-hackers-stole-south-korea-u-s-military-plans-to-wipe-out-north-korea-leadership-lawmaker-idUSKBN1CF1WT

La brecha en Taringa expone a 28 millones de usuarios:
http://unaaldia.hispasec.com/2017/09/la-brecha-en-taringa-expone-28-millones.html

711 millones de correos electronicos expuestos:
http://unaaldia.hispasec.com/2017/09/711-millones-de-correos-electronicos.html

La mayor base de datos de usuarios y contraseñas jamás descubierta, otra vez:
http://unaaldia.hispasec.com/2017/12/la-mayor-base-de-datos-de-usuarios-y.html

Vuldb archive:
https://vuldb.com/?archive

Cvedetails browse by date:
https://www.cvedetails.com/browse-by-date.php

Yahoo says all three billion accounts hacked in 2013 data theft:
https://www.reuters.com/article/us-yahoo-cyber/yahoo-says-all-three-billion-accounts-hacked-in-2013-data-theft-idUSKCN1C82O1

Adult Friend Finder confirms data breach 3.5 million records exposed:
https://www.csoonline.com/article/2925833/data-breach/adult-friend-finder-confirms-data-breach-3-5-million-records-exposed.html
Categories: Seguridad

Variante de Cryptomix ransomware

Hispasec - Sat, 30/12/2017 - 17:17
Una variante del ransomware Cryptomix fue descubierta por el investigador Michael Gillespie. Este ransomware de extensión .tasytlock cifra los archivos y cambia los emails de contacto utilizados por el ransomware.

Los métodos de cifrado se mantienen en esta variante, con algunas pequeñas diferencias. 

Encontramos que la nota del ransomware tiene como nombre "__HELP_INSTRUCTION.TXT". Sin embargo, a pesar de ser la misma nota el e-mail de contacto es modificado por t_tasty@aol.com - Permitiendo así a las víctimas poder contactar con los atacantes al estar deshabilitados los medios anteriores. 


Extensión de los archivos cifrados: .tastylock

Otra de las novedades es la extensión de los archivos cifrados. Con esta versión, cuando un archivo ha sido cifrado por el ransomware se modificará el archivo y posteriormente agregará la extensión .tastylock al nombre.


Modificación del correo electrónico en la nota del ransomware.  
Actualmente, no se puede descifrar el ransomware. Los investigadores que han recibido el programa para descifrar los archivos se encuentran analizándolo para encontrar posibles vulnerabilidades. Mientras tanto, no queda más remedio que esperar a una posible vulnerabilidad en la implementación del cifrado.
Recordamos que pagar la cantidad exigida por los atacantes no es signo de garantía de recuperar los datos. Para evitar este tipo de ataques, es recomendable contar con soluciones antivirus actualizada y evitar abrir documentos adjuntos de destinatarios de dudosa procedencia. 
Fernando Díaz
fdiaz@hispasec.com
Más información:
Tastylock cryptomax ransomware:https://www.bleepingcomputer.com/news/security/tastylock-cryptomix-ransomware-variant-released/





Categories: Seguridad

Loapi: el malware para Android que puede freír tu batería

Hispasec - Fri, 29/12/2017 - 10:17
Loapi es un malware multipropósito que permitiría a los atacantes minar la criptodivisa 'Monero', lanzar ataques DDoS o suscribir a las víctimas a servicios de pago.


Esta nueva familia fue descubierta por 'Kaspersky Lab' distribuido en forma de aplicaciones legítimas: 

Muestras de Loapi falseando aplicaciones legítimas. Fuente: https://securelist.com
Mediante campañas de mensajes SMS, publicidad y otras técnicas de spam el virus consiguió distribuirse entre un gran número de víctimas.

Características
La arquitectura modular de este malware hace que sea muy versátil y permita realizar todo tipo de acciones fraudulentas:

  • Minar cripto-monedas.
  • Mostrar publicidad.
  • Enviar/Recibir SMS.
  • Lanzar ataques DDoS.
  • Navegar por la web, y suscribir a la víctima a servicios de pago.


Proceso de infección
Tras instalar la aplicación fraudulenta el malware trata de escalar permisos en el dispositivo, pidiendo permisos de administrador en bucle hasta que el usuario los acepta. Posteriormente, 'Trojan.AndroidOS.Loapi', comprueba si el dispositivo está 'rooteado' (aunque esta versión no hace uso en ningún momento de estos privilegios).

Después de obtener los permisos necesarios se esconde en el sistema, bien ocultando el icono en el menú o simulando ser una aplicación de antivirus como la que vemos a continuación:

Capturas de la aplicación fraudulenta. Fuente: https://securelist.com
El troyano además implementa mecanismos para protegerse y evitar ser desinstalado: puede actualizar de forma remota una lista negra de aplicaciones que podrían suponer una amenaza y engañar al usuario para que sean desinstaladas. Además de cerrar la ventana de ajustes para evitar que el usuario pueda revocar los permisos.
Mensaje fraudulento para desinstalar un AV legítimo. Fuente: https://securelist.com
Entre las diferentes acciones que se pueden llevar a cabo con este malware, cabe destacar la opción de minado de cripto-monedas, que podría dejar nuestro dispositivo Android inutilizado debido al uso tan intensivo de CPU.

Estado de la batería tras 48h de funcionamiento. Fuente: https://securelist.com
Para evitar este tipo de amenazas se recomienda siempre instalar las aplicaciones del repositorio oficial de Google Play.

Francisco Salido
fsalido@hispasec.com
Más información:
Jack of all tradeshttps://securelist.com/jack-of-all-trades/83470/





Categories: Seguridad

Mozilla corrige vulnerabilidades en Thunderbird

Hispasec - Thu, 28/12/2017 - 09:30
Mozilla Foundation ha publicado la nueva versión de Thunderbird 52.5.2, su popular cliente de correo, en la que corrigen una vulnerabilidad crítica que podría provocar un desbordamiento de la memoria intermedia. El parche publicado para solucionar esta vulnerabilidad soluciona además otras cuatro vulnerabilidades (dos de gravedad alta, una moderada y otra baja).


Como decíamos antes, la vulnerabilidad más grave, etiquetada con CVE-2017-7845, podría provocar un desbordamiento de buffer debido a un error de validación en la librería gráfica ANGLE a la hora de utilizar Direct 3D 9 para renderizar contenido WebGL. Esta vulnerabilidad también ha sido corregida en Firefox en su versión 57.0.2 publicada el pasado 7 de diciembre.

Las vulnerabilidades consideradas de gravedad alta permitirían ejecutar código JavaScript en un 'feed RSS' cuando se utiliza el visor integrado (CVE-2017-7846) y revelar información sensible sobre 'paths' locales que podrían contener el nombre del usuario (CVE-2017-7847).

Las vulnerabilidades de gravedad moderada y baja podrían manipular ligeramente la estructura de un correo inyectando nuevas lineas al cuerpo del mensaje a través del 'feed RSS' (CVE-2017-7848) y suplantar la dirección del remitente si se inserta un carácter nulo al principio (CVE-2017-7829).

La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:
https://www.mozilla.org/thunderbird/ o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.


Francisco Salido
fsalido@hispasec.com
Más información:
Security vulnerabilities fixed in Thunderbird 52.5.2
https://www.mozilla.org/en-US/security/advisories/mfsa2017-30/
Categories: Seguridad

Plugins vulnerables de WordPress de 2014 aún presentes en instalaciones

Hispasec - Wed, 27/12/2017 - 12:41
Tras más de un año después de que se descubriera la presencia intencionada de código malicioso dentro de 14 plugins de WordPress, todo indica a que cientos de sitios siguen haciendo uso de dichos componentes.





En este post figuran los 14 plugins que comparten el mismo código malicioso descubierto por el desarrollador Thomas Hambach.

Hambach mencionó que los atacantes estaban utilizando código malicioso para insertar enlaces de SEO en los sitios comprometidos. Este descubrimiento fue advertido por el equipo de WordPress que inmediatamente eliminó los 14 plugins maliciosos detectados del repositorio oficial.
A pesar de las acciones tomadas por parte del equipo de WordPress, se continuan detectando peticiones a lo largo de distintas IPs que intentan acceder al código malicioso, específico a los plugins con backdoor. 

Este asunto volvió a llamar la atención recientemente cuando WordPress modificó el repositorio de plugins de manera que los plugins antiguos que se cerraron pueden verse aún. Anteriormente no eran visibles al público.

La nueva versión del repositorio cuenta con la posibilidad de observar las instalaciones activas del plugin y a pesar de que los plugins fueron eliminaros para ser descargados por el público, cientos de sitios aún cuentan con ellos.

Podemos encontrar una lista de los plugins vulnerables de los que estamos hablando en este enlace. Entre ellos, encontramos 5 plugins de 2014 que siguen instalados en cientos de sitios.
Todos los sitios que estén haciendo uso de estos plugins pueden ser hackeados por un atacante que sepa lo que debe buscar y probablemente pertenezcan a proyectos abandonados desde hace un largo tiempo.




Expertos sugirieron avisar a los administradores de los sitios cuando existen actualizaciones de seguridad o tienen instalados plugins que son vulnerables o bien han sido eliminados del repositorio por incumplir la política. 
Según palabras de Mika Epstein, miembro del equipo de WordPress: "Si hacemos publica la vulnerabilidad sin un parche existente, ponemos a los usuarios en mayor riesgo. Si los atacantes conocen que existe un exploit, estos intentarán aprovecharlo lo más rápidamente posible." Por supuesto, los expertos no estaban alegres con esta contestación.

Un año después de estas declaraciones, el equipo de WordPress decidió tomar un camino diferente. Para combatir graves amenazas de seguridad, WordPress hará un rollback del plugin a la última versión segura que será instalada a la fuerza; afectando (presumiblemente) mínimamente a la funcionalidad del sitio pero manteniéndolo seguro.
Sin embargo, estas acciones son particulares del equipo de WordPress y solo se llevan a cabo con graves amenazas. 

Mientras tanto, los usuarios pueden instalar alguno de los muchos plugins de seguridad para detectar plugins antiguos con fallos de seguridad disponibles en el repositorio.


Fernando Díaz
fdiaz@hispasec.com
Más información:
The sad state of WordPress plugins:
http://thomashamba.ch/the-sad-state-of-wordpress-plugins.html

AbuseIP information check:
https://www.abuseipdb.com/check/46.32.226.214

Unfixed WordPress plugin vulnerabilities:https://www.pluginvulnerabilities.com/2016/10/24/a-good-example-of-why-wordpress-keeping-quiet-about-unfixed-plugin-vulnerabilities-doesnt-make-sense/
Categories: Seguridad

Pages

Subscribe to Bytecoders aggregator