You are here

Noticias

BlueBorne, una vulnerabilidad en Bluetooth con capacidad de autopropagación

Hispasec - Tue, 12/09/2017 - 18:30

La empresa Californiana de seguridad para dispositivos IoT Armis ha descubierto un total de 8 vulnerabilidades bautizadas todas ellas bajo el nombre de BlueBorne. Todas ellas afectan a la implementación del protocolo Bluetooth de, al menos los sistemas operativos Android, IOS, Linux y Windows, y podrían permitir a un atacante infectar un dispositivo de forma remota y que esta infección se propague a otros dispositivos, con el único requisito de que tengan el modo visible activado y sin necesidad de autorización ni autenticación. 


Las vulnerabilidades han sido identificadas con los siguientes CVEs:
  • CVE-2017-0781 CVE-2017-0782, CVE-2017-0783 y CVE-2017-0785 para dispositivos Android.
  • CVE-2017-1000251 y CVE-2017-1000250 para Linux
  • CVE-2017-8628 en Windows. 
Lo más preocupante de BlueBorne es la facilidad de propagación y la cantidad de dispositivos potencialmente vulnerables. Estaríamos hablando de que un dispositivo infectado podría utilizar su conectividad Bluetooth para dotar al malware de funciones de gusano e infectar a todos los dispositivos con los que se vaya cruzando. Esto, unido a la dificultad de actualización que ofrecen algunos dispositivos dotados de Bluetooth, podría provocar un impacto pocas veces visto. Hay que tener en cuenta que Bluetooth lleva implantandose en dispositivos desde hace más de 10 años, y muchos de ellos están descontinuados y no tienen soporte.

La empresa ha compartido pruebas de concepto para las plataformas Linux, Windows y Android:

Linux
Windows
Android
Lo descubridores publicarán en breve una aplicación Android a través de Google Play para que los usuarios puedan comprobar si son vulnerables a esta vulnerabilidad. Mientras tanto, la idea más sensata es desconectar el Bluetooth de nuestros dispositivos.
Más información:
BlueBorne Technical White Paper
http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper.pdf

Fernando Ramírezframirez@hispasec.com@fdrg21
Categories: Seguridad

Seat será la primera marca en Europa que integra Amazon Alexa en sus vehículos

Canal PDA - Tue, 12/09/2017 - 12:52
Seat será la primera marca de automóviles de Europa en integrar en sus vehículos el servicio de voz interactivo Amazon Alexa. Así lo ha anunciado la marca española en el marco del Salón del Automóvil de Fráncfort. El servicio interactivo por control de voz estará disponible a finales de este año en los modelos León […]
Categories: PDA / PPC

Todos los coches de Volkswagen tendrán versión eléctrica antes de 2030

Canal PDA - Mon, 11/09/2017 - 19:04
Volkswagen pisa el acelerador hacia la electrificación total. Mathias Müller, presidente del grupo alemán de automoción, ha asegurado este lunes en Frankfurt que las marcas del consorcio habrán lanzado 80 vehículos con propulsión eléctrica para el año 2025, con vistas a que cinco años después, cada uno de los aproximadamente 300 modelos que ofrecerán en […]
Categories: PDA / PPC

Cross site Scripting persistente en CodeMeter

Hispasec - Sun, 10/09/2017 - 10:20
Se ha encontrado una vulnerabilidad en Wiby CodeMeter,  que podría ser aprovechada para provocar ataques XSS de tipo persistente. La vulnerabilidad ha sido descubierta por Benjamin Kunz Mejri de Evolution Security GmbH.

CodeMeter es una solución de seguridad para editores de software y fabricantes de dispositivos inteligentes, combinando la protección, seguridad y emisión de licencias para software. Es ampliamente utilizado en el sector industrial, siendo sus variantes compatibles con un gran número de controladores, dispositivos y ordenadores: desde microcontroladores sencillos o dispositivos móviles e incluso controladores lógicos programables (PLC), además de ordenadores personales y servidores.
Como hemos comentado en otros boletines, un ataque Cross-Site Scripting o XSS se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código JavaScript.
Dentro del XSS existen dos tipos, el persistente y el no persistente. Con el XSS no persistente se consigue que, mediante una URL especialmente modificada, en la web afectada se obtenga otro resultado.
El otro tipo, y el que afecta al error comentado en este boletín, es el XSS persistente, que puede resultar bastante más peligroso. Este tipo de ataques se producen igualmente al no comprobar los datos de entrada en una web, normalmente formularios y quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, esta cargará ese código.
El problema, con CVE-2017-13754, se debería a un error de validación de entrada en el campo ‘server Name’ de las herramientas avanzadas del módulo ‘time server’. Los archivos afectados por este problema son `ChangeConfiguration.html` (donde se inyecta el payload),` time_server_list.html` y `certified_time.html` (en estos dos, donde se ejecuta el problema). Este error podría ser aprovechado por un atacante remoto inyectar código web malicioso a través de Scripts especialmente manipulados.
Este problema afecta a las versiones anteriores a la 6.50b.Se recomienda actualizar a versiones superiores.
Más información:
Wibu CodeMeterhttp://www.wibu.com/es/codemeter.html
Wibu Systems CodeMeter 6.50 - Persistent XSS Vulnerabilityhttps://www.vulnerability-lab.com/get_content.php?id=2074

Juan Sánchezjasanchez @ hispasec.com
Categories: Seguridad

MongoDB, el nuevo filón del Ransomware

Hispasec - Sat, 09/09/2017 - 09:00
Es posible que el Ransomware afecte a cientos de miles de usuarios de "a pie" o incluso cifre carpetas compartidas de redes corporativas donde la pérdida de ciertos archivos podría suponer una sobredosis de ibuprofeno a los sysadmins. Pero eso, económicamente, podemos suponer que no reporta un gran beneficio al filibusterismo digital. 
El lucro está realmente donde se encuentran los dineros, los cuartos, la pasta, el peculio, en definitiva, la riqueza. ¿Porqué cifrar las fotos del último verano o los informes TPS cuando puedes paralizar el departamento de ventas de una multinacional? ¿y donde de encuentra el corazón de todo ese andamiaje digital que sustenta el aparato de negocio? Las Bases de Datos amigo, las bases de datos. Ahí es donde tenemos el tesoro de la corona, años enteros de amasamiento binario, transacciones, datos, cifras, etc, etc, etc.
Así que, con la cantinela de costumbre, se traza el rumbo, se izan las velas y se dan guiñas a la crujía hasta enfocar un buen puerto abierto y tranquilo, ahí tenemos un 27017. Abrimos los cartapacios y consultamos las cartas: MongoDB. Ahora toca cargar las piezas con un buen amasijo de contraseñas por defecto y "bum", tras unas pocas andanas la plaza se rinde y capitula. Victoria fácil y desmeritoria. A los pies, gigas y gigas de petróleo eléctrico, el botín es nuestro.
No hace falta ni cifrar. Ahora se extrae la base de datos cuidadosamente, trozo a trozo. Luego se borra por completo y se deja una nota de rescate: 1000 maravedíes a cambio de esta fabulosa fortuna. Suyo, el cybercrooker de turno. No pasa mucho tiempo cuando empiezan a sonar los timbres de los teléfonos del departamento técnico. No pasa mucho tiempo más cuando después de un reseteo la cosa sigue sin funcionar. Algo falla, los datos ya no están ahí.
Bases de datos secuestradas asomando en Shodan

Estos ataques se vienen produciendo desde enero de este año, cuando se reportó el secuestro progresivo de miles de bases de datos. No solo MongoDB, por supuesto, pero era significativo su porcentaje, que alcanzaba hasta un 56% del total de secuestros a manos de varios grupos organizados. Nada de zero-days, ni sofisticadas APT, palos y piedras: basta con probar un juego de contraseñas y clack, acceso permitido. Incluso algunas instalaciones ni tan siquiera poseían contraseña.
Poco a poco, los grupos organizados dieron cuenta de este nuevo filón y se fueron sumando a la fiesta, soltando automatismos que iban escudriñando la red en busca de objetivos. Una auténtica cadena de producción, donde todo es un proceso, desde la infección o ataque al propio pago. Podríamos hablar ya de un perfecto RaaS (Ransomware as a Service), la industrialización del pecado por omisión o desidia de algunas organizaciones, que movidos por la fiebre del low-cost reducen la planificación y despliegue al mínimo imprescindible.
Un trabajo que merece la pena atender, es el de los investigadores Víctor GeversNiall Merrigan y Dylan Kats. Se han dedicado a recopilar información sobre los ataques, transacciones, grupos involucrados, campañas, etc. Toda la información está disponible públicamente en una hoja de cálculo. En ella puede observarse una curiosa anotación "These are actors that have been found deleting databases without exfiltrating the data first. This means that they are unable to produce data even if ransom is paid". Es decir, que incluso pagando no hay datos de vuelta; algo que se observa con toda variante de Ransomware.


En este sentido, otro de los puntos reseñables en los datos acumulados es que los delincuentes "hacen caja". Si observamos las transacciones en bitcoins vemos flujos de pequeñas cantidades que han sido abonadas en un intento, muchas veces en vano, de recuperar los datos sustraídos. Esto podría haber hecho que los ataques repunten y que últimamente se observe una nueva oleada de secuestros.
Con el Internet de las cosas que parecen no importarnos lo más mínimo se han creado lucrativas botnets para extorsionar mediante denegaciones de servicio selectivas. Se han levantado granjas clandestinas de criptominado y ahora tenemos servicios publicados a la ligera, con datos valiosos protegidos por contraseñas (donde las hay) triviales. 
Justo aquí, en este bloque, tradicionalmente hemos puesto una serie de medidas para paliar semejantes agujeros. ¿Pero vale la pena el esfuerzo? ¿De verdad le interesa la seguridad a alguien que deja expuesto los datos del negocio a una distancia de 8 caracteres? Yo asumo que no. El mal rato dura lo que tardan los datos en reconstruirse o los seguros en responder o incluso puede que ese golpe termine por cargarse el negocio y apaga y vámonos, quien sabe. 
MongoDB ha publicado una guía de prácticas seguras y una checklist preciosa, algo es algo. Un solo administrador competente echa una mañana en bastionizar con esos documentos una instalación de MongoDB, pero claro eso ya sale caro, ya no es low-cost, ni un veterano ni una mañana en "perder" el tiempo arreglando algo que "funciona"...



David García@dgn1729dgarcia@hispasec.com




Más información
Massive Wave of MongoDB Ransom Attacks Makes 26,000 New Victimshttps://www.bleepingcomputer.com/news/security/massive-wave-of-mongodb-ransom-attacks-makes-26-000-new-victims/
How to Avoid a Malicious Attack That Ransoms Your Datahttps://www.mongodb.com/blog/post/how-to-avoid-a-malicious-attack-that-ransoms-your-data






Categories: Seguridad

Sennheiser amplía su atmósfera sonora en IFA 2017

Canal PDA - Fri, 08/09/2017 - 10:34
Sennheiser, compañía especializada en soluciones de sonido y comunicación, ha estado presente en la feria IFA, que se ha celebrado en Berlín (Alemania) entre el 1 y el 6 de septiembre, presentando sus nuevas soluciones y productos en materia de audio. En concreto, el fabricante expuso sus productos en el stand 202 (Hall 1.2), donde […]
Categories: PDA / PPC

Nuevas versiones de seguridad de Django

Hispasec - Fri, 08/09/2017 - 10:00
La Django Software Foundation ha publicado nuevas versiones de seguridad de las ramas Django 1.11 y 1.10, que soluciona una vulnerabilidad de cross-site scripting.

Django es un framework de código abierto basado en Python para el desarrollo de sitios web siguiendo el patrón MVC (Modelo-Vista-Controlador). Fue publicado por primera vez en 2005, y desde entonces su uso ha experimentado un considerable crecimiento entre los desarrolladores. Se compone de una serie de herramientas para facilitar la creación de páginas Web, siguiendo las directrices 'DRY' (Do not repeat yourself – No se repita) evitando redundancias de código y consecuentemente reduciendo tiempo y esfuerzo.

La vulnerabilidad, identificada con el identificador CVE-2017-12794, se produce sólo cuando se tiene el modo debug activado (DEBUG = True) y podría permitir a un atacante remoto llevar a cabo ataques de cross-site scripting contra la página de retorno de error 500 que devuelve el framework.

Django Software Foundation ha publicado las versiones Django 1.11.5 y 1.10.8 de Django que soluciona la vulnerabilidad. Las actualizaciones están disponibles desde la página oficial de Django.
Django 1.11.5https://www.djangoproject.com/m/releases/1.11/Django-1.11.5.tar.gzDjango 1.10.8https://www.djangoproject.com/m/releases/1.10/Django-1.10.8.tar.gz


También se encuentran disponibles los parches en github o a través del aviso publicado:https://www.djangoproject.com/weblog/2017/sep/05/security-releases/

Más información:Django security releases issued: 1.11.5 and 1.10.8https://www.djangoproject.com/weblog/2017/sep/05/security-releases/Fernando Ramírezframirez@hispasec.com
@fdrg21
Categories: Seguridad

Telefónica figura un año más en el top 9 de los líderes en sostenibilidad del sector telco a nivel mundial, según el DJSI 2017

Canal PDA - Thu, 07/09/2017 - 17:22
Telefónica se sitúa un año más entre las nueve compañías líderes en el mundo por criterios de sostenibilidad dentro del sector de las telecomunicaciones, según el prestigioso índice Dow Jones Sustainability Index (DJSI). En su revisión anual, la agencia de rating que evalúa la gestión de la sostenibilidad de las empresas, -RobecoSAM- ha valorado a […]
Categories: PDA / PPC

Telefónica inaugura su nueva Movistar Store Barcelona

Canal PDA - Thu, 07/09/2017 - 13:31
Telefónica inaugura hoy una nueva tienda de referencia en el corazón comercial y empresarial de Barcelona. El espacio se encuentra en un local ubicado en el número 570 de la Avenida Diagonal, en su intersección con la calle Muntaner. La nueva Movistar Store Barcelona es un espacio abierto a la Diagonal, con una gran pantalla […]
Categories: PDA / PPC

8 razones para actualizarte tecnológicamente esta temporada

Canal PDA - Thu, 07/09/2017 - 12:51
Tras el verano arrancamos una nueva temporada que, con Fnac, promete ser muchísimo mejor. ¿Cuántas veces te has dicho: necesito un portátil con un almacenamiento ultrarrápido, mayor rendimiento, más ligero o con un sistema de gráficos que facilite realmente tus tareas? ¿Qué tal comenzar estrenando ordenador? Pues es el momento. Del 7 al 18 de […]
Categories: PDA / PPC

Cellnex amplía su presencia en Holanda comprando Alticom

Canal PDA - Thu, 07/09/2017 - 12:19
La española Cellnex ha comprado por 133 millones de euros en efectivo la firma holandesa Alticom, titular de 30 emplazamientos de telecomunicaciones de largo alcance que prestan servicio a todos los operadores de los Países Bajos, con KPN a la cabeza. La red de emplazamientos de Alticom está compuesta por torres de gran altura con […]
Categories: PDA / PPC

Anulada la multa de 120 millones a Telefónica, Vodafone y Orange por los SMS

Canal PDA - Thu, 07/09/2017 - 12:15
La Audiencia Nacional española ha declarado inválida la sanción de 120 millones de euros que la Comisión Nacional de Defensa de la Competencia (CNC) impuso a Telefónica, Vodafone y Orange por abusar de su posición dominante en la reventa de SMS a las operadoras móviles virtuales. La CNC, integrada ahora en la Comisión Nacional de […]
Categories: PDA / PPC

Sacia tu necesidad de conocimiento

Canal PDA - Thu, 07/09/2017 - 11:51
Tal y como dijo el maravilloso Dr. Seuss: “No hay nadie vivo que sea más tú que tú”. En Google sabemos que esta declaración es más que cierta. Seguramente todos tenemos mucho en común, pero ninguno de nosotros tiene la misma combinación de pasiones, intereses y objetivos. Aunque todos estamos al día de diferente forma […]
Categories: PDA / PPC

Wired sitúa a Ulabox entre las 100 startups europeas con mayor potencial de 2017

Canal PDA - Thu, 07/09/2017 - 11:46
La revista Wired, considerada la biblia de la tecnología y los negocios, destaca a Ulabox, el primer supermercado español 100% online, como una de las 100 startups de Europa con más impacto y proyección de este año 2017. En concreto, el Antisúper aparece en el ranking anual “100 Hottest European Startups” del suplemento de su […]
Categories: PDA / PPC

Drivy i SocialCar junts i a favor de l’Informe sobre Economia Col·laborativa aprovat pel Govern de la Generalitat

Canal PDA - Thu, 07/09/2017 - 11:05
Les plataformes de mobilitat compartida Drivy i SocialCar, ambdues destinades al servei de lloguer de cotxes particulars sense conductor, es mostren positives i veuen amb bon ulls l’Informe de la Comissió Interdepartamental per al Desenvolupament de l’Economia Col·laborativa, aprovat pel Govern el dimarts a la tarda.Aquest Informe ha estat fruit de diverses reunions que han […]
Categories: PDA / PPC

Diode ya suministra la nueva versión del router LTE-A AirLink MP70 para vehículos de misión crítica

Canal PDA - Thu, 07/09/2017 - 10:00
Diode, a través de su División de Comunicaciones – IoT, ha anunciado la disponibilidad de la nueva versión del Router LTE-A AirLink MP70 de Sierra Wireless para vehículos de misión crítica y entornos industriales. El nuevo modelo amplía las características (con un menor precio) para seguir ofreciendo una solución de red que permite la operación […]
Categories: PDA / PPC

La brecha en Taringa expone a 28 millones de usuarios

Hispasec - Thu, 07/09/2017 - 10:00



Hace un mes el portal Taringa avisaba a sus usuarios que sus servidores se habían visto comprometidos, y con ellos la base de datos y el código fuente de la página. Ahora, LeakBase ha tenido acceso a los datos robados, entre los que se encuentran emails, nombres de usuario y hashes md5 de 28.722.877 usuarios.
Taringa se encuentra entre los portales más importantes de habla hispana, ocupando según Alexa el puesto número 12 de sitios más visitados de Argentina (su país de origen).
Al momento de escribir estas líneas, LeakBase ya ha obtenido el 93.79% de las contraseñas (casi 27 millones), y tras contactar el portal PentestingExperts con algunos de los afectados por email, se ha podido dar validez a la filtración. A la gravedad del asunto, hay que sumarle que las claves estén cifradas con md5, el cual se considera inseguro desde 2012.
Cabe recordar, que es insuficiente proteger las claves usando una función hash como md5, debiéndose utilizar medidas adicionales como las que añade Bcrypt, como un salt. Si no, nos estaremos arriesgando a que las claves sean fácilmente descifrables, o incluso a poder encontrarlas en bases de datos de hashes.



De las claves obtenidas y por la información facilitada por LeakBase, podemos concluir:
  • Cerca de la mitad han sido utilizadas por más de una persona (15.320.524 claves únicas).
  • La clave 123456789 es la más utilizada con diferencia (casi el doble que la segunda más utilizada, 123456)
  • Las longitudes más populares son 6 (29.82%) y 8 (20.2%).
  • El 44.98% utiliza minúsculas y números, el 29.89% sólo minúsculas, y el 16.81% sólo números.
  • Destacar también, que la tercera clave más usada fue el propio nombre del sitio, y que el 0.37% de las contraseñas contenían la palabra taringa.
Taringa entre las medidas adoptadas ya está avisando a sus clientes por email, y está obligando a reestablecer las claves a los usuarios afectados (que son, todos). No obstante, si tenéis cuenta en Taringa, y utilizáis la misma clave en otros sitios, os recomendamos cambiarla inmediatamente.

Juan José Oyaguejoyague@hispasec.com
Más información:

Notificación Taringahttps://www.taringa.net/posts/taringa/19972402/Un-mensaje-importante-sobre-la-seguridad-de-tu-cuenta.html

LeakBase
https://leakbase.pw/dbs.php
Estadísticas filtración por LeakBase
https://leakbase.pw/analysis/taringa/
Pentesting Expertshttp://www.pentestingexperts.com/taringa-over-28-million-users-data-exposed-in-massive-data-breach/
Categories: Seguridad

Los podcasts “Tech Snacks” comparten lo mejor de IFA 2017

Canal PDA - Thu, 07/09/2017 - 09:02
Los podcasts “Tech Snack” traen las novedades tecnológicas y su impacto en la música, deportes, gaming, creatividad y productividad a todos los oídos. Con presentadores para cada categoría, Logitech indaga sobre su conocimiento y puntos de vista para mostrar una visión general y especializada de la edición 2017 de IFA. Los cuatro episodios (uno por […]
Categories: PDA / PPC

Huawei se convierte en la segunda marca más vendida del mundo, superando a Apple

Canal PDA - Wed, 06/09/2017 - 17:34
Según el último estudio Market Pulse de Counterpoint en julio de 2017, Huawei ha superado sistemáticamente a Apple en ventas mundiales de smartphones durante los meses de junio y julio. Con unas sólidas ventas durante el mes de agosto para la compañía china, es posible que Huawei logre un triplete en ventas por tercer mes […]
Categories: PDA / PPC

Actualizaciones de seguridad para Telerik UI ASP.NET AJAX

Hispasec - Wed, 06/09/2017 - 10:00
Se han publicado dos parches para Telerik UI ASP.NET AJAX que solucionan dos graves vulnerabilidades relacionadas con la subida de archivos al servidor y la ejecución de código remoto.



Para los que no lo conozcan, Telerik UI ASP.NET AJAX es una colección de componentes que facilitan el desarrollo de interfaces de usuario Web y móvil. Su uso está ampliamente extendido y ha sido adoptado en numerosos equipos de desarrollo de importantes empresas y organizaciones, como Microsoft, Philips, IBM o Sony entre otros.

Interfaz desarrollada con Telerik UI
Las vulnerabilidades afectan a todas las versiones de 'Telerik.Web.UI.dll' anteriores a la 2017.2.711.

La primera vulnerabilidad, identificada como CVE-2017-11357 afecta al componente RadAsyncUpload, que permite subir archivos al servidor al no validar correctamente las entradas de usuario.

La segunda vulnerabilidad, identificada como CVE-2017-11317 se debe a que 'Telerik.Web.UI' emplea un cifrado demasiado débil para encriptar los datos que recibe RadAsyncUpload, lo que podría ser explotado para subir ficheros arbitrarios y potencialmente ejecutar código remoto.

Se recomienda actualizar cuanto antes a la versión R2 2017 SP2 (2017.2.711) o posterior de Telerik UI para ASP.NET AJAX.



Francisco Salidofsalido@hispasec.com
Más informaciónASP.NET AJAX Insecure Direct Object Reference
http://www.telerik.com/support/kb/aspnet-ajax/upload-(async)/details/insecure-direct-object-reference

ASP.NET AJAX Unrestricted File Upload
http://www.telerik.com/support/kb/aspnet-ajax/upload-(async)/details/unrestricted-file-upload
Categories: Seguridad

Pages

Subscribe to Bytecoders aggregator