22 sep. 2018

Laboratorio de inyecciones SQL (más de 60 ejercicios/lecciones)

El holandés Audi-1 tiene un repositorio en Github muy interesante llamado SQLI-LABS que nos permitirá montar rápidamente una plataforma para aprender y practicar inyecciones SQL de diferentes tipos:
  • Inyecciones basadas en error (Union Select): 1. String 2. Integer
  • Inyecciones basadas en error (Double Injection Based)
  • Inyecciones ciegas: 1. booleanas 2.basadas en tiempo
  • Inyecciones de peticiones update
  • Inyecciones de peticiones insert
  • Inyecciones en la cabecera HTTP 1. basadas en referer. 2. basadas en user-agent. 3. basadas en la cookie
  • Inyecciones de segundo órden
  • Evasión de WAF
    • Bypass de filtros de Blacklist: Stripping comentarios, OR & AND, espacios y UNION & SELECT
    • Impidence mismatch
  • Bypass de addslashes()
  • Bypass de mysql_real_escape_string. (bajo ciertas condiciones especiales)
  • Inyecciones SQL de tipo stacked
  • Extracción Secondary channel
Instrucciones
  • Descomprime los contenidos dentro de la carpeta de apache, por ejemplo en /var/www. Esto creará el directorio sql-labs.
  • Como alternativa, se puede usar el comando git directamente desde la carpeta /var/www: git clone https://github.com/Audi-1/sqli-labs.git sqli-labs
  • Abre el archivo "db-creds.inc" que se encuentra debajo del dir sql-labs/sql-connections.
  • Actualiza el nombre de usuario y la contraseña de la base de datos MYSQL. (Por defecto root:toor)
  • Desde el navegador accede a la url con path sql-labs para cargar index.html.
  • Haz clic en la configuración del enlace setup/resetDB para crear una base de datos, las tablas y completar los datos.
  • Los labs ya estarían listos para usar, haz clic en el número de la lección para abrir la página correspondiente.
  • Disfruta de los laboratorios!
Tienes videotutoriales, walkthroughts y explicaciones en distintos sites del autor:
También tiene un libro pero todavía está en desarrollo: https://leanpub.com/SQLI-LABS

Repo: https://github.com/Audi-1/sqli-labs

Fuente: HackPlayers

21 sep. 2018

34 apps móviles para gestionar SCADA tienen 147 vulnerabilidades

Investigadores de IOActive y Embedi han realizado un análisis de un grupo de aplicaciones móviles que se utilizan para gestionar sistemas SCADA, y han detectado vulnerabilidades en la mayoría de ellas.

"Hace dos años evaluamos 20 aplicaciones móviles que funcionaban con software y hardware de ICS. En ese momento, las tecnologías móviles estaban muy extendidas, pero la manía por el Internet of Things (IoT) estaba en sus inicios. Nuestra investigación concluyó que la combinación de sistemas SCADA y aplicaciones móviles tenía el potencial de ser un cóctel muy peligroso y vulnerable". Así arranca un documento publicado por los investigadores Alexander Bolshev, Security Consultant de IOActive y Ivan Yushkevich, Information Security Auditor de Embedi.
Dos años después la situación, lejos de mejorar, parece haber empeorado. Dos años después una nueva investigación ha detectado 147 vulnerabilidades en 34 aplicaciones móviles utilizadas con sistemas SCADA (Supervisory Control and Data Acquisition). Vulnerabilidades que podrían permitirle a un atacante comprometer la infraestructura de red industrial al permitirle la interrupción de un proceso industrial, o hacer que un operador SCADA realice involuntariamente una acción dañina en el sistema.

Los expertos, por cierto, han seleccionado las aplicaciones de manera aleatoria en Google Play, y en muchos de los casos, no son las mismas que se analizaron en 2015. El objetivo de la investigación, aseguran, es "comprender cómo ha evolucionado el panorama y evaluar la postura de seguridad de los sistemas SCADA y las aplicaciones móviles en esta nueva era del IoT".

Explican en su documento que las aplicaciones locales están instaladas en las tabletas que utilizan los ingenieros y se conectan directamente a los dispositivos industriales a través de Bluetooth, WiFi o una conexión en serie. Estos programas se pueden usar para controlar dispositivos como PLC, RTU y pasarelas industriales, y por lo general solo se usan dentro del perímetro de la planta, un espacio que se considera seguro. Pero las aplicaciones remotas permiten conectarse a través de Internet y redes privadas, y aunque en la mayoría de los casos sólo están diseñadas para monitorizar procesos, algunas permiten un mayor control. Algo peligroso cuando existen vulnerabilidad de seguridad.

Las principales debilidades de seguridad encontradas en las aplicaciones analizadas son: defectos de codificación de software (94%); Autorizaciones no seguras (59%); Ingeniería inversa (53%); Almacenamiento inseguro de datos (47%); Comunicaciones inseguras (38%); Calidad del código del cliente (35%).

Fuente: IT Digital Security

Distribución para test de penetración en entornos SCADA

Actualmente no hay suficientes personas en el sector de la energía con el conocimiento o la experiencia necesarios para realizar test de penetración en entornos SCADA.

Muchas empresas de seguridad con personal altamente técnico tienen el conocimiento del 80% del trabajo, pero no se dan cuenta que trabajos como: pruebas de red cableadas e inalámbricas, pruebas de aplicaciones web y tradicionales y pruebas de hardware integrado; forman parte de un test de penetración en entornos SCADA. Lo principal es que estas empresas se pierden es el contexto del sector energético. Motivo por el que las empresas de servicios públicos son reacias a incorporar firmas de seguridad con poca experiencia específica en los sistema de control industrial. Pero pocas empresas de servicios tienen la experiencia interna y necesitan un mayor número de empresas de seguridad para elegir. Además existen muy pocas herramientas de seguridad para trabajar con protocolos de sistemas de control industrial más allá de la captura y decodificación de paquetes.

Durante años, ha habido distribuciones de test de penetración como BackTrack y SamuraiWTF para ayudar a realizar pruebas de penetración en la mayoría de los entornos de TI, sin embargo, estas distribuciones han sido de naturaleza genérica para permitir su uso en una amplia variedad de entornos diferentes. Un entorno en el que estas distribuciones no han podido satisfacer las necesidades de sus usuarios es en los sistemas SCADA y Smart Grid.

MOKI es una modificación de Kali para incluir varias herramientas ICS/SCADA diseminadas por Internet, para crear un Kali Linux personalizado dirigido a profesionales de pentest de ICS/SCADA. Ademas de incluir herramientas propias de ICS/SCADA, la distirubución Kali de por si incluye muchas herramientas de test de penetración de redes que son necesarias para pruebas de test de penetración en entornos SCADA.

Moki incluye las siguientes herramientas:
  • Quickdraw SCADA Snort Rules de Digital Bond. Reglas IDS / IPS de Digital Bond para protocolos ICS e ICS. Este proyecto  incluye preprocesadores y plugins para el IDS Snort. Estos preprocesadores manejan protocolos usados en redes SCADA como: DNP3, EtherNet / IP y Modbus TCP, sus funciones son preparar la comunicación para el análisis de las reglas de Snort.
  • CoDeSys exploit Digital Bond, identifica los PLC que ejecutan en tiempo de ejecución  la versión 2 creado por 3S-Software GmbH. Estos controladores hablan un protocolo binario propio para instalar nueva lógica, así como para depurar la lógica en ejecución. El protocolo puede requerir autenticación. En la práctica, pocos dispositivos admiten este comportamiento. Esta secuencia de comandos no prueba la autenticación
  • PLC Scan,  es una herramienta escrita en Python que busca dispositivos PLC a través de los protocolos s7comm o Modbus.
  • ModScan es una herramienta diseñada para mapear una red Modbus TCP/IP. La herramienta está escrita en python para mejorar su portabilidad y se puede usar en prácticamente cualquier sistema con pocas bibliotecas.
  • Siemens S7 metasploit, son módulos Siemens Simatic S7 para metasploit, son bastante sencillos. Solo hay que establecer las direcciones IP en RHOSTS y la cantidad de veces que desea iniciar y detener la CPU.
  • Siemens S7 wireshark dissector, este es un complemento disector de Wireshark (dll) disecciona los paquetes ISOonTCP para la comunicación con los PLC Siemens S7. El protocolo s7comm está directamente integrado en wireshark , ya no necesita el complemento si usa una versión real de Wireshark. En el caso de s7comm-plus para S7 1200/1500 plc, hay que usar las últimas fuentes de Wireshark.
Fuente: Guru de la Informática

VPNFilter sigue infectado routers

VPNFilter es una malware que afecta a los routers. Ha estado presente en los últimos meses y fueron cientos de miles los dispositivos afectados. Este tipo de malware es capaz de robar datos personales. Esto lo logra ya que puede obtener todos los datos que se envían por esa red. Podría hacerse con cosas tan sensibles como contraseñas y nombres de usuarios.

VPNFilter fue analizado por TALOS y se dirige a una amplia gama de fabricantes, por lo que no es exclusivo de un modelo. Puede llegar a afectar a numerosos usuarios de todo el mundo, como así ocurrió hace unos meses.
Se diferencia de otras amenazas similares ya que continúa pese a reiniciar el aparato. Este es uno de los aspectos que lo hacen aún más peligroso. Es por ello que resulta interesante saber cuándo nuestro equipo está infectado y cómo evitarlo.

Funciona en varias etapas. En la primera establece un contacto entre el router y un servidor controlado por la amenaza. Como hemos mencionado, incluso podría perdurar pese a reiniciar el dispositivo. En una segunda etapa este malware cuenta con una mayor capacidad. Podría recopilar datos o ejecutar comandos. Podría incluso bloquear por completo el router.

Si vamos a la tercera y última etapa, VPNFilter podría extender su funcionalidad. Tendría la capacidad de rastrear todos los paquetes que entran y salen. Incluso podría inyectar código malicioso en el tráfico que pasa a través del dispositivo.

Cómo detectar si somos víctimas de VPNFilter

Para saber si nuestro router está afectado podemos acceder a una lista que ofrece Symantec. Aquí veremos si el modelo de nuestro router puede estar infectado. La lista está actualizada con los últimos modelos que descubrieron.

También podemos ir al sitio de comprobación. Simplemente verificamos el cuadro de términos y condiciones y le damos a iniciar. Apenas tarda unos segundos. Si todo está bien, que será así en la mayoría de casos, nos indicará en un mensaje que no está infectado y que no hay indicadores de VPNFilter en nuestro router.

Pero vamos a ponernos en el peor escenario. Vamos a suponer que hemos hecho esa comprobación y nuestro router está afectado. En este caso tendríamos que reiniciar nuestro router y volver a hacer la comprobación. No basta con apagar y encender a los 2 segundos. Tendríamos que aguantar con el dispositivo apagado al menos medio minuto.

Si esto no soluciona el problema, algo que es más que probable, tendríamos que restablecer el router a los valores predeterminados de fábrica. Además, habría que instalar la última versión del firmware del dispositivo.

Es muy importante también cambiar las credenciales de acceso al router. Hay que cambiar lo que viene predeterminado.
Para evitar este tipo de problemas es importante tener siempre nuestro router actualizado a la versión más reciente. Además, un firewall o cortafuegos podría ayudar.

Fuente: Make Use Of

20 sep. 2018

Osiris, troyano bancario con múltiples opciones

Osiris es una versión modernizada del veterano troyano bancario Kronos, el cual estuvo años inactivo hasta que resucitó con otro nombre para atacar sobre todo a usuarios de Windows ubicados en Polonia, Alemania y Japón durante este último verano.

Por un lado, Osiris incluye muchas de las características comunes de los troyanos bancarios, como la utilización de inyecciones web G/P/L estilo Zeus, un keylogger para registrar las pulsaciones del teclado y una servidor VNC, aunque también presenta algunas peculiaridades, como el cifrado del tráfico para pasarlo por la red Tor hacia el servidor de mando y control. Para ello, la carga maliciosa activa múltiples procesos y conecta a distintos nodos de Tor ubicados en diferentes países. Además, también incluye una técnica de suplantación bastante innovadora, los cual dificulta su detección.
El principal medio de esparcimiento utilizado por las persona tras Osiris es el spam mediante email, estando incrustado en documentos de Microsoft Word o RTF específicamente diseñados con macros o contenido OLE, los cuales tienen código malicioso en VisualBasic ofuscado para soltar el malware y ejecutarlo. En otros muchos casos el malware es distribuido usando kits de exploits como RIG EK.

El documento malicioso explota un fallo de desbordamiento de buffer bien conocido de Microsoft Office, concretamente en el Componente Editor de Ecuaciones (CVE-2017-11882), permitiendo a un hacker llevar a cabo una ejecución de código arbitrario sobre la máquina objetivo. El Componente Editor de Ecuaciones fue implementado de forma que no soporta la Prevención de Ejecución de Datos (DEP) ni ASLR, lo que facilita la instalación de la última versión de Osiris.

Como objetivos, Osiris comparte los que son comunes entre los troyanos bancarios, intentando robar credenciales y otros datos sensibles, con especial mención a aquellos que permitan acceder a las cuentas bancarias con el fin de poder robar dinero. Como primer recurso para conseguir los datos sensibles realiza un ataque a nivel del navegador web para inyectar un script malicioso en sitios web de bancos y poder obtener así los datos desde los formularios.

La última versión de Osiris destaca por la adopción de una arquitectura más modular, permitiendo a los actores maliciosos que están detrás suministrar actualizaciones y plugins con el fin de mejorar su comportamiento o bien dotarlos de nuevas características frente a su comportamiento inicial.

Al ser un malware que se vende en el mercado negro, es importante tener en cuenta su precio. Kronos se vendía en 2014 al precio de 3.000 dólares, mientras que Osiris en 2018 tiene un precio de 2.000 dólares. Además, el último malware también está en modo reventa por 1.000 dólares, lo que puede impulsar su utilización y difusión.

Fuente: ThreatPost

Spyware Pegasus utilizado para espionaje en 45 países

Pegasus es un spyware desarrollado por la empresa israelí NSO Group que va contra Android e iOS, y que, según denunció en su momento Amnistía Internacional, está siendo utilizado por diversos países contra activistas en favor de los Derechos Humanos, entre los que se encuentran México, Kazajistán y Arabia Saudí.
En una declaración dirigida a Amnistía Internacional, NSO Group ha afirmado que su producto "está concebido para ser utilizado exclusivamente para la investigación y prevención de la delincuencia y el terrorismo" y que cualquier otro uso infringe sus políticas y contratos.

Pegasus fue un malware que generó fuertes críticas debido a los fines tremendamente maliciosos para los que fue concebido, pero esto no parece haber detenido su expansión, ya que según el laboratorio de investigación de origen canadiense Citizen Lab, al menos 10 operadores del spyware "parecen estar activamente involucrados en la vigilancia transfronteriza", apuntando a posibles realidades geopolíticas alrededor del espionaje estatal, operando en la actualidad en 45 países distintos.

Citizen Lab cuenta que NSO Group no está en todos los países mencionados en el informe, sino que son las fuerzas del orden de los países las que están comprando y utilizando el spyware creado por la empresa israelí para llevar a cabo investigaciones y prevenir el crimen y el terrorismo a través de las agencias de inteligencia.
La preocupación en torno a las herramientas de NSO Group y su vinculación (aunque sean solo negocios) con los programas de vigilancia de los países aumentó en agosto de 2016, cuando el activista en favor de los Derechos Humanos Ahmed Mansoor, de Emiratos Árabes Unidos, descubrió un spyware que quería atacar su iPhone tras recibir un presunto enlace de sobre torturas que en realidad llevaban a Pegasus, el cual explotaba tres vulnerabilidades en iOS que luego fueron parcheadas por Apple.

Lo peor es que esto de colaborar con gobiernos que no cumplen con los Derechos Humanos parece ser un negocio lucrativo, ya que NSO Group tiene un competidor, FinFisher, que colabora con el gobierno turco para ir contra los opositores a Erdogan.

Fuente: CyberScoop

Exploit permite RCE explotando MSXML en Windows (PARCHEA!)

Este martes pasado Microsoft publicó un parche para una vulnerabilidad de corrupción de memoria en el parser MSXML (Microsoft XML Core Services). Mediante esta vulnerabilidad con CVE-2018-8420, un atacante podría engañar a cualquier usuario para que visite una página web especialmente diseñada para invocar MSXML a través de un navegador, lo que le permitiría ejecutar código y tomar el control del sistema de la víctima.

Poco después de publicar el parche, Theropord publicó en su repositorio de Github una PoC totalmente funcional (otro repo). Recomiendo echar un vistazo al código (que no puede ser más sencillo) y probarlo para que veáis el peligro que supone para un sistema que no se ha actualizado... ¡este mismo martes!.

Productos afectados:

  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows Server 2012 R2 (Server Core installation)
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows Server 2016
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows Server 2016 (Server Core installation)
  • Windows 10 Version 1703 for 32-bit Systems
  • Windows 10 Version 1703 for x64-based Systems
  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for x64-based Systems
  • Windows Server, version 1709 (Server Core Installation)
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows Server, version 1803 (Server Core Installation)
  • Windows Server 2008 for Itanium-Based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Por el momento se ha conseguido reproducir la PoC HTML en IE 9.0.

Fuente: HackPlayers

19 sep. 2018

La fuga de datos tiene consecuencias

Si bien han desaparecido un poco del primero plano informativo, las brechas de datos suelen ser incidencias de seguridad que terminan generando grandes perjuicios a las empresas que las sufren, hasta el extremo de que en muchas ocasiones se llevan por delante los puertos de directivos.

Según Kaspersky Lab [PDF], el 42% de las empresas del mundo han experimentado al menos una brecha de datos en el último año. Como ya hemos dicho en más de una ocasión, la conocida compañía de ciberseguridad rusa hace hincapié en que este tipo de incidentes tienen un gran coste, no solo económico, el cual ha sido estimado en esta ocasión en unos 1,23 millones de dólares de media, sino también en la reputación de la empresa, la privacidad del cliente e incluso podría afectar negativamente a la carrera de empleados y directivos.
El informe, que deriva de una investigación, muestra que la responsabilidad en las brechas de datos van más allá de los responsables del área IT. Entre los empleados generalmente despedidos por este tipo de incidentes, los senior no dedicados a la informática acapararon el 29% en las pymes (que cuentan entre 50 y 999 en el informe) y el 27% de las grande sempleados (1.000 o más empleados).

Que las brechas de datos pueden terminar siendo devastadoras para una empresa es algo que en hemos comentado en otras ocasiones. De hecho, hace un año vimos que el 60% de las pymes desaparecían en los seis meses posteriores a recibir un ciberataque. Sin embargo, en Kaspersky prefieren centrarse en el daño que hacen a las personas, ya sean empleadas o clientes. Por otro lado, ha hecho hincapié en que legislaciones como el RGPD han puesto el listón muy alto a las empresas, que tendrían que poner aún más atención a sus estrategias de protección de datos.

Entre otros datos interesantes, se puede comprobar que el 45% de las pymes y el 47% de las grandes empresas han pagado compensaciones a los clientes que se vieron afectados por una brecha de datos, y el 35% de las pymes y el 38% de las grandes empresas han reportado problemas que han afectado a nuevos clientes como resultado de la pérdida de datos. Siguiendo el mismo orden el 27% y el 31% respectivamente han tenido que pagar multas y sanciones.

Fuente: BetaNews

Sploitus y SVScanner: búsqueda y explotación de vulnerabilidades

Sploitus es un motor de búsqueda de exploits y herramientas está basado en la API de Vulners, ofreciendo exploits del software que busquemos además de buscar también varias herramientas útiles.
SVScanner es una herramienta de scanning y explotación masiva que permite encontrar y explotar vulnerabilidades en varios CMS Open Source como Wordpress, Joomla!, Magento, etc.

Fundamentos de un SGSI según el CCN es España

En el Centro Criptográfico Nacional de España (CCN) podemos encontrar una serie de guías de la "familia 800 Guías Esquema Nacional de Seguridad (ENS)" del CCN-STIC (Seguridad de Tecnologías de la Información y las Telecomunicaciones), las cuáles son de libre descarga. No se debe confundir esta serie 800 con la Serie 800 de NIST, igual de útil.

Según ENS, el objeto último de la seguridad de la información es asegurar que una organización podrá cumplir sus objetivos utilizando sistemas de información. En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:
  • Seguridad integral.
  • Gestión de riesgos.
  • Prevención, reacción y recuperación.
  • Líneas de defensa.
  • Reevaluación periódica.
  • Función diferenciada.
El Anexo I del ENS define tres categorías de seguridad: Básica, Media o Alta.
  • En su punto 1 "Fundamentos para la determinación de la categoría de un sistema", esa categorización se basa en la valoración del impacto que tendría un incidente de seguridad sobre la organización.
  • En el punto 2, continúa definiendo las "Dimensiones de la seguridad" y a fin de poder determinar este impacto, se tendrán en cuenta las siguientes dimensiones: Autenticidad, Confidencialidad, Integridad, Disponibilidad, Accounting/Trazabilidad.
  • El punto 3, "Determinación del nivel requerido en una dimensión de seguridad" establece que si las consecuencias de un incidente de seguridad, afectan a alguna de las dimensiones de seguridad y suponen un determinado perjuicio sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados se clasificarán como:
Determinación del nivel requerido en  una dimensión de seguridad imagen
Determinación de la categoria de un sistgema de información imagen

Si bien CCN orienta estos documentos a España, los mismos pueden ser utilizados en cualquier tipo organización pública o privada para comenzar la organización de su Sistema de Gestión de Seguridad de la Información (SGSI).

Fuente: ElevenPaths