24 jun. 2019

Millones de PC Dell vulnerables por software de PC Doctor (Parchea!)

Millones de PC y laptops Dell con Windows son vulnerables a ataques a través de un agujero de seguridad de alta severidad, que podría ser explotado por atacantes para tomar el control sobre los dispositivos.

En un aviso de soporte publicado en su sitio web, Dell revela que el problema se encuentra dentro de un componente de terceros de SupportAssist, el software de solución de problemas que se incluye con los PC domésticos y de negocios de la empresa. El software que el fabricante de PC describe como "la primera tecnología de soporte proactivo y predictivo automatizada de la industria".

El investigador de seguridad Peleg Hadar descubrió que el componente PC Doctor de SupportAssist contiene una vulnerabilidad de secuestro de DLL, que puede ser explotada durante un ataque para obtener privilegios a nivel de sistema. A través de este mecanismo, un atacante podría obtener fácilmente el control de una computadora específica.
Como el software SupportAssist está preinstalado en millones de PC y portátiles de Dell, hay muchos incentivos para que los delincuentes en línea intenten aprovechar la falla.

Pero hay peores noticias. Dell no crea el software que contiene la vulnerabilidad. Está escrito por PC Doctor, un especialista en software de diagnóstico con sede en Nevada, que también licencia su tecnología a otros fabricantes de PC para empaquetarla, con una nueva marca, con sus propias PC y computadoras portátiles.

Según Hadar, otros productos afectados incluyen:
  • PC-Doctor Toolbox para Windows
  • CORSAIR ONE Diagnostics
  • CORSAIR Diagnostics
  • Grapas EasyTech Diagnostics
  • Herramienta de diagnóstico Tobii I-Series
  • Herramienta de diagnóstico Tobii Dynavox
Por lo tanto, es probable que la escala del problema llegue más lejos que solo los clientes de Dell. PC Doctor afirma en su sitio web que "los principales fabricantes de computadoras han preinstalado más de 100 millones de copias de PC-Doctor para Windows en sistemas informáticos de todo el mundo".

Hadar informó sobre la vulnerabilidad a Dell el 29 de abril, quien confirmó el problema y envió los detalles a PC Doctor el 21 de mayo. Dell emitió un parche el 28 de mayo, y debería significar que cualquier computadora Dell que esté configurada para recibir actualizaciones automáticas ya esté parcheada.

Los usuarios de Dell que estén preocupados de que sus computadoras puedan ser vulnerables deben verificar qué versiones de SupportAssist han instalado en sus PC y computadoras portátiles. Dell SupportAssist for Business PCs versión 2.0.1 y Dell SupportAssist for Home PCs versión 3.2.2 no son vulnerables a la brecha de seguridad.

Sin embargo, si su computadora Dell no tiene activadas las actualizaciones automáticas, o si tiene una marca diferente de computadora que ejecuta el código vulnerable, entonces realmente debería tomar medidas ahora y aplicar las actualizaciones de forma manual.

Fuente: Bitdefender

WeTransfer envió archivos a usuarios incorrectos y no sabe porqué

El servicio de intercambio WeTransfer ha estado enviando los archivos de los usuarios a las bandejas de entrada incorrectas durante al menos un día completo la semana pasada. Peor aún, la compañía dice que no puede averiguar qué sucedió.

Los clientes que usaron el servicio para compartir archivos entre el 16 de junio y el 17 de junio han recibido la siguiente notificación de la compañía por correo electrónico:
Le escribimos para informarle sobre un incidente de seguridad en el que se enviaron varios correos electrónicos del servicio WeTransfer a las personas equivocadas. Esto sucedió el 16 y 17 de junio. Nuestro equipo ha estado trabajando incansablemente para corregir y contener esta situación y descubrir cómo sucedió.
Hemos visto que una transferencia que usted envió o recibió también se entregó a algunas personas a las que no debía ir. Nuestros registros muestran que se ha accedido a esos archivos, pero casi con seguridad por el destinatario deseado. Sin embargo, como medida de precaución, hemos bloqueado el enlace para evitar futuras descargas.

Ya que WeTransfer también incluye el correo electrónico del remitente con la entrega de un archivo, se les dice a los clientes que vigilen sus bandejas de entrada para detectar actividades sospechosas.

En otro aviso, WeTransfer dice que algunos usuarios notarán que se les ha desconectado de su cuenta o que se les ha pedido que restablezcan su contraseña. Esto se hizo a propósito, de acuerdo con el aviso, para "proteger su cuenta". Los enlaces de Transferencia involucrados en el incidente también fueron bloqueados para evitar que los destinatarios incorrectos descarguen los archivos.

La compañía no reveló la causa del incidente y solo dijo que "Seguimos investigando el alcance y la causa completos del incidente, y nos actualizaremos lo antes posible".

El incidente puede haber sido causado por un error de programación, pero WeTransfer también puede haber sido víctima de un ataque cibernético.

Fuente: HotforSecurity

¿Comenzó la Ciberguerra entre EE.UU. e Irán?

Las tensiones entre Estados Unidos e Irán han aumentado desde que Estados Unidos se retiró el año pasado de un acuerdo nuclear de 2015 entre Irán y las potencias mundiales y restableció las sanciones, lo que desencadenó un colapso económico en Irán.

El restablecimiento de las sanciones estadounidenses el año pasado, en particular las impuestas a los sectores de energía, transporte y finanzas, causó que la inversión extranjera se agotara y afectara las exportaciones de petróleo. Las sanciones impiden a las empresas estadounidenses comerciar con Irán, pero también con empresas extranjeras o países que están tratando con Irán.

La semana pasada, Irán dijo que superaría los límites acordados internacionalmente en su programa nuclear. Trump ha dicho que no quiere la guerra con Irán, pero advirtió que el país se enfrentaría a una "destrucción" si surgiera el conflicto.

¿Qué hizo el ciberataque estadounidense?

El presidente Trump aprobó un ataque cibernético ofensivo que desactivó los sistemas informáticos utilizados por el Cuerpo de la Guardia Revolucionaria Islámica de Irán para controlar el lanzamiento de misiles y cohetes".

"Aunque ha paralizado los sistemas de control y comando militar de Irán", informó el Washington Post, "la operación no implicó una pérdida de vidas o víctimas civiles, un contraste con los ataques convencionales"

El ataque había sido planeado durante varias semanas, dijeron las fuentes a los medios de comunicación estadounidenses, y se sugirió como una forma de responder a los ataques de minas contra los petroleros en el Golfo de Omán.

Estaba dirigido a los sistemas de armas utilizados por el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), que derribó el avión no tripulado de EE. UU. El jueves pasado y que, según los Estados Unidos, también atacó a los petroleros.

Tanto el Washington Post como la agencia de noticias AP dijeron que el ataque cibernético había deshabilitado los sistemas. El New York Times dijo que tenía la intención de desconectar los sistemas por un período de tiempo.

El sábado, el Departamento de Seguridad Nacional de los Estados Unidos advirtió que Irán estaba intensificando sus propios ciberataques contra los Estados Unidos.

Christopher Krebs, el director de la Agencia de Seguridad de la Ciberseguridad y la Infraestructura, dijo que la "ciberactividad maliciosa" estaba dirigida a las industrias estadounidenses y a las agencias gubernamentales por "actores del régimen iraní y sus representantes".

Ellos estaban usando "ataques de 'limpiaparabrisas' destructivos", dijo, usando tácticas como "Spear phishing", "Password Spray" y relleno de credenciales" en un intento por tomar el control de redes completas.

Irán también ha estado intentando atacar los sistemas navales de los Estados Unidos, informó el Washington Post.

Mientras tanto, el viernes Trump dijo que se había descartado el lanzamiento de ataques convencionales contra Irán porque le habían dicho que matarían a 150 iraníes. "Si Irán quiere convertirse en una nación próspera ... está bien. Pero nunca lo van a hacer si piensan que en cinco o seis años tendrán armas nucleares".

¿Qué le pasó al dron estadounidense?

El IRGC de Irán dijo que el derribo del avión no tripulado era un "mensaje claro a los Estados Unidos de que las fronteras de Irán son una línea roja".

Pero los oficiales militares de los Estados Unidos mantienen que el avión no tripulado estaba en el espacio aéreo internacional sobre el Estrecho de Hormuz en ese momento.
Amir Ali Hajizadeh, un oficial de alto rango en el IRGC, dijo que otro avión militar, que transportaba a 35 pasajeros, había estado volando cerca del avión no tripulado. "Podríamos haber derribado ese también, pero no lo hicimos", dijo.

Medios para la Defensa

A pesar de todas las especulaciones de los medios, la mayoría de los gastos cibernéticos del gobierno siguen centrados en la defensa de los datos y las redes. Y cuando han existido ataques cibernéticos ofensivos, no se divulgan ni mucho menos se publican. Por esa razón, los informes del 21 y 22 de junio sobre el ciberataque de los Estados Unidos son significativos y no por accidente.


Lo físico y lo digital están entrelazados. Esta decisión de los EE. UU. de tratar la revelación de un ataque cibernético como un ataque físico cuando en realidad no hay imágenes muestra claramente que este es el caso.

No hay detalles oficiales sobre la operación cibernética ofensiva que fue reportada por primera vez por Yahoo News. Un portavoz del Departamento de Defensa dijo a los medios que "como una cuestión de política y de seguridad operacional, no discutimos las operaciones, inteligencia o planificación del ciberespacio".

Fuente: BBC | Forbes

22 jun. 2019

PoC para vulnerabilidad de Outlook for Android

Microsoft lanzó esta semana una versión actualizada de su aplicación de Outlook para Android que corrige una grave vulnerabilidad de ejecución remota de código (CVE-2019-1105) que afectaría a más de 100 millones de usuarios.

Sin embargo, en ese momento, había muy pocos detalles de la falla, que reveló que las versiones anteriores de la aplicación de correo electrónico contenían una falla de XSS que podía permitir a los atacantes ejecutar scripts en el contexto del usuario actual, simplemente enviando un correo electrónico especialmente diseñado a las víctimas.

Ahora, Bryan Appleby de F5 Networks, uno de los investigadores de seguridad que informó este problema de manera independiente a Microsoft, presentó más detalles y prueba de concepto de la vulnerabilidad de Outlook que informó al gigante de la tecnología hace casi seis meses.

En una publicación de blog, Appleby reveló que mientras intercambiaba un código JavaScript con sus amigos a través de un correo electrónico, descubrió accidentalmente un problema de XSS que podía permitir que un atacante incrustara un iframe en el correo electrónico.

En otras palabras, la vulnerabilidad reside en la forma en que el servidor de correo electrónico analiza las entidades HTML en los mensajes de correo electrónico.

Aunque el JavaScript que se ejecuta dentro de un iframe solo puede acceder al contenido dentro de él, Appleby descubrió que la ejecución del código JavaScript dentro del iframe inyectado puede permitir que el atacante lea contenido relacionado con la aplicación en el contexto del usuario de Outlook registrado, incluidas sus cookies, tokens y incluso algunos contenidos de su bandeja de entrada de correo electrónico.

Appleby informó responsablemente sus hallazgos a Microsoft el 10 de diciembre de 2018, y la compañía confirmó la vulnerabilidad el 26 de marzo de 2019 cuando compartió un PoC universal con el gigante de la tecnología.

Microsoft parcheó la vulnerabilidad y lanzó una solución hace unos días. La compañía dice que actualmente no tiene conocimiento de ningún ataque in-the-wild relacionado con este problema.

Además de Appleby, los investigadores de seguridad Sander Vanrapenbusch, Tom Wyckhuys, Eliraz Duek de CyberArk y Gaurav Kumar también informaron el mismo problema a Microsoft por separado en los últimos meses. Gaurav Kumar también compartió un video que demuestra la vulnerabilidad en acción.

Si su dispositivo Android aún no se actualizó automáticamente, se le recomienda actualizar su aplicación Outlook desde Google Play Store (21 de junio de 2019 - v3.0.88) manualmente.

Fuente: THN

21 jun. 2019

La seguridad de la NASA en ridículo por un rogue Raspberry Pi conectada a su red

Houston, We have a Problem!

La seguridad del Jet Propulsion Laboratory (JPL) de la NASA ha quedado totalmente ridiculizada por un informe publicado [PDF] a raíz de un incidente de seguridad que ocurrió en abril de 2018. En ese momento, al parecer los atacantes llegaron a la red interna del laboratorio a través de una Raspberry Pi conectada a la red. De ahí, con movimientos laterales parece que consiguieron implantarse durante un año en la red hasta que se descubrió. La peligrosidad del ataque no se fundamenta solo en la posibilidad de controlar ciertos experimentos o misiones, sino además de la posibilidad de tener acceso a la tecnología y conocimiento y que se investiga y desarrolla en esa red.

Ya en marzo de 2019 se advirtió en una carta de la Office of the Inspector General (OIG) de la propia NASA de las pobres prácticas de seguridad. Ahora es cunado se ha publicado un profuso informe al respecto.

El informe explica las deficiencias en la red, en las que prácticamente fallaban todos y cada uno de los procedimientos y técnicas básicas de ciberseguridad: desde una mala segmentación (con redes compartidas con terceros), hasta deficiencias en la monitorización, desde una mala interpretación de los logs, hasta administradores no cualificados, pasando por una evidente falta de protocolo de respuesta ante incidentes. Todo un despropósito que ha quedado al descubierto. Por poner un ejemplo, en la auditoría se encontraron 666 tickets abiertos de seguridad con la máxima criticidad (obligados a ser atendidos en menos de 30 días), de un total de más de 5000 abiertos.

Detalles publicados

El Laboratorio de Propulsión a Chorro (JPL, por sus siglas en inglés) de la NASA sufre de múltiples debilidades de ciberseguridad a pesar de los avances que ha logrado en tecnología espacial. Los investigadores analizaron los controles de seguridad de la red del centro de investigación después de una violación de la seguridad en abril de 2018, en la que una Raspberry Pi que no estaba autorizada para conectarse a la red JPL fue atacada por desconocidos. Los atacantes pudieron robar 500 Megabytes de datos de uno de sus principales sistemas de misión, y también aprovecharon esa oportunidad para encontrar una puerta de enlace que les permitiera profundizar en la red de JPL.

Al profundizar en el sistema, los delincuentes informáticos pudieron acceder a varias misiones importantes, incluida la Red de Espacio Profundo de la NASA, su red de instalaciones de comunicación para naves espaciales. Como resultado, los equipos de seguridad de algunos programas sensibles, como el Orion Multi-Purpose Crew Vehicle y la Estación Espacial Internacional, han optado por desconectarse de la red de la agencia.

Además de tener una visibilidad reducida de los dispositivos conectados a su red y de no mantener separadas las distintas partes de la misma, los investigadores también han encontrado casos de que los tickets de seguridad no se resuelven durante largos períodos de tiempo. En algunos casos, los boletos quedaron sin resolverse por hasta 180 días. Los investigadores también han notado que las prácticas de respuesta y manejo de incidentes de JPL se desvían de las recomendaciones de la NASA.

La OIG recomendó una solución para todos esos problemas, y la NASA aceptó todos ellos excepto uno: establecer un proceso formal de búsqueda de amenazas para encontrar fallas antes de que incluso causen problemas. Verificará si JPL sigue adelante antes de cerrar la investigación por completo.

Recomendaciones



Fuente: Engadget

Otra ciudad secuestrada, esta vez pagaron 65 BTC

El concejo municipal de Riviera Beach, Florida, acordó pagar cerca de USD 600000 en Bitcoin para recuperar el acceso a los datos cifrados en un ataque de ransomware, informó el New York Times, el 19 de junio.

El 29 de mayo, la ciudad experimentó "un evento de seguridad de datos" cuando un empleado del departamento de policía abrió un archivo adjunto de un correo electrónico supuestamente infectado, lo que finalmente resultó en un fallo del sistema en línea. Los delincuentes, supuestamente, cifraron los registros gubernamentales, bloquearon el acceso a información crítica y dejaron a la ciudad sin la capacidad de aceptar pagos de servicios públicos que no sean en persona o por correo postal.

Una portavoz de la ciudad, Rose Anne Brown, dijo que la ciudad tenía que gastar más de USD 900,000 en nuevos programas informáticos que se habían planeado para el próximo año. Después del evento, el concejo de la ciudad acordó por unanimidad pagar 65 BTC (USD 592,000, al cierre de esta edición) para restaurar el acceso a los datos y volver a poner sus sistemas en línea, aunque supuestamente no hay garantía de que los delincuentes liberen los datos al recibir el pago.

Michael van Zwieten, director de servicios de tecnología de la Liga de Ciudades de Florida, dijo:
Todas las ciudades, ya sean grandes o pequeñas, son por naturaleza muy conscientes de los costos cuando se trata de presupuestar para inversiones en tecnología. Las ciudades medianas y pequeñas están especialmente tensas cuando se trata de encontrar los recursos necesarios para mantener su tecnología actualizada. Sólo hay una cantidad finita de dólares que se pueden repartir dentro de la ciudad para financiar los servicios que sus ciudadanos esperan".
En mayo, la ciudad de Baltimore experimentó un ataque similar, en donde supuestamente los cibercriminales tomaron el control de aproximadamente 10,000 computadoras del gobierno y paralizaron el trabajo del sistema de servicios públicos local utilizando un ransomware llamado RobbinHood. Los delicnuentes exigieron BTC por un valor de casi USD 100,000 para liberar la copia de seguridad y amenazaron con aumentar el rescate en caso de no pagar en cuatro días.

En respuesta, el alcalde de Baltimore, Jack Young, dijo que los funcionarios de la ciudad estaban "comprometidos en el proceso de restauración y que los principales expertos en ciberseguridad in situ estaban trabajando 27-7 con ellos".

Se informó recientemente también que la firma de inteligencia blockchain Chainalysis afirmó que el 64% de las estrategias de retiros dinero relacionados con ataques de ransomware implicaban el lavado de fondos a través de exchanges de criptomonedas. Entre otras estrategias analizadas de cobro de dinero por ransomware, el 12% involucró servicios de mezcla y el 6% involucró redes de igual a igual, mientras que otros fueron a través de proveedores de servicios mercantiles o mercados de la dark web. El 9% de los ingresos de ransomware continúan sin ser gastados.

Fuente: CoinTelegraph

20 jun. 2019

¿Qué es Silent War, OSINT y SOCMINT?

CEO/CIO/CISO/CTO Speaker, Ethical Hacker, Social Engineer(Human Hacker-Human Programer) Investigator OSINT-SOCMINT, Researcher-Consultant Neurohacking/Design Engineering/Cybercrime

En la actualidad se habla sobre cómo la información es una las fuerzas más grandes que existe, quien posea información posee conocimiento y por ende el dominio entre las grandes potencias. Esta siempre ha sido la lucha del hombre: dominar todo aquello que existe.

Si regresamos a épocas en donde la tecnología no existía podemos darnos cuenta de que las guerras se ocasionan por obtener dominio, imposición. Pero uno de los mas grandes resultados de todo ello era el encuentro del conocimiento a causa de todo este caos de poder dominar.

Empezare a describir qué es y qué no es. El Silent War hace parte de la Ciberguerra como una operación estratégica, en pocas palabras es un método para combatir.

Imaginemos que queremos realizar una compra de un producto en un supermercado. ¿Ya tenemos un objetivo, pero cuál va a ser el camino para seguir, preguntaremos al encargado del supermercado? ¿Revisaremos las secciones? ¿Caminaremos por el supermercado hasta encontrar nuestro stand con el producto? Posiblemente tendríamos una gran cantidad de opciones para cumplir nuestro objetivo. Es así entonces, que nace Silent War, un método operacional para realizar una Ciberguerra.

Para poder entender a detalle empezaré por explicar la forma en que los procesos de información han avanzado.

El proceso de información lo podemos entender como el proceso que existe entre un emisor, un receptor y un canal o medio; por el cual fluye algo. En nuestro caso tecnológico, y para hacer un paralelo, nos referimos a los datos, que luego de pasar por un proceso de análisis se convierten en información.
Proceso de Comunicación
Para entender esto de mejor manera pondré un ejemplo: tenemos dos actores, Juan y Carlos quienes representan al emisor y receptor, respectivamente, mientras que como ejemplo de canal tenemos al lenguaje. Entonces, cuando Juan habla con Carlos existe el proceso de comunicación. Entendiendo esto hace falta el proceso de transformación para que lo que esta pasando por el canal (el lenguaje) se convierta en información. Ente proceso se da en nuestro cerebro que extrae el lenguaje, lo analiza y luego lo transforma en información, algo así como el proceso que surge en Business Intelligence con el ETL.

Teniendo claro este proceso podemos empezar a hablar sobre silent war. Si observamos, en la actualidad existen muchos medios, mecanismos, objetos y elementos con los cuales el proceso de comunicación se realiza. Así las cosas, vivimos en mundo donde la información es constante pero no sabemos a ciencia cierta qué es verdad y qué no es verdad y, por otro lado, no sabemos si la información está siendo manipulada o no

Pero ¿Cómo podemos garantizar que aquello que oímos, leemos, observamos es cierto?

Hace algún tiempo se viene hablando sobre una nueva técnica que puede llegar a ocasionar una gran influencia en la percepción de las personas con respecto a su realidad. En Europa ya se habla sobre esta técnica que están utilizando los cibercriminales, terroristas y grupos insurgentes de esta nueva era. Esto se conoce como "Desinformación en el Ciberespacio" o también llamadas Fake News.
Fake News
En realidad, esta desinformación hace parte de un pequeño eslabón que conforman el proceso dentro de la SILENT WAR.

Entonces, ¿qué es SILENT WAR? Es el "método de manipulación, control y persuasión de un público objetivo dentro de una estructura sistémica por medio de datos e información".
El lector se preguntará ¿esto a que hace referencia? Bueno, pues esta actividad involucra varias tecnologías, herramientas y técnicas como la Ingeniería Social, el OSINT y el SOCMINT (Social Media Intelligence) principalmente.

Contenido completo:
Por Edwin Peñuela
CEO/CIO/CISO/CTO Speaker, Ethical Hacker, Social Engineer(Human Hacker-Human Programer) Investigator OSINT-SOCMINT, Researcher-Consultant Neurohacking/Design Engineering/Cybercrime

Echobot: botnet que ataca VMware, Oracle y routers Linksys y DD-WRT, entre otros muchos

Todos hemos oído hablar en los últimos meses de Mirai, una de las botnets más grandes y peligrosas formadas principalmente por dispositivos del Internet de las Cosas, IoT. Sin embargo, Mirai no es la única botnet de la que debemos preocuparnos, y es que existen otras redes de equipos zombie diseñadas para poner en peligro nuestra seguridad, como GoldBrute, que busca y ataca ordenadores vulnerables a los últimos fallos de RDP, o Echobot, una nueva botnet que se está haciendo cada vez más grande y está diseñada para atacar una gran cantidad de ordenadores y equipos de red, como VMware, Oracle y hasta routers con DD-WRT, entre otras decenas de modelos.

Echobot no es una botnet nueva, sino que esta lleva ya tiempo funcionando utilizando la botnet Mirai como principal red de ataque. Desde sus inicios, esta botnet había sido diseñada para atacar principalmente routers (ASUS y NETGEAR, principalmente), además de atacar cualquier equipo Belkin, chips Realtek, equipos DELL y hasta sistemas de virtualización VMware y servidores Oracle con el fin de tomar el control de ellos, infectarlos con malware y utilizarlos en ataques a mayor escala.
Recientemente, un grupo de investigadores de Palo Alto Networks han encontrado en la red una nueva variante de Echobot que empieza a atacar de forma masiva Internet. Mientras que la versión principal de Echobot utilizaba 18 exploits, exploits utilizados también por Mirai y otras botnets similares, esta nueva versión de Echobot utiliza 8 nuevos exploits, no utilizados hasta ahora por otras botnets.

Los nuevos exploits de Echobot

Esta nueva versión de la botnet ha sumado a su lista de exploits 8 nuevos con el fin de atacar a un mayor número de dispositivos diferentes, entre los que podemos destacar sistemas AirOS, ASMAX, routers DD-WRT, D-Link, Linksys, Seowonintech, Yealink y Zeroshell.

Algunas de las vulnerabilidades explotadas por esta botnet tienen más de 10 años, por lo que la probabilidad de caer víctimas de ellas es bastante reducida (aunque sigue haciendo routers vulnerables conectados a la red). Sin embargo, también tiene exploits recientes, como el de RCE de Belkin Wemo o la vulnerabilidad de 2017 de Netgear ReadyNAS.

Además, los investigadores de seguridad advierten de que algunos de los exploits utilizados por esta botnet no tienen registrado ningún CVE, es decir, que son fallos desconocidos, sin registrar, que pueden suponer un peligro mayor para los usuarios.

En la web de Palo Alto Networks podemos encontrar información mucho más detallada sobre los dispositivos afectados y los exploits incluidos en esta nueva versión de la botnet.

Aunque esta botnet comparte muchas similitudes con Mirai, y ambas comparten muchos exploits, Echobot busca infectar otros dispositivos diferentes, sobre todo routers de uso doméstico y sistemas utilizados en empresas, como la plataforma de virtualización de VMware o los servidores de Oracle.

Si queremos protegernos de esta botnet, lo primero que podemos hacer es bloquear los dos dominios utilizados como servidores de control: akumaiotsolutions.pw y akuma.pw, ambos apuntando a dos IPs registradas en Italia (80[.]211[.]224[.]232, 80[.]211[.]168[.]74) y otra IP registrada en Estados Unidos (198[.]54[.]117[.]200).

Además, como siempre, se recomienda utilizar contraseñas seguras en todos los equipos y dispositivos conectados a Internet, así como tener la última versión disponible de los firmware que cuente con el mayor número de parches de seguridad para reducir la probabilidad de caer en las garras de esta botnet.

Fuente: RedesZone

19 jun. 2019

SACK Panic: DoS a través de TCP/IP en el kernel Linux

El investigador de seguridad Jonathan Looney, de Netflix, ha descubierto varias vulnerabilidades en la implementación de TCP/IP del kernel Linux que permitirían a un atacante remoto provocar denegaciones de servicio en los sistemas que trabajen con las versiones del núcleo afectadas.

Las vulnerabilidades afectaban a cualquier distribución basada en Linux, así como a FreeBSD. Estos fallos se encuentran en la forma en la que el Kernel Linux procesa las conexiones TCP y, al explotarlas, puede dar lugar a un Kernel Panic, el equivalente al pantallazo azul de Linux.

La vulnerabilidad de SACK Panic  (DebianRed Hat, Ubuntu, SuseAWS) afecta a los kernels de Linux 2.6.29 y posteriores, y "puede explotarse enviando una secuencia diseñada de segmentos de SACK en una conexión TCP con un valor pequeño de TCP MSS" lo que provocará un desbordamiento de enteros.

La vulnerabilidad más crítica, bautizada como "SACK Panic" y etiquetada con CVE-2019-11477, debe su nombre a los paquetes de reconocimiento selectivo (SACK). Este protocolo se define en el RFC 2018 y RFC 2883, y trata de solventar el problema de las retransmisiones innecesarias de paquetes durante una conexión TCP. Cuando el envío de un segmento falla, se solicita la retransmisión de ese segmento mediante un paquete ACK con el número del último fragmento recibido. Aunque los subsiguientes segmentos se hayan recibido correctamente, el servidor volverá a retransmitirlos en orden. Para solucionar este problema de optimización se utiliza la trama SACK, que se envía junto con el ACK duplicado (utilizado para solicitar la retransmisión), indicando el rango de tramas que sí se han recibido correctamente. Con esta información, el servidor ya puede retransmitir sólo los paquetes que no se han recibido, optimizando así la comunicación.

Otro concepto que debemos definir es el de "tamaño de segmento máximo" (MSS). El MSS es un parámetro que se envía en las cabeceras TCP de cada paquete y especifica el tamaño máximo (en bytes) que se puede recibir sin fragmentar. Valores elevados en el MSS podrían provocar más fragmentación y en consecuencia una reducción de la velocidad.

Las versiones 2.6.29 y posteriores del kernel Linux son vulnerables. Netflix ha publicado un parche para corregir el fallo:

ACK Slowness y el otro fallo de seguridad

Aunque SACK Panic es la vulnerabilidad más grave, también se han dado a conocer otros dos fallos de seguridad que afectan al Kernel Linux.

El segundo de los fallos ha sido denominado como SACK Slowness (CVE-2019-11478), y se puede explotar fácilmente enviando una secuencia elaborada de paquetes SACK para fragmentar la cola de retransmisión de la conexión TCP.

El tercero de los fallos no tiene un nombre como tal, pero ha sido registrado como CVE-2019-11479. Este fallo permite a un atacante realizar un ataque DoS a un sistema enviando paquetes con un valor bajo de MSS para disparar el consumo de recursos en el sistema.

Por el momento ninguna de las 3 vulnerabilidades tiene logotipo oficial ni una página web donde se expliquen con detalle estos fallos. Si queremos conocer más información detallada sobre los fallos, podemos verlos en el boletín de seguridad de Netflix, publicado en GitHub.
    La primera también está relacionada con los paquetes SACK, y permitiría a un atacante remoto segmentar la cola de retransmisiones ralentizando el envío de paquetes SACK (en versiones anteriores a 4.15) o hasta el punto de agotar los recursos al tener que recorrer una lista enlazada de paquetes SACK demasiado larga.

    La segunda, permitiría a un atacante agotar los recursos del sistema configurando un valor bajo del MSS. Lo que elevaría la fragmentación y el ancho de banda requerido para transmitir la misma cantidad de información. Esta vulnerabilidad afecta a todas las versiones de Linux y para explotarla se requeriría el envío continuo de tráfico. Netflix también ha publicado los parches para estas dos vulnerabilidades:

    Más información:
    Fuente: Hispasec

    Firefox publica parche para vulnerabilidad 0-Day

    El equipo de desarrollo de Mozilla ha lanzado Firefox 67.0.3 y Firefox ESR 60.7.1, un par de actualizaciones de seguridad que buscan corregir una vulnerabilidad de día cero de explotación activa que podría permitir a los hackers ejecutar código de manera remota en ordenadores que ejecutan las versiones vulnerables del navegador.

    Según el aviso de seguridad de Mozilla, los desarrolladores del software están conscientes de los ataques informáticos que abusan de este exploit, permitiendo que los hackers tomen control de los ordenadores afectados. El encargado de notificar este fallo de seguridad a Mozilla fue Samuel Grob, un investigador informático de Google Project Zero.

    La vulnerabilidad, conocida técnicamente como CVE-2019-11707, se presenta cuando los recursos de JavaScript son manipulados debido a fallos del complemento Array.pop. De esta forma, un atacante podría propiciar un alto grado de confusión engañando a los usuarios de Firefox para que visiten un sitio web creado con fines maliciosos, lo que les permitiría ejecutar código de manera arbitraria en sus ordenadores.

    Por su parte, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA, por sus siglas en inglés), también emitió una advertencia de seguridad donde aconsejó a los usuarios revisar las actualizaciones lanzadas por Mozilla a fin de mitigar la amenaza.

    Esta no es la primera vulnerabilidad de día cero no es la primera que recibe una actualización de seguridad importante. En 2016, Mozilla lanzó un parche similar para una amenaza que permitía a los hackers para eliminar el anonimato de los usuarios del navegador web Tor para recopilar sus datos personales, incluyendo las direcciones MAC, direcciones IP y los nombres de host.

    Fuente: Tekcrispy