Vulnerabilidad en librería Live555 deja expuesto a VLC, MPlayer y otros reproductores multimedia

Hoy en día, la mayoría de las aplicaciones, sobre todo de código abierto, utilizan librerías de terceros para implementar distintas funcionalidades en ellas. Esto es muy cómodo ya que las permiten crecer muy rápidamente y garantizar así la mejor compatibilidad posible con los estándares, sin embargo, esto también es un arma de doble filo, ya que en el momento que se encuentra un fallo de seguridad en una de estas librerías automáticamente afecta a todas las aplicaciones que las utilizan, como acaba de ocurrir con las librerías multimedia LIVE555 utilizadas por aplicaciones como VLC.

Hace algunas horas, el departamento de seguridad de Cisco, Talos, hacía eco de una vulnerabilidad bastante grave en LIVE555 Streaming Media, un conjunto de librerías de código abierto, escritas en C++, utilizadas por muchos reproductores multimedia para las funciones de streaming. Estas librerías de código abierto forman los estándares RTP, RTCP y RTSP utilizados para transmitir a través de la red por los puertos TCP 80, 8000 o 8080 contenido en formatos H.264, H.265, MPEG, VP8 y DV de vídeo y MPEG, AAC, AMR, AC3 y Vorbis de audio.

Muchos de los reproductores multimedia con funciones de red, como el mítico VLC o MPlayer, utilizan estas librerías y, por lo tanto, están afectados por esta grave vulnerabilidad de ejecución de código remoto recién descubierta.

Este fallo de seguridad ha sido registrado como CVE-2018-4013 y permite a un atacante modificar los paquetes del túnel RTP para causar un desbordamiento de búfer y llegar hasta a ejecutar código remoto tanto en el servidor como en el cliente vulnerable.

Cómo protegernos de este grave fallo de seguridad

Esta vulnerabilidad se encuentra presente en la versión 0.92 de Live Networks LIVE555 Media Server, aunque los propios investigadores aseguran que también podría estarlo en las versiones anteriores de este conjunto de librerías.

El fallo de seguridad fue solucionado ya en el conjunto de librerías el pasado 17 de octubre, y, una vez corregido, esta vulnerabilidad se ha dado a conocer.

Aunque este conjunto de librerías ya ha sido actualizado, para protegernos es necesario asegurarnos de actualizar tanto las aplicaciones servidor como cliente que utilicemos para reproducir contenido multimedia a través de RTP. VLC y MPlayer son algunas de las aplicaciones más conocidas que utilizan estas librerías y, por lo tanto, están afectadas por esta vulnerabilidad, aunque también hay muchas otras aplicaciones también afectadas.

También debemos destacar que muchas cámaras de vigilancia y webcams que utilizan el protocolo RTP para transmitir contenido a través de la red también están afectadas por este fallo, y por lo tanto es importante asegurarnos de actualizar su firmware para poder estar protegidos de estos fallos de seguridad.

Fuente: Talos

Seguir leyendo...

15.769 sitios web que usan Wordpress han sido hackeados

Worpress es un objetivo popular por que la mayoría de las webs lo usa para manejar y publicar su contenido. Esto de acuerdo a un informe por parte de Sucuri de sitios web comprometidos [PDF], hay un 78% de los 21.821 sitios estudiados que usan este gestor de contenidos.

Wordpress, con el paso del tiempo, continua a la cabeza con un amplio porcentaje de sitios web comprometidos, con una tasa del 74%.

El informe se centra en cuatro populares gestores de contenidos Open Source: se cubre también Joomla con un 14% de sitios comprometidos, Magento con un 5% y Drupal con un 2%.

Cuando se trata de software sin actualizar, un vector común para los ciberdelincuentes, el informe encontró que el 55% de las instalaciones de Wordpress estaban sin actualizar, mientras que Joomla, con un 86% de sitios sin actualizar, Drupal con un 84% y Magento con un 96%, continúan siendo líderes indiscutibles en sitios web sin actualizar o con versiones vulnerables.

Año tras año, Wordpress vio un decremento de un 1% en sitios web sin actualizar o infectados, mientras que Drupal tuvo un aumento de un 3%. Joomla y Magento siguen mostrando las versiones más desactualizadas de cada plataforma.

Las extensiones con poca seguridad dan a los cibercriminales un acceso inicial la mayor parte del tiempo. Sucuri encontró que, de media, las instalaciones de Wordpress tenían instaladas 12 plugins en cualquier momento.

El top tres de vulnerabilidades de plugins de Wordpress que han contribuido al hackeo de los sitios con Wordpress: Gravity Forms, TimThumb y RevSlider.

Preocupantemente, solo el 18% de los sitios web infectados han sido metidos en una Blacklist por los principales motores de búsqueda y de protección de servicios web, dejando un 82% de los sitios web infectados sin marcar y presentando un potencial riesgo a los usuarios.

El esfuerzo más satisfactorio por bloquear estos sitios fue de Google Safe Browsing, con un 52% de sitios bloqueados. Norton Safeweb consiguió encontrar un 38%, mientras que McAfee SiteAdvisor encontró solo el 11% de sitios web hackeados.

Fuente: Infosecurity

Seguir leyendo...

USBNinja: cable USB que permite hacer ataques a distancia a través de bluetooth

A simple vista parece un simple cable USB pero en realidad encierra un peligro potencial: se puede usar para lanzar ciberataques a la distancia. Se trata de USBNinja y viene en varios formatos (Micro USB, USB tipo C y Lighting).

El producto es una evolución de BadUSB, presentado en 2014, y que demostró que se podía insertar el malware en el firmware del pendrive. En este caso, el cable tiene un control de bluetooth que se activa de manera remota a través de una app o pequeño gadget.

Cuando el cable recibe la orden, inyecta el malware en el dispositivo en el cual esté conectado: computadora, tablet o celular.

USBNinja fue desarrollado por la firma RFID Research Group. Se trata de una herramienta que permite hacer pruebas de pentesting en el ámbito de la seguridad informática. La presentaron a través de una plataforma de financiamiento colectivo y ya lograron reunir más de USD 27.700, casi el triple del objetivo que se habían planteado.

El pentesting o pruebas de penetración consiste en la realización de ataques cibernéticos controlados a sistemas informáticos con el fin de identificar vulnerabilidades y corregirlas.

Este cable es una herramienta, como tantas otras, que desde el punto de vista del experto en seguridad informática, ayudan a evaluar la seguridad de dispositivos e infraestructura, pero si cae en manos equivocadas puede ser utilizada para hacer ciberataques.

De hecho, esto es lo que plantean los desarrolladores de este cable. Ellos buscan alertar sobre la facilidad con que se pueden realizar estos ataques para generar conciencia en los usuarios; y, por otra parte, ofrecen una herramienta para que los expertos en seguridad puedan utilizar dentro de sus análisis informáticos.

"Este cable es similar a otros dispositivos que hemos visto, con Arduino se pueden crear dispositivos que cumplan funciones similares para que ejecuten algún código malicioso. Esta tecnología podría ser usado por un cibercriminal, como para robar información o incluso por un empleado disconforme que quiera hacer algún tipo de daño en la empresa", explica Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET. "En última instancia, cuando hablamos de tecnología, no podemos decir que sea buen o mala, es el uso que le den las personas", concluye.

Los creadores dicen que USBNinja es muy versátil y que también se puede utilizar para hacer bromas, algo que podría ocurrir si se utiliza para descargar un código que, por ejemplo, permita mover el mouse a la distancia. También podría servir para inyectar mensajes de amor, en vez de códigos maliciosos. Al menos eso explican los creadores.

Cómo funciona

En la punta del cable que se inserta en el dispositivo se creó una unidad que se activa por medio de bluetooth. Por fuera esto no se ve, USBNinja luce como cualquier otro cable e incluso sirve para transmitir datos o cargar las baterías del equipo, por ejemplo. Tiene un metro de largo, es blanco y, como se mencionó anteriormente, con tres conectores: Micro USB, USB tipo C y Lighting.

Pero cuando ese pequeño tablero recibe la orden, a través de un control remoto o una app diseñada específicamente para estos fines, inmediatamente descarga el código malicioso en el equipo en el que está conectado.

El control remoto funciona hasta a una distancia de 100 metros y la carga que se quiera ejecutar se puede programar a través de Arduino IDE. El dispositivo cuesta USD 99 y los desarrolladores están usando una plataforma de financiamiento colectivo para este proyecto.

Fuente: Infobae

Seguir leyendo...

¿Qué es un Red Teaming?

Artículo original publicado por ZeroLynx

Dentro de los servicios ofrecidos por las empresas de ciberseguridad, uno de los que más pasiones levanta es el de Red Teaming.

Cada vez es más habitual escuchar este término en todo tipo de conferencias y artículos, con detalladas explicaciones sobre cómo saltarse la seguridad física de un entorno para colocar un implante hardware que nos permita conectarnos remotamente, con explicaciones de diversos ataques de ingeniería social y phishings a los empleados de una organización, o con listas y explicaciones sobre cómo usar los últimos "Living-Off-the-Land Binaries" o LOLBins, aplicaciones, scripts y librerías nativas que pueden ser usadas y abusadas para ejecutar código adicional, como podrían ser rundll32, regsvr32, msbuild, y muchísimas otras más. Sin embargo, ¿tenemos todos claro lo que significa Red Teaming?

Cuando un cliente solicita un análisis de vulnerabilidades, casi todos estaremos de acuerdo en que busca escanear una aplicación, servicio o infraestructura (interna o externa) con herramientas automáticas de detección de vulnerabilidades. Al final, el objetivo será conseguir un informe con todas las vulnerabilidades detectadas, que con suerte, nos entregarán limpio de falsos positivos, y podremos finalizar el proyecto.

Cuando los clientes requieren un test de penetración, las cosas empiezan a dejar de estar tan claras y suele ser necesario aclarar qué busca exactamente el cliente. Bajo el mismo paraguas de "test de penetración" se suelen requerir una gran variedad de servicios:

• Una revisión completa (automática y manual) sobre una aplicación, estando el pentester en listas blancas, con el objetivo de detectar el mayor número posible de vulnerabilidades para su posterior corrección.
• Una demostración sobre si somos capaces de penetrar en el perímetro de la organización a través de una aplicación con todas las defensas levantadas… en ocasiones bajo la premisa del "realismo". Eso sí, indicando que las denegaciones de servicio, la ingeniería social al personal, o los ataques a cualquiera de las otras 200 direcciones IP identificadas en la organización no están permitidas. Es decir, que se busca un escenario "realista" en el que el realismo consiste en que el atacante está limitado a atacar un único activo, altamente bastionado, monitorizado y protegido por todo tipo de soluciones de seguridad. Este tipo de proyectos, aunque necesarios para revisar, por ejemplo, la correcta configuración de las medidas de seguridad desplegadas para proteger un activo, desde luego no deberían ser justificados con el “realismo”, porque por todos es conocido que el adversario ataca siempre al eslabón más débil, y nunca al más protegido.
• Una auditoría de seguridad interna con más o menos limitaciones, en la que se suelen permitir tanto el uso de equipos informáticos de los auditores, como de equipos plataformados por la organización. El objetivo es demostrar hasta qué punto lograrían penetrar, simulando por ejemplo, a un usuario que se convierta en malicioso. Este tipo de proyectos suelen acabar con el pentester alcanzando permisos de Domain/Enterprise Admin, desgraciadamente, con más frecuencia de la que debería.
• Y cualquier combinación más o menos acertada de las anteriores.

Por este motivo, cuando empezamos a hablar de Pentesting siempre nos sentamos con el cliente para que nos explique su nivel de madurez percibido, qué busca exactamente conseguir a través del proyecto, e intentamos guiarle y sugerirle la forma de obtener el mayor beneficio frente a su inversión.

Y finalmente llegamos al Red Teaming: terreno de pasiones, mitos y fantasías. Desconozco si es una cuestión de oportunismo, de curiosa fascinación ante la terminología militar que atrae a todo tipo de perfiles, o de falta de conocimiento y consenso alrededor del término, pero es en este terreno donde apreciamos mayor falta de precisión. ¿Tiene que ver todo esto con que cada vez más directores, managers y otros responsables en el lado del cliente reconozcan en privado que no están, para nada, del todo satisfechos con los servicios que les han ofrecido hasta el momento en este tipo de proyectos?

Continuar Leyendo en fuente original ZeroLynx

Seguir leyendo...

Trio de vulnerabilidades afecta a ocho modelos de D-Link

Varios modelos de router de D-Link son vulnerables a tres vulnerabilidades que pueden facilitar a un atacante obtener el control total sobre los mismos.

Cogidas por separado, las vulnerabilidades son un Path Traversal, guardar contraseñas en texto plano y ejecución de comandos de Shell; pero encadenándolas juntas lleva a un atacante a poder ejecutar código malicioso en los dispositivos (10 de 10 en CVSS v3).

La primera vulnerabilidad de la lista es el Path Traversal, identificado como CVE-2018-10822, que permite a un atacante remoto leer ficheros arbitrarios. Este fallo surgió por una reparación incorrecta de una vulnerabilidad diferente reportada el último año.

Una vulnerabilidad como esta puede hacer que el atacante obtenga acceso al directorio de las contraseñas, donde residen las credenciales de administrador del router.

Esto nos lleva a la segunda vulnerabilidad, contraseñas guardadas en texto plano, identificado como CVE-2018-10824. Usando la vulnerabilidad anterior, uno puede acceder al directorio de contraseñas y comprobar el fichero de configuración que contiene la información sensible.

La tercera vulnerabilidad lleva el identificador CVE-2018-10823, una inyección de comandos de Shell que le proporciona a un atacante no autenticado la posibilidad de ejecutar código en el dispositivo.

Las vulnerabilidades han sido reportadas por Blazej Adamczyk de la Silesian University of Technology de Polonia, que también ha proporcionado el código de la prueba de concepto (PoC). También ha hecho un video demostrando el ataque encadenado en un router vulnerable.

Los modelos afectados por este trio de vulnerabilidades son DWR-116, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111.

Adamczyk notificó a D-Link sobre estas vulnerabilidades en Mayo, y recibió como respuesta por parte de D-Link que los parches solo estarían disponibles para dos de los modelos (DWR-116 y DWR-111) por que el resto de ellos ya había alcanzado su final de vida.

Aunque el fabricante ya no realice soporte sobre esos router ni los fabrique, hay muchas posibilidades de que las variantes vulnerables sigan activas. Puede que no se puedan acceder por internet, pero los crackers pueden llegar a ellos aún.

El código PoC demostrando los fallos es lo bastante simple como para ser transmitido vía malvertising. De esta forma, todo lo que tiene que hacer el usuario para que su router se vea comprometido es cargar la página que el atacante le envíe.

Fuente: BleepingComputer

Seguir leyendo...

Curso de introducción a la seguridad gratuito

A través de la plataforma educativa Khan Academy, Nova Labs desarrolló un curso online gratuito dirigido a adolescentes, jóvenes o cualquier usuario interesado en querer aprender qué es la ciberseguridad y que no tenga conocimientos previos. El programa está dividido en cinco módulos teóricos, donde el material es presentado a través de videos animados, y seguido de cada uno de ellos una clase práctica con preguntas y respuestas.

En la primera de las clases de este curso introductorio a la temática, el participante aprenderá la importancia que tiene la seguridad en estos tiempos y conocerá datos que le ayudarán a poner en perspectiva la importancia de estar informados en esta materia tan vinculada a nuestro día a día.

La segunda clase pone el foco en el término en inglés "hacking" y explica qué es, por qué hay gente que practica el hacking en la informática. Es interesante recordar que el término hacker no está relacionado a una actitud maliciosa, sino que se utiliza para referirse a un experto en informática. Depende de cómo utilice sus conocimientos para saber si hace un uso ético o no de esa información. En esta clase el usuario aprenderá sobre las distintas motivaciones y perfiles que puede tener un hacker.

La tercera clase está centrada en la privacidad de la información y se utiliza un ejemplo para ilustrar la importancia de asegurar nuestra información personal y las posibles consecuencias que podría llegar a tener no hacerlo.

La cuarta clase es sobre códigos. Aquí los participantes entenderán la importancia del uso de comunicaciones cifradas en las comunicaciones online y cómo esto ayuda a proteger la privacidad.

Finalmente, la quinta y última clase está compuesta por un glosario que incluye términos comunes que se utilizan para describir temas recurrentes en el mundo de la ciberseguridad.

Si quieres más información, accede al curso completo de introducción a la ciberseguridad.

Recuerda que en la plataforma de Academia ESET también puedes encontrar una amplia lista de cursos online (gratuitos y de pago) sobre diferentes temas; y en nuestra categoría cursos online gratuitos encontrarás más opciones disponibles para aprender de manera gratuita.hacking” y explica qué es, por qué hay gente que practica el hacking en la informática. Es interesante recordar que el término hacker no está relacionado a una actitud maliciosa, sino que se utiliza para referirse a un experto en informática. Depende de cómo utilice sus conocimientos para saber si hace un uso ético o no de esa información. En esta clase el usuario aprenderá sobre las distintas motivaciones y perfiles que puede tener un hacker.

Fuente: WeLiveSecurity

Seguir leyendo...

Los navegadores deshabilitarán versiones inseguras de TLS en 2020

Google, Microsoft, Mozilla, y Apple  han anunciado que en 2020 deshabilitarán en sus navegadores las versiones 1.0 y 1.1 del protocolo TLS (Transport Layer Security, que quiere decir Seguridad de la capa de transporte). Así, según han subrayado en VentureBeat, a partir de entonces, Chrome, Edge, Internet Explorer, Firefox y Safari llevarán activada por defecto la versión 1.2 del protocolo.

El protocolo criptográfico TLS se encarga de proporcionar seguridad en las comunicaciones establecidas en una red de ordenadores. En concreto, las páginas web lo utilizan para securizar todas las comunicaciones que establecen entre sus servidores y los navegadores.

Por otro lado, es el sucesor del SSL, por lo que se encarga de gestionar el cifrado de todas las conexiones HTTPS. Además de su versión 1.2, ya está disponible TLS 1.3, y ya la soportan Chrome y Firefox. Microsoft y Apple tienen previsto que las próximas versiones de Edge y Safari sean también compatibles con ella.

Como consecuencia de este anuncio, TLS 1.0 y 1.1 se deshabilitarán en Chrome 81, mientras que Firefox lo hará a lo largo del mes de marzo de 2020, lo mismo que Safari. Será a partir de las actualizaciones de Safari para iOS y macOS lanzadas en dicho mes cuando ambas versiones del protocolo desaparezcan del navegador. En cuanto a Microsoft, todavía no ha concretado cuándo desactivará TSL 1.0 y 1.1. Desde la compañía sólo han apuntado que lo harán en algún momento de la primera mitad de 2020.

Tanto Apple como Microsoft han destacado que hay un número muy bajo de conexiones diarias en sus navegadores que utilizan TLS 1.0 o 1.1. Microsoft ha asegurado que es inferior al 1% en Edge, mientras que Apple ha comentado que está por debajo del 0.36% en Safari.

Google y Mozilla no han facilitado las cifras de conexiones diarias con TLS 1.0 o 1.1. Pero se han unido a Microsoft y Apple en su llamada a los usuarios de sus navegadores para abandonar TLS 1.0 y 1.1 tan pronto como puedan. No obstante, hay pocos que todavía no soporten TLS 1.2, que ya ha llegado al 94% de las páginas.

Fuente: Muy Computer

Seguir leyendo...

Uber pagará multa récord de 148 millones de dólares por filtración de datos

Uber pagará 148 millones de dólares para resolver una investigación sobre una filtración de datos ocurrida en 2016 y de la que la empresa fue acusada de ocultar intencionalmente.

El acuerdo se dio con los fiscales generales de los 50 estados y Washington y el monto será dividido entre estas jurisidicciones. Se trata del acuerdo de incumplimiento de datos multiestatal más grande que haya existido, según la fiscal general de Nueva York.

La investigación fue convocada para investigar las denuncias de que la compañía de transporte compartido violó las leyes de notificación a nivel estatal al negar intencionalmente que hackers robaron la información personal de 57 millones de usuarios en 2016.

La violación no fue revelada hasta fines de 2017, cuando Uber reveló que pagó a los hackers 100.000 dólares para destruir los datos. En abril, Uber llegó a un acuerdo con la Comisión Federal de Comercio, que investigaba las acusaciones de que Uber engañó a los clientes por este incumplimiento.

Como parte del acuerdo, Uber acordó desarrollar e implementar un programa de integridad corporativa para que los empleados denuncien comportamientos no éticos. También acordó adoptar prácticas modelo de notificación de violación de datos y seguridad de datos, así como contratar a un tercero independiente para evaluar sus prácticas de seguridad de datos.

"Este acuerdo récord debe enviar un mensaje claro: tenemos tolerancia cero para los que eluden la ley y dejan la información de consumidores y empleados vulnerable a la explotación", dijo la fiscal general de Nueva York, Barbara D. Underwood, en un comunicado de prensa. Nueva York recibirá aproximadamente 5,1 millones de dólares del pago total.

"La decisión de nuestro equipo de gestión actual de divulgar el incidente no solo fue lo correcto, sino que también incorpora los principios por los que manejamos nuestro negocio hoy: transparencia, integridad y responsabilidad", dijo el oficial jurídico de Uber, Tony West este miércoles en una publicación de blog. "Seguiremos invirtiendo en protecciones para mantener seguros a nuestros clientes y sus datos, y estamos comprometidos a mantener una relación constructiva y de colaboración con los gobiernos de todo el mundo", agregó.

El acuerdo surge cuando Uber intenta transparentar sus prácticas. En julio, por ejemplo, Uber finalmente contrató a un director de privacidad: Ruby Zefo se convirtió en el principal ejecutivo de Uber enfocado en ello. Matt Olsen también se unió como jefe de confianza y funcionario de seguridad.

Fuente: CNN en español

Seguir leyendo...

Curso DFIR: Digital Forensics and Incident Response

ISSA Argentina los invita a la Jornada de entrenamiento sobre DFIR: Digital Forensics and Incident Response - Advanced, que se dictará el próximo día viernes 2 de noviembre de 10 a 17 hs.

Es común enterarse por los medios de ataques de ciberdelincuentes a entornos corporativos. Estos ataques son cada vez más sofisticados y han afectado a todo tipo de instituciones, siendo una tendencia común en la región.

Desde las organizaciones ya no basta con la prevención, debemos asumir que puede producirse el compromiso de parte o toda la infraestructura de nuestra organización.

Estar preparados para reaccionar es un paso fundamental frente a esta nueva realidad.

De esto se encarga el DFIR (Digital Forensics and Incident Response), detectar, analizar, contener y responder frente a un incidente.

Este training no es una solución mágica, puesto que solución va más allá de lo técnico, pero intenta transmitir el mindset necesario para planificar previamente y actuar cuando resulte necesario.

La realización de ejercicios prácticos y aprendizaje de experiencias de hechos ocurridos en la realidad, permite comprender la dinámica de tratamiento, para estar mejor posicionados frente a un posible incidente.

Contenido

• Definiciones, Metodología y Guías
• Tácticas reales de respuesta a incidentes
• Cazando Amenazas a través de OSINT
• Preparación: herramientas clave, técnicas y procedimientos que un equipo de respuesta a incidentes necesita para responder adecuadamente a las intrusiones
• Identificación: identificación correcta del alcance de un incidente y detección de todos los sistemas comprometidos
• Contención/ Análisis: restricción de acceso, monitoreo y aprendizaje sobre el adversario para desarrollar inteligencia sobre la amenaza previamente identificada
• Recuperación del incidente
• Más alla del incidente
• SIEM: Open Source vs Qradar vs Splunk
• User Behavior Analytics

Practicas

Se trabajaran casos de análisis de malware, accesos indebidos, fuga de información y escalamiento de funciones.
Análisis de memorias, tráfico de red, línea de tiempo, conexiones, entropía, libreria de hash, eventos y registros.

Equipo Necesario

• Portátil con al menos 8 GB de Ram
• 20 GB de espacio disponible
• Software de virtualización: Virtual Box
• Arquitectura del sistema operativo: 64 bits

Capacitadores

Carlos Loyo, Santiago Friquet y Antonio Maza son analistas y especialistas en seguridad informática, con reconocida trayectoria en el mercado, y amplia experiencia en vulnerability management, análisis forense, y respuesta a incidentes.

Inscripción

El curso apunta a brindar un conocimiento 100% practico sobre la materia a lo largo de sus 6 horas, y tiene un costo de AR $2.000 para el público general, y de AR $500 para miembros activos de ISSA Argentina.

Para anotarse o solicitar mas información, escribir a [email protected]

Mas información en la página de Facebook de ISSA Argentina.

Seguir leyendo...

Vulnerabilidad crítica en #libSSH (Parchea YA!)

Libssh es una librería, escrita en C, que permite a cualquier administrador implementar el uso del protocolo SSHv2 en cualquier cliente o servidor fácilmente de manera que podamos transferir archivos o conectarnos de forma remota con total seguridad. La finalidad de SSH es brindarnos seguridad en nuestras conexiones, sin embargo, para que nuestro servidor esté seguro debemos asegurarnos de usar versiones actualizadas para evitar que un fallo de seguridad, como el que acaba de aparecer en libssh, pueda poner en riesgo nuestro servidor.

Hace algunas horas las redes sociales se incendiaban por un nuevo fallo de seguridad descubierto en el conjunto de librerías libssh. Este fallo de seguridad es, probablemente, uno de los más absurdos y peligrosos que hayamos podido ver en una herramienta tan crítica para la seguridad como esta.

Esta vulnerabilidad, registrada como CVE-2018-10933, se puede explotar fácilmente simplemente presentando a un servidor un mensaje "SSH2_MSG_USERAUTH_SUCCESS" en vez de un mensaje "SSH2_MSG_USERAUTH_REQUEST" cuando se intenta iniciar sesión, lo que permite que cualquiera se autentique en el servidor sin necesidad ni siquiera de un usuario o una contraseña.

La única forma de proteger nuestros servidores de esta vulnerabilidad es instalando las últimas versiones de libssh en ellos. Desde hace algunas horas ya están disponibles las actualizaciones 0.8.4 y 0.7.6 de estas librerías, versiones que ya corrigen este grave fallo de seguridad y permite volver a proteger los datos del servidor.

Miles de servidores vulnerables con libssh al alcance de cualquiera con una simple búsqueda en Shodan

Realizando una búsqueda de equipos con el puerto 22 abierto y que utilicen libssh podemos ver cómo, en segundos, podemos encontrar miles de servidores vulnerables, sin actualizar, que fácilmente podrían verse comprometidos por esta vulnerabilidad.

Por ello, es muy importante asegurarnos de instalar la última versión de libssh en nuestro servidor para evitar que este fallo de seguridad pueda poner gravemente en peligro nuestra seguridad. También es recomendable actualizar cuanto antes todas las aplicaciones (clientes) que utilicen estas librerías, para mayor seguridad.

En el caso de Github, aunque utiliza libssh, no está afectado al emplear una versión modificada de la biblioteca. La vulnerabilidad sólo afecta a la parte del servidor, por lo que en principio proyectos como KDE, que utiliza la parte de cliente, no están afectados.

No debe confundirse libssh con OpenSSH, siendo ambos proyectos independientes. No existe riesgo para la mayoría de servidores SSH instalados en máquinas tipo Unix, al emplear estos por defecto una implementación de OpenSSH. Si se utiliza un producto que haga uso de esta biblioteca en el lado del servidor, se urge a actualizar de inmediato debido a la gravedad de la vulnerabilidad.

Productos vulnerables

• Red Hat Enterprise Linux 7 Extras
• F5 BIG-IP
• Alguns productos de CISCO 
• Pruebas de conceptos en GitHub [1, 2, 3, 4]y un scanner

Fuente: Libssh

Seguir leyendo...