22 ene. 2019

Control y bloqueo de botnets en Mikrotik

Es de público conocimiento que las botnets son, hoy en día, los sistemas más complejos y peligrosos en el mundo informático. Sus objetivos, además de las grandes empresas, son los usuarios domésticos de los proveedores de internet.

Si importar cuál sea el equipo de borde que use el usuario (sea el modem del proveedor o un router configurable) las botnets realizan intentos de conexión a los equipos que son poseedores de la IP pública del ISP.

Tienen protocolos preferidos para el ataque, como Telnet, NTP, SSH; a pesar de la preferencias hay una gran lista que según la temporada son más afectados que otros. A continuación daré una pequeña lista de los protocolos que preferentemente suelen atacar.
  • FTP (TCP/20,21)
  • SSH (TCP/22)
  • Telnet (TCP/23,2323)
  • DNS (UDP/53)
  • TFTP (TCP/69)
  • HTTP (TCP/80,8080,8880)
  • NTP (UDP/123)
  • POP3 (TCP/110,995)
  • IMAP (TCP/143,220,993)
  • HTTPS (TCP/443)
  • RDP (TCP/3389)
  • SMTP (TCP/25,465,587)
  • Wimbox (TCP/8291)
  • VNC (TCP/5500,5800,5900)
¿En que nos afecta?, principalmente en nuestra seguridad, tiene que quedar claro que los ISP no nos proporcionan ninguna seguridad ante estos ataques; las botnets intentan establecer conexión con el equipo de borde a pesar que los puertos no estén abiertos.

El segundo problema que tenemos con esto es el consumo de ancho de banda que se utiliza para el intento de conexión, este punto se pudo comprobar realizando algunas configuraciones en un router Mikrotik y el cambio en la velocidad de navegación fue exponencial al momento de activar ciertas reglas.

A continuación, dos ejemplos: las reglas que se crearon para bloquear los intentos de conexión con el protocolo Telnet y SSH:

Esta regla es un filtro en un router Mikrotik. Lo que realiza es agregar a todas las IP que quieran conectarse al equipo y luego las bloquea.

Las IP de los atacantes las guardo por una semana, como pueden ver, en una semana tuve 1528 atacantes que usaron el protocolo Telnet para intenter conectarse a mi router.
Con el protocolo SSH tuve 385 atacantes que usaron el protocolo SSH para intentar conectarse a mi equipo.

Otra cosa de lo que no se salvan los usuarios de los ISP es de los escaneos de puertos que se realizan en nuestro equipo que, para hacerlo, necesitan que nuestro equipo de borde (router o modem) responda las solicitudes del sistema que analiza los puertos.

¿Qué podemos hacer?

Segurizar nuestros sitios y todo equipo que sea poseedor de una IP pública, esto incluye, a servidores que estén en un sistema cloud y tengan también una IP pública. Según cada sistema, buscar bloquear los intentos de conexión de todos los protocolos antes mencionados ya que, lamentablemente, los ISP no están tomando medidas para mitigar esto.

Scripts de Mikrotik

TELNET
add action=add-src-to-address-list address-list=drop_telnet address-list-timeout=1w chain=input
comment="Drop Telnet to WAN" dst-port=23,2323 in-interface=WAN1 protocol=tcp
add action=drop chain=input src-address-list=drop_telnet
SSH
add action=add-src-to-address-list address-list=drop_ssh address-list-timeout=1w chain=input
comment="Drop SHH to WAN" dst-port=22 in-interface=WAN1 protocol=tcp
add action=drop chain=input src-address-list=drop_ssh
ESCANEO DE PUERTOS
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="Port scanners to list " disabled=no protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="NMAP FIN Stealth scan" disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="SYN/FIN scan" disabled=no protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="SYN/RST scan" disabled=no protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="FIN/PSH/URG scan" disabled=no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="ALL/ALL scan" disabled=no protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input
comment="NMAP NULL scan" disabled=no protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" disabled=no src-address-list="port scanners"
Los scripts de Telnet y SSH solamente se necesita cambiar el puerto, el nombre de la source list y el comentario si se desea bloquear los demás puertos.

Martin A. Zárate para Segu-Info

21 ene. 2019

Correos de extorsión utilizan @MercadoPago en Argentina

Desde hace algunas días están circulando distintos correos que utilizan la plataforma de Mercado Libre y Mercado Pago para cobrar una extorsión.

El correo se refiere a una metodología típica de sextorsión en donde el delincuente, mediante spam, se comunica con miles de usuarios enviando correos genéricos, informándole que lo ha "hackeado" o infectado con un malware y que va a proceder a la publicación de información sensible ("todos tus contactos recibiran emails locos con tu vida sucia.").

Para evitar la supuesta publicación de los datos, la víctima debe pagar cierta cantidad de dinero, tal y como se puede ver en la siguiente imagen:
El texto del correo es el siguiente (errores incluidos):
Hola!
Como estas?

Soy programador y accedi a tu cuenta de correo electronico "[email protected] " y a tu dispositivo hace aproximadamente 6 meses.
Esto se debe a que usted ingreso una clave en uno de los sitios inseguros que usted visito y la detecte.

Por supuesto que puedes cambiar tu clave.. Pero eso no importa, mi software de administracion remota actualiza los cambios que usted hace cada vez que los haga, ademas si lo cambia desde otro dispositivo, tambien se infectara ese automaticamente.

No intentes contactarme o encontrarme, es imposible, ya que te envie un correo electronico desde tu propia cuenta.

A traves de tu correo electronico, cargue un codigo malicioso en tu sistema operativo, este ataca cualquier aparato donde te hallas conectado con el email.
Guarde todos tus contactos con amigos, colegas, familiares y un historial completo de visitas y/o historial de Internet. Tambien obtuve acceso a tus redes sociales...
Instale un software de administracion remota en tu dispositivo y hay un largo espionaje sobre ti.

No sos mi unica victima, por lo general encripto los dispositivos y pido un rescate. Pero me impresionaron los sitios de contenido intimo que visitas muy a menudo. Sin embargo, me da un poco de mala espina algunas cuestiones que escucho que tu hablas...

Estoy en shock de tus fantasias! Guauu! Nunca he visto nada como esto! Ni siquiera sabia que DICHO contenido podia ser tan emocionante!

Entonces, cuando te divertiste en sitios intimos (ya sabes a lo que me refiero) Hice una captura de pantalla con el uso de mi programa y de la camara de su dispositivo. Despues de eso, los uni al contenido del sitio actualmente visto. Y arme un video.

Puedo tomar fotos con tu equipo movil, soy tus ojos... Puedo escuchar tambien con el, si, soy tus oidos...

Sera divertido cuando le envie estas fotos a tus contactos! Y si tus familiares lo ven? PERO estoy seguro de que no lo quieres. Definitivamente no lo quisieras ...

Pero todo tiene una solucion verdad?

No hare esto si me pagas una pequenia cantidad. Creo que 160 usd es un buen precio para ello!

Puedes pagar por medio de Mercadopago con tu Moneda local (o sea pesos argentinos) desde aqui:
https://www.mercadopago.com/mla/checkout/start?pref_id=XX-XX-XX-XX-XX-XX
Si por algun motivo no ves el enlace, solo copia y pega en tu navegador
https://www.mercadopago.com/mla/checkout/start?pref_id=XX-XX-XX-XX-XX-XX

Despues de recibir la cantidad mencionada, todos sus datos se eliminaran de forma automatica.
Mi virus tambien se destruira a si mismo de tu sistema operativo. Por una modica suma.

Mi troyano tiene alerta automatica, despues de que usted vea este correo electronico, lo sabre.

Tienes 3 dias (72 horas) para realizarme el pago. Si esto no sucede, todos tus contactos recibiran emails locos con tu vida sucia.
Esto tambien se replicara en tus redes sociales, puedo tomar total control de ellas y no podras recuperar el acceso. Y para que no me obstruyas, tu dispositivo estara bloqueado (tambien despues de 72 horas)

No tomes esto frivolamente... Esta es la ultima advertencia! Varios servicios de seguridad o antivirus no lo ayudaran, a ciencia cierta (ya he recopilado todos sus datos).

Aqui estan las recomendaciones de un profesional: Los antivirus no ayudan contra el codigo malicioso moderno. Simplemente no ingrese sus claves en sitios inseguros!

Espero que seas mas prudente en el futuro.

Adios.

La variante actual de estos correos utilizan PayPal y Mercado Pago como medio de pago

Estos correos ya han sido reportados a MercadoPago para que proceda al bloqueo de las cuentas involucradas.

Recomendaciones

Las recomendaciones para este tipo de correo, es ignorarlo, NUNCA responder el mismo, NUNCA pagar y sobre todo cambiar las contraseñas utilizando un segundo factor de autenticación (2FA) en cualquier plataforma de red social o aplicación web que lo permita.

Utilizar IPFS para distribuir contenido libremente e impedir que cierren una red

El protocolo BitTorrent es descentralizado, lo que nos permite descargar una copia de cada archivo de cualquier usuario conectado a la red que lo tenga, lo que, además de aumentar la velocidad de las descargas, impide que el cierre de una red bloquee todo el tráfico. Sin embargo, BitTorrent tiene un punto muy débil, y es que depende de páginas centralizadas (páginas de descargas, buscadores, etc) que fácilmente pueden caerse o bloquearse, como ha pasado ya a muchas en el pasado y como le está ocurriendo ahora mismo por ejemplo a The Pirate Bay.

IPFS permite distribuir contenido libremente e impedir que cierren una red

IPFS, InterPlanetary File System, es un protocolo que nos permite crear una red descentralizada a través de P2P. Gracias a esta red es posible hacer que los archivos de una red estén siempre disponibles entre sí, aunque parte de la res se cierre o alguno de los hosts desaparezca.

IPFS es un nuevo protocolo de Internet que busca renovar todos los protocolos actuales ofreciendo una solución todo-en-uno con la que poder cubrir prácticamente cualquier necesidad. El protocolo IPFS permite crear aplicaciones totalmente distribuidas, garantizando así su disponibilidad a lo largo de la red sin depender de un único servidor centralizado para brindar un servicio concreto.

IPFS es un sistema de archivos distribuido Peer-to-Peer totalmente libre (se puede acceder a él desde GitHub) que pretende poder conectar todos los dispositivos informáticos con el mismo sistema de archivos ofreciendo así un protocolo único, todo en uno, con el que cubrir todas las necesidades de la red. Este protocolo, a grandes rasgos, es igual que la web actual, aunque implementando en él

La principal ventaja de esta red es que hace que una web sea (casi) imposible de cerrar o que se caiga, siendo resistente a la censura y, además, invulnerable a los cortes de servidor de los hosting habituales, por lo que cualquier web publicada con el protocolo IPFS es imposible de cerrar.

Tiposo de aplicaciones IPFS

IPFS-Desktop

La primera opción que tenemos es IPFS-Desktop. Es una aplicación que nos permite cargar archivos en IPFS. Podemos crear un nodo IPFS en nuestro equipo y comenzar a subir archivos simplemente desde el icono que agrega en la bandeja de herramientas.

Cuenta con una interfaz de usuario que se abre en el navegador predeterminado que podemos usar para ver la lista de usuarios conectados a nuestro nodo. Nos permite cargar cualquier archivo desde el ordenador a la red IPFS e incluso podemos usar este software para fijar esos archivos también.

Se trata de una herramienta de código abierto y además es multiplataforma. No es exclusiva para Microsoft Windows. La interfaz cuenta con diferentes opciones. Entre ellas podemos ver el apartado de Archivos, donde agregaremos los archivos que queramos subir. Lo podemos descargar de GitHub.

Orion

Otra opción que tenemos para subir archivos a la red IPFS es Orion. Se trata de un cliente simple y a la vez interesante. Está disponible para Windows, Linux y Mac. Se integra perfectamente en la barra de herramientas de Windows para cargar archivos de manera sencilla.

Tenemos a nuestra disposición la lista de archivos que hemos enviado con todos los detalles. Podemos ver diferentes opciones para compartir, el link, etc. Una vez esté instalado, permanece en segundo plano. En esta ocasión volvemos a estar ante un software de código abierto. Lo podemos descargar a través de GitHub.

FileNation

La última opción que vamos a mostrar es FileNation. Funciona en todas las plataformas a través del navegador. De esta manera podemos subir archivos. No hay límite de tamaño. Podemos enviarlo fácilmente a la dirección de correo electrónico que queramos. La interfaz de usuario es muy sencilla y simplemente tenemos que arrastrar y soltar los archivos.

Torrent Paradise

Para llegar al mayor público posible, los responsables de los mayores portales Torrent brindan sus servicios a través de la red normal, la red centralizada. Esto ha hecho que grandes webs, como Kickass Torrents, se hayan enfrentado a cierres, bloqueos y otro tipo de censuras en los últimos años. Aunque migrar una web completa a IPFS es algo complicado,

Torrent-Paradise es un nuevo motor de búsqueda de torrents que funciona con IPFS. Este sitio web ha hecho una copia de la base de datos de The Pirate Bay creando un índice de búsqueda a través de ipfsearch.xyz con funciones DHT que, por ahora, va sumando a la base de datos más de 20.000 torrents nuevos cada día. IPFS puede ser la solución definitiva las páginas como Torrent-Paradise, aunque también tiene inconvenientes

IPFS acaba definitivamente con los problemas a los que se enfrentan las páginas de descargas Torrent, sin embargo, no es una solución perfecta. Aunque es relativamente sencillo convertirse en un nodo de IPFS y poder navegar libremente a través de esta red, para el usuario medio puede resultarle una tarea un poco complicada, ya que uno de los requisitos es introducir comandos en un terminal para terminar la instalación y configuración.

Cloudflare, por ejemplo, ofrece puertas de enlace con la red IPFS que permiten a los usuarios acceder a esta web a través de direcciones URL personalizadas, siendo un pequeño parche para que los usuarios sin conocimientos puedan entrar en las webs como Torrent-Paradise, pero sin ayudar a compartir y distribuir aún más esta plataforma.

Otro inconveniente es que la base de datos solo se actualiza una vez al día debido a limitaciones prácticas, ya que, en teoría, la información de todos los nodos IPFS podría actualizarse en tiempo real.

Sin duda, Torrent-Paradise puede considerarse como una versión mejorada de The Pirate Bay, ya que gracias a IPFS va a estar siempre sincronizada y, aunque TBP respeta las solicitudes DMCA, si el indexador ya ha subido a la base de datos una descarga, esta ya no podrá ser eliminada.

Fuente: TF

Malboxes: crear VM para análisis de malware

Aunque siempre podemos crear nosotros mismos la máquina virtual para el análisis del malware, existen herramientas diseñadas para facilitarnos esta tarea, como es el caso de Malboxes. Malboxes es un proyecto gratuito, publicado en GitHub, cuya principal función es ayudarnos a crear máquinas virtuales Windows para la prueba y el análisis de malware.

Cómo preparar nuestro equipo para crear las máquinas virtuales de Malboxes

Malboxes ha sido diseñado para funcionar sin problema tanto en Linux como en Windows. Los requisitos, además del sistema operativo, para poder utilizar esta herramienta y sus máquinas virtuales son:
  • Python 3.3 o superior.
  • Packer
  • Git.
  • Vagrant.
  • 5 GB de memoria RAM libres.
  • Funciones VT-X en el procesador.
Si somos usuarios de Ubuntu, lo único que debemos hacer para dejar lista esta herramienta en nuestro sistema operativo es ejecutar los siguientes comandos:
apt install vagrant git python3-pip packer
sudo pip3 install git+https://github.com/GoSecure/malboxes.git#egg=malboxes
El primero de los comandos se encargará de descargar todo lo necesario para poder usar esta herramienta, mientras que el segundo descargará el repositorio desde GitHub y lo preparará en nuestro ordenador para poder utilizarlo.

En el caso de utilizar Windows, lo más cómodo es hacerlo a través de Chocolatey, un gestor de paquetes que nos permite instalar software en Windows de forma similar a como lo hacemos con apt en Linux.

Si tenemos esta herramienta instalada en Windows, simplemente ejecutando los siguientes comandos podemos tener listo Malboxes en nuestro equipo:
choco install python vagrant packer git virtualbox
refreshenv
pip3 install setuptools
pip3 install -U git+https://github.com/GoSecure/malboxes.git#egg=malboxes
Cuando finalicen estas tareas ya tendremos Malboxes listo para empezar a utilizarlo.

Cómo funciona Malboxes

Lo primero que debemos hacer es crear el entorno que queremos utilizar para nuestras pruebas de malware e importarlo en Vagrant. Para ello, lo primero que haremos será ver una lista con las posibles máquinas virtuales que podemos crear con el comando:
malboxes list
Como podemos ver, podemos crear un total de 4 máquinas diferentes, Windows 7 y Windows 10 para 32 y 64 bits. Cuando hayamos elegido la versión que queremos, ejecutaremos el siguiente comando, cambiando la build elegida en nuestro ejemplo por la que queramos de la lista anterior:
malboxes build win10_64_analyst

Cómo crear una instancia de Malboxes

Una vez que tenemos ya nuestra imagen lista, lo que debemos hacer es crear una instancia, el entorno que vamos a usar para probar el malware y poder tenerlo aislado. Para ello, simplemente ejecutaremos el siguiente comando, cambiando el apartado “” por el nombre que nosotros queramos.
malboxes spin win10_64_analyst
Ahora lo único que nos queda es ejecutar "vagrant up" en el terminal para arrancar esta instancia. El comando automáticamente cargará la máquina virtual y la abrirá utilizando como backend VirtualBox. En unos segundos ya la tendremos lista para empezar a utilizarla.
Ya podemos utilizar esta máquina virtual con seguridad para analizar el malware o hacerlo que queramos con ella.

Si queremos ver un vídeo de cómo configurar y utilizar Malboxes, su desarrollador lo ha publicado en YouTube, demostrando paso a paso su instalación, configuración y puesta en marcha.

Fuente: Redes Zone

20 ene. 2019

Magecart infecta cientos de webs de comercio electrónico

Esta vez, el grupo "Magecart Group 12" ha comprometido 277 webs de comercio electrónico mediante la inserción de código JavaScript malicioso en una librería usada por la empresa de publicidad Adverline.

Normalmente el grupo Magecart cuando compromete un sitio web de comercio electrónico, inserta código malicioso después para capturar la información del pago realizado. Así es como en el pasado lograron acceder a la información bancaria de los clientes de las plataformas TicketMaster, British Airways y Newegg.

Sin embargo, investigadores de RiskQ y Trend Micro descubrieron cómo esta vez, en lugar de comprometer directamente webs de comercio electrónico, insertaron código JavaScript en una librería alojada en una compañía de publicidad francesa llamada Adverline. Lo que permitió interceptar la información de pago de todos los sitios web que usaban esta librería.
magecart hacking group
Durante la infección, se comprueba que la web pertenezca a una plataforma de comercio electrónico reconocida, mediante la detección de cadenas en la URL como "checkout", "billing", "purchase", etc.

Una vez que alguna de esas cadenas es detectada en la URL, el script entonces copia los valores introducidos por el usuario en el formulario y los envía a una máquina controlada por los atacantes.

Fuente: Hispasec

19 ene. 2019

"Los datos biométricos violan la garantía contra la autoincriminación"

Un jueza de California rechazó que las fuerzas de seguridad estuvieran facultadas para exigirle a una persona que desbloquee su celular mediante huella dactilar o reconocimiento facial. Considera que se viola la garantía contra la autoincriminación porque "un escaneo confirma la propiedad o el control del dispositivo", y al ser autenticados, los contenidos "no pueden ser refutados razonablemente".

En el marco de una causa en la que se estaba investigando dos individuos sospechados de estar involucrados en un caso de "sextorsión", la jueza del Noveno Distrito Norte de California, Kandis Westmore, denegó un pedido de autorización para obligar a imputados a desbloquear un teléfono mediante huella dactilar o reconocimiento facial.

Según la pesquisa, los imputados habrían usado Facebook Messenger para comunicarse con una victima a quien habrían amenazado con distribuir un vídeo íntimo si no les pagaban. Por eso, la Fiscalía que impulsó el caso solicitó la autorización de una "orden de registro" para incautar distintos elementos relacionados con el delito en un domicilio ubicado en Oakland, California, entre ellos, dispositivos electrónicos.

Si bien la magistrada consideró acreditada la "causa probable" para la orden de registro, denegó el pedido para que "se obligue a cualquier persona presente al momento del allanamiento, a presionar un dedo (incluido el pulgar) o utilizar otras funciones biométricas, como reconocimiento facial o del iris, con el fin de desbloquear los dispositivos digitales encontrados para permitir una búsqueda de los contenidos según lo autorizado por la orden de registro".

Para rechazar la petición, la jueza entendió que esa manda vulneraba las Enmiendas Cuarta y Quinta de la Constitución de los Estados Unidos, que garantizar la garantía contra la autoincriminación.

La jueza admitió que la tecnología "esta superando a la ley" ponderó que "el acto de comunicar el código de acceso es un testimonio, ya que la expresión del contenido de la mente de un individuo cae directamente dentro de la protección de la Quinta Enmienda".

Según el fallo, al que accedió Diario Judicial, incluso si existe una causa probable para incautar los dispositivos, ello no permite que se pueda obligar a un sospechoso "a renunciar a los derechos que de otro modo dispone la Constitución, lo que ocurría en el caso, donde se estaba utilizando la característica biométrica de un sospechoso para desbloquear potencialmente un dispositivo electrónico".

La magistrada concluyó entonces en que "el desbloqueo de un teléfono con un escaneo con el dedo "excede con mucho la evidencia física" creada cuando un sospechoso se presta a brindar sus huellas digitales para si, compararlas con la evidencia física encontrada en la escena del crimen, porque se requieren otras corroboraciones para confirmar una coincidencia positiva. En su lugar, un escaneo confirma la propiedad o el control del dispositivo, y la autenticación de sus contenidos “no pueden ser refutados razonablemente".

Archivos adjuntos: Fallo desbloqueo celular Reconocimiento Facial [PDF]

Fuente: Diario Judicial

18 ene. 2019

Collection #1: filtran 773 millones de usuarios y contraseñas

Hace algunas horas, la plataforma Have I Been Pwned que nos permite comprobar si circulan datos sobre nosotros en la red, daba a conocer una de las mayores filtraciones de contraseñas de la historia. Tras el nombre Collection #1 se encuentra la mayor base de datos de contraseñas filtrada en la red, una base de datos, disponible en Mega, de 87 GB con casi 773 millones de contraseñas, 22 millones de las cuales son únicas

La base de datos de Collection #1 apareció por primera vez en un popular foro de hacking y estaba formada por un total de 12.000 archivos diferentes que, en total, ocupaban los 87 GB de esta colección. Originalmente son 2.692.818.238 de registros con 1.160.253.228 combinaciones únicas de direcciones de email y contraseñas. Luego del análisis quedan un total de 772.904.991 correos únicos y 21.222.975 contraseñas únicas.
Troy Hunt, el investigador de seguridad que ha dado a conocer esta base de datos, asegura que en esta base de datos hay más de mil millones de combinaciones únicas de contraseñas y correos electrónicos, combinaciones sacadas de diferentes ataques informáticos a páginas web y otras plataformas online.

En total, esta base de datos ha filtrado más de 772 millones direcciones de correo únicas, así como 21 millones de contraseñas únicas, no repetidas. Respecto a las contraseñas, muchas de ellas ya habían sido filtradas en otros ataques informáticos y ya estaban registradas en Have I Been Pwned, aunque se calcula que en torno a un 20% de todas las contraseñas vinieran de filtraciones que no habían sido registradas antes.

Estos son los sitios [.gob, .org, .com].AR que aparecen en el listado de usuarios, correos y contraseñas de Collection #1:

Cómo comprobar si mi correo o mis contraseñas están incluidos en Collection #1

Troy Hunt ya ha añadido todos los correos y todas las contraseñas filtradas en Collection #1 a su plataforma Have I Been Pwned, por lo que, si queremos saber si nuestros datos se encontraban en esta base de datos masiva, simplemente debemos acceder a esta plataforma, introducir nuestro correo y analizar los resultados para saber si este estaba en ella o no.

También podemos utilizar el buscador de contraseñas para saber si esta se encuentra en alguna de las bases de datos filtradas, aunque, por seguridad, no podremos ver a qué correo está vinculada (puede que otra persona la utilizara) ni en qué base de datos se ha filtrado.
Collection #1 ya se ha retirado de Mega para evitar que se siga accediendo a esta enorme base de datos, sin embargo, no sabemos cuánta gente puede tener copias de la misma, igual que tampoco sabemos si se ha subido de nuevo a otra dirección y se sigue compartiendo a través de la red. El nombre "Collection #1" nos hace pensar que puede haber varias versiones diferentes de esta base de datos, por lo que es probable que muy pronto veamos nuevas filtraciones.

Fuente: Troy Hunt

Expuestos datos de más de 202 millones de usuarios de webs de búsqueda de empleo

Bob Diachenko encontró una base de datos con más de 202 millones de usuarios chinos expuesta en Internet y sin autenticación.
El investigador de seguridad Bob Diachenko, ha encontrado recientemente una base de datos accesible a través de Internet sin autenticación, accesible a cualquiera que desease conectarse y obtener los datos.

La base de datos era una base de datos MongoDB, uno de los sistemas de bases de datos NoSQL más populares hoy en día. En ella había datos personales de más de 202 millones de usuarios chinos (202.730.434 concretamente), incluyendo correo electrónico, fecha de nacimiento, número de teléfono, nombre completo, experiencia laboral, etc. En total 854,8 gigabytes de datos.

Según Diachenko, el log de la base de datos antes de que fuese retirada contenía al menos una docena de direcciones IP diferentes que habían accedido a la información.

El origen de la base de datos se desconoce, pero Diachenko cree que podría pertenecer a alguien que haya usado una herramienta llamada “data-import” para realizar scraping a diferentes páginas web chinas de búsqueda de empleo. Esta creencia se debe a que los datos encontrados tienen un formato muy similar al utilizado por dicha herramienta.

Un nuevo caso en el que una base de datos MongoDB se encuentra expuesta en Internet sin protección debido a una mala configuración. Por desgracia este tipo de problemas de seguridad suelen darse con demasiada frecuencia en estas bases de datos, como ya hemos visto en otras ocasiones.

Fuente: THN

17 ene. 2019

Vulnerabilidades en SCP permiten escritura de ficheros arbitrarios en el cliente

La vulnerabilidad principal, que data de hace 35 años, afecta a OpenSSH SCP, PuTTY PSCP y WinSCP. El fallo permite al servidor escribir ficheros en el cliente sin que se dé cuenta.

SCP es una herramienta para transferir ficheros a través de SSH empleada por administradores de todo el mundo, y que cuenta con múltiples implementaciones para diferentes sistemas, como OpenSSH, PuTTY o WinSCP. El fallo descubierto, permitiría a un servidor malicioso copiar ficheros no solicitados en el equipo del cliente sin informarse de ello.

Un posible caso de explotación, tal y como detalla sintonen.fi, sería un ataque MitM (Man in the Middle) entre un administrador y un servidor que administre, para que al utilizar scp se copie a su máquina un fichero ‘.bash_aliases’ en su directorio de usuario que permita al atacante ejecutar cualquier comando en la máquina del sysadmin. Este tipo de ataque requiere que la víctima acepte el cambio de fingerprint en el servidor.
El problema principal, que se encuentra desde 1983 (hace 35 años), tiene como origen el protocolo RCP del proyecto BSD, que es en el que se basa SCP. Debido al error la mayoría de clientes SCP no validan correctamente que los ficheros devueltos por el servidor son aquellos que se solicitó. Las vulnerabilidades en concreto son:
  • CWE-20 (CVE-2018-20685): validación incorrecta del nombre de directorio. El servidor puede cambiar permisos de la carpeta utilizando un nombre de carpeta vacío ("D0777 0 \n") o con punto ("D0777 0 .\n").
  • CWE-20 (CVE-2019-6111 y CVE-2018-20684 en WinSCP): debido al estándar derivado de rcp de 1983, es el servidor el que establece los ficheros que se copian al cliente sin que se valide. Si se utiliza el parámetro "-r", también pueden copiarse carpetas sin validación.
  • CWE-451 (CVE-2019-6109): spoofing en el cliente utilizando el nombre del objeto. Mediante dicho nombre, pueden escribirse caracteres ANSI que modifiquen la salida, para por ejemplo ocultar archivos transferidos.
  • CWE-451 (CVE-2019-6110): spoofing en el cliente utilizando stderr. Similar al anterior, pero aprovechando que el servidor puede escribir una salida de error en el cliente.
Algunos de los clientes afectados son OpenSSH SCP (versiones anteriores a 7.9), PuTTY PSCP (todavía sin parche), y WinSCP SCP (hasta la versión 5.13). En el caso de WinSCP, se debe actualizar a la versión 5.14 inmediatamente.

Una posible solución si el cliente lo permite (como OpenSSH) es cambiar el protocolo a SFTP, aunque los servidores utilizados deben de soportar dicho protocolo. Otros clientes o programas que empleen SCP pueden encontrarse afectados.

Fuente: Hispasec

Oracle corrige 284 vulnerabilidades en su actualización de seguridad de enero

Oracle publica su actualización correspondiente al mes de enero. Contiene parches para 284 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Tres nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna es explotable de forma remota sin autenticación.
  • 33 nuevas vulnerabilidades afectan a Oracle Communications (29 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
  • 4 nuevos parches para la suite Oracle Construction and Engineering, todas explotables remotamente sin autenticación.
  • Otras 16 vulnerabilidades explotables de forma remota y sin autenticación en la suite de Oracle E-Business.
  • 11 nuevas vulnerabilidades en Oracle Enterprise Manager (9 de ellas explotables remotamente por un usuario sin autenticar).
  • Otros 9 parches que solucionan vulnerabilidades explotables remotamente y sin autenticación en Oracle Financial Services.
  • 6 nuevos parches para las aplicaciones de Oracle Food and Beverage (3 de ellos solucionan vulnerabilidades explotables por un usuario remoto no autenticado).
  • 62 parches para Oracle Fusion Middleware (57 de estos arreglan fallos que pueden ser explotables de forma remota sin autenticación).
  • 6 vulnerabilidades en Oracle Health Sciences, de las cuales, 2 podrían ser explotadas por un atacante remoto sin autenticar.
  • 5 nuevas vulnerabilidades en Oracle Hospitality Applications (ninguna de ellas es explotable remotamente sin autenticación).
  • Una vulnerabilidad en Oracle Hyperion, no explotable de forma remota.
  • Referente a Oracle Insurance Applications, se han publicado 5 nuevos parches, tres de los cuales son explotables de forma remota sin autenticación.
  • En cuanto a Oracle Java SE, se han corregido 5 nuevas vulnerabilidades que pueden ser explotadas por un atacante remoto sin autenticar.
  • La actualización para Oracle JD Edwards corrige 2 vulnerabilidades explotables remotamente sin autentcación.
  • Otras 30 actualizaciones de seguridad para Oracle MySQL (3 de ellas corrigen vulnerabilidades explotables de forma remota sin autenticación).
  • Una actualización en Oracle People Soft soluciona 20 problemas de seguridad, 15 de ellos pueden ser explotados por un atacante remoto sin autenticar.
  • También se solucionan 16 nuevas vulnerabilidades en Oracle Retail Applications (15 de ellas son explotables de forma remota sin autenticación).
  • Un nuevo parche para Oracle Siebel CRM que corrige una vulnerabilidad explotable remotamente.
  • 11 nuevas vulnerabilidades para Oracle Sun Systems (5 de ellas podrían ser explotadas por un atacante remoto sin autenticación).
  • Otras 5 actualizaciones de seguridad para Oracle Supply Chain, 4 de estas podrían ser explotadas de forma remota sin autenticación.
  • Una vulnerabilidad en Oracle Support Tools, que podría ser explotada remotamente.
  • Adicionalmente se solucionan 2 nuevas vulnerabilidades en Oracle Utilities Applications, ambas serían explotables por un atacante remoto sin autenticar.
  • Por último, también se ha publicado una actualización que soluciona 30 fallos de seguridad en Oracle Virtualization (4 de estos fallos podría ser explotados por un atacante remoto sin autenticación).
Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial.

Fuente: Hispasec