23 may 2022

Pegasus, Predator, Reign y Candiru, la larga lista de spyware mercenario

Pegasus, el software espía israelí, del que tan se ha hablado en las últimas semanas, señalado como el medio utilizado para irrumpir en los teléfonos móviles de determinadas personalidades, periodistas, políticos. Marruecos ha sido uno de los países acusados, sin evidencias que lo demuestren, de utilizar Pegasus para espiar, entre otros, a miembros del Gobierno español. Le360, un medio digital de Francia, publica un artículo en el que se pregunta por qué no se citan otras empresas y aplicaciones similares con los mismos objetivos.

Según el conocido informe de Citizen Lab, la entidad que dio a conocer el supuesto escándalo, parece que varios servicios de seguridad en todo el mundo, y particularmente en Europa, "se han equipado en los últimos años con sistemas equivalentes, dirigidos a teléfonos inteligentes, pero también a computadoras".

"Al igual que Pegasus, estas herramientas de espionaje permiten recuperar los datos almacenados en estos terminales. Descubrimos, en este caso, la existencia de un software al menos tan potente como Pegasus, el Predator, un sistema de la empresa Cytrox, que forma parte de Intellexa, cuyas instalaciones están en Grecia", subraya.

Citizen Lab ha desvelado algunos de los países que han utilizado este sistema: Armenia, Egipto, Grecia, Indonesia, Arabia Saudí, Serbia... Pero, de nuevo, la lista no es exhaustiva y queda sujeta a cautela. Y cuando sabemos, según Citizen Lab, que Intellexa es una etiqueta de marketing para una gama de proveedores de vigilancia, que surgió en 2019, de una alianza "formada para competir con NSO Group, con sede en la ‘Unión Europea y regulada , con seis centros y laboratorios de I+D en toda Europa’, todo, o casi, tiene sentido", subraya.

Además de los sistemas Pegasus y Predator, existen muchos otros programas spyware con las mismas ventajas. Está, por ejemplo, Reign, de la empresa israelí QuaDream, rival de NSO Group y cuya existencia se reveló sorpresivamente al mismo tiempo que Pegasus, durante el año 2021. QuaDream es una empresa israelí más pequeña y menos conocida que NSO, su competidor, pero que también desarrolla herramientas de piratería de teléfonos inteligentes para clientes gubernamentales.

El año pasado, Reign desarrolló la misma capacidad para acceder de forma remota a los iPhone de Apple sin que el propietario tenga que abrir un enlace malicioso. Las técnicas de "zero-click" fue utilizada por ambas compañías a través del mismo esquema: ForcedEntry, considerada como "una de las técnicas más sofisticadas jamás detectadas por investigadores de seguridad".

También está Candiru, una empresa de seguridad informática israelí fundada en 2014 y reconocida como una de las empresas de ciberespionaje israelíes más avanzadas en el campo. En particular, ofrece spyware, que lleva el nombre de la empresa, y que puede usarse para infiltrarse en plataformas digitales. En este caso, Candiru y las revelaciones sobre su despliegue en diez países, podrían haber hecho mucho más ruido mediático.

Una docena de estos software se destacan, por su gran eficacia, pero sobre todo por la confidencialidad que permiten a su usuario. ¿Cómo explicar que solo uno, Pegasus, pueda ser objeto de tanta atención, con exclusión de todo lo demás?.

Fuente: La Razón

Windows, Teams, Ubuntu, Firefox, Safari, VirtualBox y Tesla caen en Pwn2Own 2022

Este año se celebró el 15º aniversario del concurso Pwn2Own Vancouver. Esta edición reunió a 17 concursantes que intentaron explotar 21 objetivos en múltiples categorías. Y una de las firmas de software con más errores descubiertos ha sido el gigante de Redmond. Durante el concurso, los investigadores de seguridad han tenido que analizar navegadores web, software de virtualización, escalamiento local de privilegios, servidores, comunicaciones empresariales y automóviles.

Los participantes consiguieron explotar con éxito 16 fallos Zero-Day para hackear varios productos, entre ellos el sistema operativo Windows 11 de Microsoft y la plataforma de comunicación Teams . Los organizadores del evento llegaron a repartir 1.115.000 dólares entre quienes consiguieron realizar estos descubrimientos.

En este caso se pudo explotar un fallo de configuración inadecuado y otro de los equipos participantes descubrió además una cadena de exploits de cero clicks de 2 fallos (inyección y escritura arbitraria de archivos). En una tercera ocasión, otro de los participantes explotó una cadena de 3 bugs de inyección, desconfiguración y escape de sandbox dentro de Teams. Cada uno de ellos ganó 150.000 dólares por demostrar con éxito sus fallos de día cero o Zero-day en Microsoft Teams.

STAR Labs team (Daniel Lim Wee Soong, Poh Jia Hao, Li Jiantao, y Ngo Wei Lin), un grupo que destacó en el evento, ganó 40.000 dólares adicionales tras elevar los privilegios en un sistema que ejecutaba Windows 11 utilizando una debilidad de Use-After-Free y otros 40.000 dólares adicionales al lograr una escalada de privilegios en Oracle Virtualbox.

En el segundo día, otro de los participantes demostró con éxito dos errores (contaminación de prototipos y validación de entrada inadecuada) para hackear Mozilla Firefox y una escritura fuera de banda en Apple Safari. Ubuntu Desktop, el sistema de infoentretenimiento del Tesla Model 3 (con Sandbox Escape) y Ethernet de diagnóstico (con Root Persistence), fueron otros programas con exploits Zero-Day.

Una vez demostradas y reveladas las vulnerabilidades de seguridad durante Pwn2Own, los proveedores de software y hardware tienen 90 días para desarrollar y publicar correcciones de seguridad para todos los fallos notificados.

Fuente: BC

22 may 2022

El DoJ de EE.UU. deja de perseguir a hackers e investigadores de seguridad

El Departamento de Justicia de EE.UU. anunció el jueves que no presentará cargos en virtud de las leyes federales de hacking informático contra investigadores de seguridad y hackers que actúen de buena fe.

Por primera vez, la política "instruye que la investigación de seguridad de buena fe no debe ser acusada" bajo la Ley de Abuso y Fraude Informático (CFAA), un cambio sísmico de su política anterior que permitía a los fiscales presentar cargos federales contra los hackers que encuentran fallas de seguridad con el fin de ayudar a proteger los sistemas expuestos o vulnerables.

El Departamento de Justicia dijo que los investigadores de buena fe son aquellos que llevan a cabo su actividad "de una manera diseñada para evitar cualquier daño a las personas o al público", y donde la información se "utiliza principalmente para promover la seguridad de la clase de dispositivos, máquinas o servicios en línea a los que pertenece la computadora a la que se accede, o aquellos que utilizan dichos dispositivos, máquinas o servicios en línea".

La Ley de Abuso y Fraude Informático, o CFAA, se promulgó como ley en 1986 y es anterior a la Internet moderna. La ley federal dicta lo que constituye la piratería informática, específicamente el acceso "no autorizado" a un sistema informático, a nivel federal. Pero la CFAA ha sido criticada durante mucho tiempo por su lenguaje obsoleto y vago que hace poco para diferenciar entre hackers (investigadores de buena fe) y delincuentes informáticos y actores maliciosos que se propusieron extorsionar a empresas o individuos o causar daño de otra manera.

El año pasado, la Corte Suprema analizó por primera vez la CFAA desde que la ley entró en vigor y, por primera vez, determinó con precisión qué significa la lectura de la CFAA de "acceso no autorizado" según la ley y, posteriormente, limitó su alcance, eliminando efectivamente una clase completa de escenarios hipotéticos, como violar la política de privacidad de un servicio web, verificar los resultados deportivos desde una computadora de trabajo y, más recientemente, descargar páginas web públicas (scrapping), bajo los cuales los fiscales federales podrían haber presentado cargos.

Ahora, aunque un año después del fallo de la corte, el Departamento de Justicia descarta presentar cargos federales por este tipo de escenarios y, en cambio, se enfoca en casos en los que actores maliciosos ingresan deliberadamente a un sistema informático.

En un comunicado, la fiscal general adjunta de EE.UU., Lisa O. Monaco, dijo: "El departamento nunca ha estado interesado en enjuiciar la investigación de seguridad informática de buena fe como un delito, y el anuncio de hoy promueve la seguridad cibernética al brindar claridad a los investigadores de seguridad de buena fe que eliminan las vulnerabilidades por el bien común".

Es posible que algunos críticos no acepten esa afirmación tan voluntariamente después de la muerte de Aaron Swartz, quien se suicidó en 2013 después de que la CFAA lo acusara de descargar 4,8 millones de artículos y documentos del servicio de suscripción académica JSTOR. Aunque JSTOR se negó a continuar con el caso, los fiscales federales aún presentaron cargos acusándolo de robo.

Desde la muerte de Swartz, tanto los activistas como los legisladores han impulsado la "Ley de Aaron" para reformar y codificar cambios en la ley CFAA para proteger mejor a los piratas informáticos de buena fe.

Fuente: TechCrunch

21 may 2022

Encuentra forma potencial de ejecutar malware en un iPhone "apagado"

Las características de LPM, recientemente introducidas el año pasado con iOS 15, hacen posible rastrear dispositivos perdidos utilizando la red Find My, incluso cuando se han quedado sin batería o se han apagado. Los dispositivos actuales con soporte de banda ultraancha incluyen iPhone 11, iPhone 12 y iPhone 13.

El primer análisis de seguridad de su tipo de la función Find My de iOS identificó una nueva superficie de ataque que hace posible manipular el firmware y cargar malware en un chip Bluetooth que se ejecuta mientras el iPhone está "apagado".

El mecanismo aprovecha el hecho de que los chips inalámbricos relacionados con Bluetooth, Near-field communication (NFC) y la ultra-wideband (UWB) continúan funcionando mientras iOS se apaga al ingresar a un modo de bajo consumo (LPM) de "reserva de energía".

Si bien esto se hace para habilitar funciones como Find My y facilitar las transacciones de Express Card, los tres chips inalámbricos tienen acceso directo al elemento seguro, dijeron académicos del Laboratorio de Redes Móviles Seguras (SEEMOO) en la Universidad Técnica de Darmstadt en su artículo titulado "El mal nunca duerme" [PDF].

"Los chips Bluetooth y UWB están conectados al elemento seguro (SE) en el chip NFC, almacenando secretos que deberían estar disponibles en LPM", dijeron los investigadores. "Dado que el soporte LPM está implementado en el hardware, no se puede eliminar cambiando los componentes del software. Como resultado, en los iPhones modernos, ya no se puede confiar en que los chips inalámbricos se apaguen después del apagado. Esto plantea un nuevo modelo de amenaza".

Los hallazgos se presentarán en la Conferencia ACM sobre seguridad y privacidad en redes inalámbricas y móviles (WiSec 2022) esta semana.

Un mensaje que se muestra cuando se apagan los iPhones dice así: "El iPhone permanece localizable después de apagarlo. Find My lo ayuda a ubicar este iPhone cuando se pierde o se lo roban, incluso cuando está en modo de reserva de energía o cuando está apagado".

Llamando "opaca" a la implementación actual de LPM, los investigadores no solo observaron fallas al inicializar los anuncios Find My durante el apagado, contradiciendo efectivamente el mensaje mencionado anteriormente, sino que también encontraron que el firmware de Bluetooth no está firmado ni cifrado. Al aprovechar esta laguna, un adversario con acceso privilegiado puede crear malware que puede ejecutarse en un chip Bluetooth de iPhone incluso cuando está apagado.

Sin embargo, para que ocurra tal compromiso de firmware, el atacante debe poder comunicarse con el firmware a través del sistema operativo, modificar la imagen del firmware u obtener la ejecución del código en un chip habilitado para LPM o explotar fallos del tipo BrakTooth.

"En lugar de cambiar la funcionalidad existente, también podrían agregar características completamente nuevas", señalaron los investigadores de SEEMOO, y agregaron que revelaron responsablemente todos los problemas a Apple, pero que el gigante tecnológico "no tenía comentarios".

Dado que las funciones relacionadas con LPM adoptan un enfoque más sigiloso para llevar a cabo los casos de uso previstos, SEEMOO pidió a Apple que incluyera un interruptor basado en hardware para desconectar la batería a fin de aliviar cualquier problema de vigilancia que pudiera surgir de los ataques a nivel de firmware.

"Dado que la compatibilidad con LPM se basa en el hardware del iPhone, no se puede eliminar con las actualizaciones del sistema", dijeron los investigadores. "Por lo tanto, tiene un efecto duradero en el modelo general de seguridad de iOS".

"El diseño de las características de LPM parece estar impulsado principalmente por la funcionalidad, sin tener en cuenta las amenazas fuera de las aplicaciones previstas. Find My después de apagar convierte los iPhones apagados en dispositivos de seguimiento por diseño, y la implementación dentro del firmware de Bluetooth no está protegida contra la manipulación".

Fuente: THN

20 may 2022

Bluetooth vulnerable a Relay Attacks (de nuevo) permitir desbloquear automóviles de forma remota

Un novedoso ataque de retransmisión de Bluetooth puede permitir que los ciberdelincuentes desbloqueen y operen automóviles de forma remota (tales como los de TESLA)más fácilmente que nunca, rompan cerraduras inteligentes residenciales y atraviesen áreas seguras.

La vulnerabilidad tiene que ver con las debilidades en la implementación actual de Bluetooth Low Energy (BLE), una tecnología inalámbrica utilizada para autenticar dispositivos Bluetooth que se encuentran físicamente dentro de un rango cercano.

"Un atacante puede indicar falsamente la proximidad de los dispositivos Bluetooth LE (BLE) entre sí mediante el uso de un ataque de retransmisión", dijo la empresa de ciberseguridad con sede en el Reino Unido NCC Group. "Esto puede permitir el acceso no autorizado a dispositivos en sistemas de autenticación de proximidad basados ​​en BLE".

Los ataques de retransmisión, también llamados ataques de Two-Thief, son una variación de los Man-in-the-Middle en los que un adversario intercepta la comunicación entre dos partes, una de las cuales también es un atacante, y luego la transmite al dispositivo de destino sin ninguna manipulación.

Si bien se implementaron varias mitigaciones para evitar ataques de retransmisión, incluida la imposición de límites de tiempo de respuesta durante el intercambio de datos entre dos dispositivos que se comunican a través de BLE y técnicas de localización basadas en triangulación, el nuevo ataque de retransmisión puede eludir estas medidas.

"Este enfoque puede eludir las mitigaciones de ataques de retransmisión existentes del límite de latencia o el cifrado de la capa de enlace, y eludir las defensas de localización comúnmente utilizadas contra los ataques de retransmisión que utilizan la amplificación de la señal", dijo la compañía.

Para mitigar tales ataques de retransmisión de la capa de enlace, los investigadores recomiendan exigir comprobaciones adicionales más allá de la proximidad inferida para autenticar llaveros y otros elementos.

Esto podría variar desde modificar aplicaciones para forzar la interacción del usuario en un dispositivo móvil para autorizar desbloqueos y deshabilitar la función cuando el dispositivo de un usuario ha estado inmóvil durante más de un minuto según las lecturas del acelerómetro.

Después de recibir una alerta sobre los hallazgos el 4 de abril de 2022, el Grupo de Interés Especial (SIG) de Bluetooth reconoció que los ataques de retransmisión son un riesgo conocido y que el organismo de estándares está trabajando actualmente en "mecanismos de alcance más precisos".

Fuente: THN

19 may 2022

Sitios web populares recogen todo lo que escribes

Investigadores de la Universidad de Lovaina, la Universidad de Radboud y la Universidad de Lausana rastrearon y analizaron los 100.000 sitios web más importantes, analizando las situaciones en las que un usuario visita un sitio desde la Unión Europea y otro desde Estados Unidos. Descubrieron que 1.844 sitios web recopilaban la dirección de correo electrónico de un usuario de la UE sin su consentimiento, y unos asombrosos 2.950 registraban el correo electrónico del usuario de alguna forma. Al parecer, muchos de los sitios no pretenden llevar a cabo el registro de datos, sino que incorporan servicios de marketing y análisis de terceros que provocan este comportamiento.

Cuando te inscribes en un boletín de noticias, haces una reserva de hotel o haces el check out online, probablemente das por sentado que si escribes mal tu dirección de correo electrónico tres veces o cambias de opinión y sales de la página con una X, no importa. No pasa nada hasta que se pulsa el botón de enviar, ¿verdad? Bueno, quizá no. Como ocurre con muchas de las suposiciones sobre la web, no siempre es así, según una nueva investigación: Un número sorprendente de sitios web recogen parte o la totalidad de tus datos mientras los escribes en un formulario digital.

Tras rastrear específicamente los sitios en busca de fugas de contraseñas en mayo de 2021, los investigadores también encontraron 52 sitios web en los que terceros, incluido el gigante tecnológico ruso Yandex, estaban recogiendo incidentalmente datos de contraseñas antes de su presentación. El grupo reveló sus hallazgos a estos sitios, y los 52 casos han sido resueltos desde entonces.

"Si hay un botón de envío en un formulario, la expectativa razonable es que haga algo: que envíe tus datos cuando lo pulses", dice Güneş Acar, profesor e investigador del grupo de seguridad digital de la Universidad de Radboud y uno de los líderes del estudio. "Nos sorprendieron mucho estos resultados. Pensábamos que tal vez íbamos a encontrar unos cuantos cientos de sitios web en los que se recogía tu correo electrónico antes de enviarlo, pero esto superó con creces nuestras expectativas."

Los investigadores, que presentarán sus hallazgos en la conferencia de seguridad Usenix en agosto de 2022, dicen que se inspiraron para investigar lo que llaman "Leaky Forms"[PDF] por los informes de los medios de comunicación, en particular de Gizmodo, sobre terceros que recopilan datos de formularios independientemente del estado del envío. Señalan que, en el fondo, el comportamiento es similar al de los llamados keyloggers, que suelen ser programas maliciosos que registran todo lo que teclea un objetivo. Sin embargo, en un sitio web de primera categoría, los usuarios probablemente no esperarán que se registre su información. Y en la práctica, algunos sitios registraron los datos pulsación a pulsación, pero muchos tomaron los datos completos de un campo cuando los usuarios hicieron clic en el siguiente.

Lista completa

"En algunos casos, cuando haces clic en el siguiente campo, recogen el anterior, como cuando haces clic en el campo de la contraseña y recogen el correo electrónico, o simplemente haces clic en cualquier sitio y recogen toda la información inmediatamente", dice Asuman Senol, investigador de privacidad e identidad en la KU Leuven y uno de los coautores del estudio. "No esperábamos encontrar miles de sitios web; y en EE.UU., las cifras son realmente altas, lo cual es alarmante".

A través de un importante esfuerzo por notificar a los sitios web y a los terceros que recopilan datos de esta manera, los investigadores descubrieron que una explicación de parte de la recopilación inesperada de datos puede tener que ver con el desafío de diferenciar una acción de "envío" de otras acciones del usuario en ciertas páginas web. Pero los investigadores subrayan que, desde el punto de vista de la privacidad, ésta no es una justificación adecuada.

Desde que completaron el documento, el grupo también hizo un descubrimiento sobre Meta Pixel y TikTok Pixel, rastreadores de marketing invisibles que los servicios incrustan en sus sitios web para rastrear a los usuarios en la web y mostrarles anuncios.

Los investigadores descubrieron que estos píxeles de seguimiento captaban las direcciones de correo electrónico con hash, una versión oscura de las direcciones de correo electrónico utilizadas para identificar a los usuarios de la web en todas las plataformas, antes de su envío. En el caso de los usuarios estadounidenses, 8.438 sitios pueden haber filtrado datos a Meta, la empresa matriz de Facebook, a través de los píxeles, y 7.379 sitios pueden estar afectados para los usuarios de la UE. En el caso del píxel de TikTok, el grupo encontró 154 sitios para los usuarios estadounidenses y 147 para los de la UE.

"Los riesgos para la privacidad de los usuarios son que se les rastrea de forma aún más eficaz; se les puede rastrear en diferentes sitios web, en diferentes sesiones, en el móvil y en el escritorio", afirma Acar. "Una dirección de correo electrónico es un identificador muy útil para el seguimiento, porque es global, único y constante. No se puede borrar como se borran las cookies. Es un identificador muy potente".

Dado que los resultados indican que borrar los datos de un formulario antes de enviarlo puede no ser suficiente para protegerse de toda recopilación, los investigadores crearon una extensión de Firefox llamada LeakInspector para detectar la recopilación de formularios fraudulentos. Y afirman que esperan que sus hallazgos sirvan para concienciar sobre el problema.

Fuentes: Arstechnica

18 may 2022

Campaña de malware aprovecha PowerShell y SQLServer para infectar víctimas

Ayer Microsoft advirtió que recientemente detectó una campaña maliciosa dirigida a servidores SQL que aprovecha un binario integrado de PowerShell para lograr la persistencia en los sistemas comprometidos.

Las intrusiones, que aprovechan los ataques de fuerza bruta como vector de compromiso inicial, se destacan por el uso de la utilidad "sqlps.exe", dijo el gigante tecnológico en una serie de tuits.

Se desconocen los objetivos finales de la campaña, al igual que la identidad del actor de amenazas que la organiza. Microsoft está rastreando el malware con el nombre "SuspSQLUsage".

La utilidad "sqlps.exe", que viene de forma predeterminada con todas las versiones de SQL Server, permite que un Agente SQL, un servicio de Windows para ejecutar tareas programadas, ejecute trabajos utilizando el subsistema PowerShell.

"Los atacantes logran una persistencia sin archivos al generar la utilidad sqlps.exe, un contenedor de PowerShell para ejecutar cmdlets construidos en SQL, para ejecutar comandos de reconocimiento y cambiar el modo de inicio del servicio SQL a LocalSystem", señaló Microsoft.

Además, también se ha observado que los atacantes usan el mismo módulo para crear una nueva cuenta con la función de administrador del sistema, lo que les permite tomar el control de SQL Server.

Esta no es la primera vez que los actores de amenazas aprovechan binarios legítimos que ya están presentes en un entorno, una técnica llamada living-off-the-land (LotL), para lograr sus nefastos objetivos.

Una ventaja que ofrecen tales ataques es que tienden a no tener archivos porque no dejan ningún artefacto (fileless) y es menos probable que las actividades sean marcadas por el software antivirus debido a que utilizan un software confiable.

La idea es permitir que el atacante se mezcle con la actividad normal de la red y las tareas administrativas normales, mientras permanece oculto durante largos períodos de tiempo.

"El uso de este binario poco común que vive fuera de la tierra (LOLBin) destaca la importancia de obtener una visibilidad completa del comportamiento en tiempo de ejecución de los scripts para exponer el código malicioso", dijo Microsoft.

Fuente: THN

17 may 2022

DNS a través de QUIC

Podemos decir que la privacidad es uno de los factores más importantes cuando navegamos por Internet. Son muchos los motivos por los que nuestros datos pueden verse comprometidos. Simplemente con visitar una web estamos dejando algún rastro. Pero hay protocolos y servicios que pueden ayudarnos a evitar problemas. En este artículo vamos a hablar de DNS a través de QUIC. Vamos a explicar por qué va a ser más seguro y una buena opción.

DNS a través de QUIC

El protocolo DNS es fundamental: lo que hace es traducir la información que ponemos en el navegador. Simplemente con poner el nombre del dominio nos deriva a la dirección IP correspondiente, por lo que no vamos a tener que recordar números sin mucho sentido.

Sin embargo este protocolo, por sí mismo, no es fiable y no mantiene la privacidad. Hay opciones como DoH (DNS a través de HTTPS) o DoT (DNS a través de TLS) que cifran la conexión.

Algo así ocurre con QUIC, que es un protocolo de red creado por Google. Podemos decir que funciona de forma parecida a HTTP/2 y TLS/SSL, pero en vez de usar TCP se basa en UDP. De esta forma surge DoQ, que es DNS a través de QUIC.

Podemos decir que funciona de forma similar a DoT, por lo que mantiene la privacidad, pero utiliza QUIC Y DoH3, es decir, DNS a través de HTTP/3.

Esto último, el hecho de usar HTTP/3, hace que sea más veloz. Esto va a ayudar a cargar una página web un poco más rápido. Evita ese intercambio de claves que usa el cifrado TLS y que va a ralentizar la conexión.

Además, DNS a través de QUIC o DoQ, también va a ser más seguro ya que corrige uno de los problemas principales de TCP, que es el envío del encabezado de los paquetes en texto plano, algo que puede quedarlo expuesto y que pueda leerse sin autenticación.

Un punto importante de DNS a través de QUIC es que está diseñado específicamente para reducir la latencia. Va a reducir los retrasos de este protocolo gracias a funciones como la compatibilidad con datos 0-RTT o procedimientos avanzados de recuperación de pérdida de paquetes.

Tener una latencia baja es importante para navegar por Internet, pero especialmente para usar determinados servicios. Por ejemplo iniciar una videollamada online, jugar por Internet o usar ciertas herramientas que van a necesitar que no haya retardo o que sea lo mínimo posible para evitar problemas.

En definitiva, DNS va a poder funcionar a través del protocolo QUIC. Esto va a ayudar a mantener la privacidad al navegar por Internet, algo imprescindible hoy en día, pero sin tener ciertos problemas de velocidad y latencia que tienen otros protocolos similares. Por tanto, mantendremos la conexión cifrada y evitaremos que un tercero pueda interceptar lo que enviamos, pero al mismo tiempo manteniendo un funcionamiento óptimo de la conexión.

Se pueden ver todas las especificaciones de este protocolo.

Fuente: RedesZone

16 may 2022

Explotación in-the-wild de vulnerabilidad crítica en firewall Zyxel

Delincuentes informáticos han comenzado a explotar una vulnerabilidad crítica parcheada recientemente, identificada como CVE-2022-30525, que afecta el firewall Zyxel y los dispositivos VPN para empresas.

La explotación exitosa permite que un atacante remoto inyecte comandos arbitrarios sin autenticación, lo que puede habilitar la configuración de una shell inversa.

La vulnerabilidad fue descubierta por Jacob Baines, investigador principal de seguridad de Rapid7, quien explica en un breve informe técnico cómo se puede aprovechar la falla en los ataques. Se ha agregado un módulo framework de Metasploit.

"Los comandos se ejecutan como el usuario de ´nobody´. Esta vulnerabilidad se explota a través de la URI /ztp/cgi-bin/handler y es el resultado de pasar la entrada del atacante sin desinfectar al método os.system en lib_wan_settings.py", dijo Jacob Baines.

El 12 de mayo, Zyxel publicó un aviso de seguridad para CVE-2022-30525 (puntuación de gravedad crítica de 9,8), anunciando que se lanzó una corrección ZLD V5.30 para los modelos afectados e instando a los administradores a instalar las últimas actualizaciones:

  • USG FLEX 100(W), 200, 500, 700
  • USG FLEX 50(W) / USG20(W)-VPN
  • ATP / VPN series

El firmware afectado es el ZLD V5.00 hasta el ZLD V5.21 Patch 1.

La gravedad del problema de seguridad y el daño que podría provocar es lo suficientemente grave como para que el director de ciberseguridad de la NSA, Rob Joyce, advierta a los usuarios sobre la explotación y los aliente a actualizar la versión del firmware del dispositivo si es vulnerable.

A partir del viernes 13, los expertos en seguridad de la organización sin fines de lucro Shadowserver Foundation informaron haber visto intentos de explotación de CVE-2022-30525.

No está claro si estos esfuerzos son maliciosos o solo investigadores que trabajan para mapear dispositivos Zyxel actualmente expuestos a ataques de adversarios.

Rapid7 escaneó Internet en busca de productos Zyxel vulnerables y encontró más de 15.000 utilizando la plataforma de búsqueda Shodan para hardware conectado a Internet.

Shadowserver ejecutó su propio análisis y encontró al menos 20.800 modelos de firewall Zyxel en la web abierta que están potencialmente afectados por la vulnerabilidad. La organización contó el hardware por direcciones IP únicas y descubrió que más de 15.000 de ellos eran modelos USG20-VPN y USG20W-VPN, diseñados para "conexiones VPN en sucursales y cadenas de tiendas".

La región con los dispositivos potencialmente más vulnerables es la Unión Europea, con Francia e Italia con el mayor número.

Detección de intentos de explotación

Dada la gravedad de la vulnerabilidad y la popularidad de los dispositivos, los investigadores de seguridad han publicado un código que debería ayudar a los administradores a detectar la falla de seguridad y los intentos de explotación.

Parte del red team de la empresa española de telecomunicaciones Telefónica, z3r00t creó y publicó una plantilla para la solución de escaneo de vulnerabilidades Nuclei para detectar CVE-2022-30525. La plantilla está disponible en el GitHub del autor.

Otro investigador, BlueNinja, también creó un script para detectar la inyección de comandos remotos no autenticados en los productos de firewall y VPN de Zyxel y lo publicó en GitHub.

Fuente: BC

13 may 2022

Grupo pro-ruso Killnet "declara" la guerra a España e Italia

Actualmente hay decenas de campañas pro-rusas activas contra occidente. El equipo de DarkOwl está rastreando activamente las consecuencias de la invasión rusa de Ucrania. Los efectos de la operación militar cinética están causando ondas en el ciberespacio global, incluidos los ecosistemas en la red oscura y profunda.

Ahora, el "ejército" de cibercriminales pro Rusia, Killnet, ha declarado oficialmente la guerra a España y también a Italia, a través de un mensaje en su canal deTelegram. El grupo prorruso KILLNET, está especializado en ataques de denegación de servicio (DDoS) y realiza amenazas contra países que apoyan a Ucrania.

"Italy and Spain, I've heard that The Mirai Squad is coming to you. Perhaps this is the beginning of your end!" - "Italia y España, he oído que el escuadrón Mirai viene a por vosotros, quizá éste sea el principio de vuestro fin".

 Los sitios web del parlamento, el ejército y el Instituto Nacional de Salud de Italia sufrieron interrupciones el jueves por parte de un grupo de delincuentes informáticos prorrusos implicado previamente en un ciberataque similar contra el gobierno rumano.

El ataque también afectó al Automóvil Club d'Italia y a varias otras instituciones italianas. En Telegram, el grupo Killnet se atribuyó los incidentes. Varios de los sitios han vuelto a funcionar después de estar inactivos durante varias horas.

La Agencia Nacional de Ciberseguridad de Italia no respondió a las solicitudes de comentarios, pero la presidenta del Senado de Italia, Maria Elisabetta Alberti Casellati, dijo que los sitios web del parlamento no sufrieron daños duraderos.

"Ningún daño por el ataque que involucró la red externa del Senado. Gracias a los técnicos por la inmediata intervención. Estos son episodios graves, que no deben subestimarse. Continuaremos manteniendo la guardia alta", escribió en Twitter. Hace dos semanas, el equipo nacional de respuesta de ciberseguridad y la agencia de inteligencia de Rumania dijeron que los sitios web del Ministerio de Defensa, la policía fronteriza y la compañía ferroviaria nacional fueron atacados por Killnet con ataques distribuidos de denegación de servicio.

En ese momento, Killnet dijo que lanzó el ataque porque Rumania apoyó a Ucrania después de que Rusia invadiera a principios de este año. En Telegram, miembros de Killnet dijeron que el ataque a Italia no fue tan severo como el ataque a Rumania. Hicieron varias burlas cargadas hacia los gobiernos de Italia y España.

"Nuestra Legión realiza ciberejercicios militares en sus países para mejorar sus habilidades. Todo sucede de manera similar a sus acciones: los italianos y los españoles van a aprender a matar gente en Ucrania", dijo un presunto miembro del grupo.

El vicepresidente de Microsoft, Tom Burt, dijo el mes pasado que los expertos de la empresa creen que los ciberataques seguirán escalando y ampliándose a medida que continúe la guerra entre Rusia y Ucrania. "Hemos observado que actores alineados con Rusia activos en Ucrania muestran interés o realizan operaciones contra organizaciones en los países bálticos y Turquía, todos los estados miembros de la OTAN que brindan activamente apoyo político, humanitario o militar a Ucrania".

Fuentes: TheRecord | ElCierreDigital