20 oct. 2018

15.769 sitios web que usan Wordpress han sido hackeados

Worpress es un objetivo popular por que la mayoría de las webs lo usa para manejar y publicar su contenido. Esto de acuerdo a un informe por parte de Sucuri de sitios web comprometidos [PDF], hay un 78% de los 21.821 sitios estudiados que usan este gestor de contenidos.

Wordpress, con el paso del tiempo, continua a la cabeza con un amplio porcentaje de sitios web comprometidos, con una tasa del 74%.

El informe se centra en cuatro populares gestores de contenidos Open Source: se cubre también Joomla con un 14% de sitios comprometidos, Magento con un 5% y Drupal con un 2%.
Cuando se trata de software sin actualizar, un vector común para los ciberdelincuentes, el informe encontró que el 55% de las instalaciones de Wordpress estaban sin actualizar, mientras que Joomla, con un 86% de sitios sin actualizar, Drupal con un 84% y Magento con un 96%, continúan siendo líderes indiscutibles en sitios web sin actualizar o con versiones vulnerables.

Año tras año, Wordpress vio un decremento de un 1% en sitios web sin actualizar o infectados, mientras que Drupal tuvo un aumento de un 3%. Joomla y Magento siguen mostrando las versiones más desactualizadas de cada plataforma.

Las extensiones con poca seguridad dan a los cibercriminales un acceso inicial la mayor parte del tiempo. Sucuri encontró que, de media, las instalaciones de Wordpress tenían instaladas 12 plugins en cualquier momento.

El top tres de vulnerabilidades de plugins de Wordpress que han contribuido al hackeo de los sitios con Wordpress: Gravity Forms, TimThumb y RevSlider.

Preocupantemente, solo el 18% de los sitios web infectados han sido metidos en una Blacklist por los principales motores de búsqueda y de protección de servicios web, dejando un 82% de los sitios web infectados sin marcar y presentando un potencial riesgo a los usuarios.

El esfuerzo más satisfactorio por bloquear estos sitios fue de Google Safe Browsing, con un 52% de sitios bloqueados. Norton Safeweb consiguió encontrar un 38%, mientras que McAfee SiteAdvisor encontró solo el 11% de sitios web hackeados.

Fuente: Infosecurity

19 oct. 2018

USBNinja: cable USB que permite hacer ataques a distancia a través de bluetooth

A simple vista parece un simple cable USB pero en realidad encierra un peligro potencial: se puede usar para lanzar ciberataques a la distancia. Se trata de USBNinja y viene en varios formatos (Micro USB, USB tipo C y Lighting).

El producto es una evolución de BadUSB, presentado en 2014, y que demostró que se podía insertar el malware en el firmware del pendrive. En este caso, el cable tiene un control de bluetooth que se activa de manera remota a través de una app o pequeño gadget.
Cuando el cable recibe la orden, inyecta el malware en el dispositivo en el cual esté conectado: computadora, tablet o celular.

USBNinja fue desarrollado por la firma RFID Research Group. Se trata de una herramienta que permite hacer pruebas de pentesting en el ámbito de la seguridad informática. La presentaron a través de una plataforma de financiamiento colectivo y ya lograron reunir más de USD 27.700, casi el triple del objetivo que se habían planteado.

El pentesting o pruebas de penetración consiste en la realización de ataques cibernéticos controlados a sistemas informáticos con el fin de identificar vulnerabilidades y corregirlas.

Este cable es una herramienta, como tantas otras, que desde el punto de vista del experto en seguridad informática, ayudan a evaluar la seguridad de dispositivos e infraestructura, pero si cae en manos equivocadas puede ser utilizada para hacer ciberataques.

De hecho, esto es lo que plantean los desarrolladores de este cable. Ellos buscan alertar sobre la facilidad con que se pueden realizar estos ataques para generar conciencia en los usuarios; y, por otra parte, ofrecen una herramienta para que los expertos en seguridad puedan utilizar dentro de sus análisis informáticos.

"Este cable es similar a otros dispositivos que hemos visto, con Arduino se pueden crear dispositivos que cumplan funciones similares para que ejecuten algún código malicioso. Esta tecnología podría ser usado por un cibercriminal, como para robar información o incluso por un empleado disconforme que quiera hacer algún tipo de daño en la empresa", explica Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET. "En última instancia, cuando hablamos de tecnología, no podemos decir que sea buen o mala, es el uso que le den las personas", concluye.

Los creadores dicen que USBNinja es muy versátil y que también se puede utilizar para hacer bromas, algo que podría ocurrir si se utiliza para descargar un código que, por ejemplo, permita mover el mouse a la distancia. También podría servir para inyectar mensajes de amor, en vez de códigos maliciosos. Al menos eso explican los creadores.

Cómo funciona

En la punta del cable que se inserta en el dispositivo se creó una unidad que se activa por medio de bluetooth. Por fuera esto no se ve, USBNinja luce como cualquier otro cable e incluso sirve para transmitir datos o cargar las baterías del equipo, por ejemplo. Tiene un metro de largo, es blanco y, como se mencionó anteriormente, con tres conectores: Micro USB, USB tipo C y Lighting.
Pero cuando ese pequeño tablero recibe la orden, a través de un control remoto o una app diseñada específicamente para estos fines, inmediatamente descarga el código malicioso en el equipo en el que está conectado.

El control remoto funciona hasta a una distancia de 100 metros y la carga que se quiera ejecutar se puede programar a través de Arduino IDE. El dispositivo cuesta USD 99 y los desarrolladores están usando una plataforma de financiamiento colectivo para este proyecto.

Fuente: Infobae

¿Qué es un Red Teaming?


Dentro de los servicios ofrecidos por las empresas de ciberseguridad, uno de los que más pasiones levanta es el de Red Teaming.

Cada vez es más habitual escuchar este término en todo tipo de conferencias y artículos, con detalladas explicaciones sobre cómo saltarse la seguridad física de un entorno para colocar un implante hardware que nos permita conectarnos remotamente, con explicaciones de diversos ataques de ingeniería social y phishings a los empleados de una organización, o con listas y explicaciones sobre cómo usar los últimos "Living-Off-the-Land Binaries" o LOLBins, aplicaciones, scripts y librerías nativas que pueden ser usadas y abusadas para ejecutar código adicional, como podrían ser rundll32, regsvr32, msbuild, y muchísimas otras más. Sin embargo, ¿tenemos todos claro lo que significa Red Teaming?

Cuando un cliente solicita un análisis de vulnerabilidades, casi todos estaremos de acuerdo en que busca escanear una aplicación, servicio o infraestructura (interna o externa) con herramientas automáticas de detección de vulnerabilidades. Al final, el objetivo será conseguir un informe con todas las vulnerabilidades detectadas, que con suerte, nos entregarán limpio de falsos positivos, y podremos finalizar el proyecto.

Cuando los clientes requieren un test de penetración, las cosas empiezan a dejar de estar tan claras y suele ser necesario aclarar qué busca exactamente el cliente. Bajo el mismo paraguas de "test de penetración" se suelen requerir una gran variedad de servicios:
  • Una revisión completa (automática y manual) sobre una aplicación, estando el pentester en listas blancas, con el objetivo de detectar el mayor número posible de vulnerabilidades para su posterior corrección.
  • Una demostración sobre si somos capaces de penetrar en el perímetro de la organización a través de una aplicación con todas las defensas levantadas… en ocasiones bajo la premisa del "realismo". Eso sí, indicando que las denegaciones de servicio, la ingeniería social al personal, o los ataques a cualquiera de las otras 200 direcciones IP identificadas en la organización no están permitidas. Es decir, que se busca un escenario "realista" en el que el realismo consiste en que el atacante está limitado a atacar un único activo, altamente bastionado, monitorizado y protegido por todo tipo de soluciones de seguridad. Este tipo de proyectos, aunque necesarios para revisar, por ejemplo, la correcta configuración de las medidas de seguridad desplegadas para proteger un activo, desde luego no deberían ser justificados con el “realismo”, porque por todos es conocido que el adversario ataca siempre al eslabón más débil, y nunca al más protegido.
  • Una auditoría de seguridad interna con más o menos limitaciones, en la que se suelen permitir tanto el uso de equipos informáticos de los auditores, como de equipos plataformados por la organización. El objetivo es demostrar hasta qué punto lograrían penetrar, simulando por ejemplo, a un usuario que se convierta en malicioso. Este tipo de proyectos suelen acabar con el pentester alcanzando permisos de Domain/Enterprise Admin, desgraciadamente, con más frecuencia de la que debería.
  • Y cualquier combinación más o menos acertada de las anteriores.
Por este motivo, cuando empezamos a hablar de Pentesting siempre nos sentamos con el cliente para que nos explique su nivel de madurez percibido, qué busca exactamente conseguir a través del proyecto, e intentamos guiarle y sugerirle la forma de obtener el mayor beneficio frente a su inversión.
Y finalmente llegamos al Red Teaming: terreno de pasiones, mitos y fantasías. Desconozco si es una cuestión de oportunismo, de curiosa fascinación ante la terminología militar que atrae a todo tipo de perfiles, o de falta de conocimiento y consenso alrededor del término, pero es en este terreno donde apreciamos mayor falta de precisión. ¿Tiene que ver todo esto con que cada vez más directores, managers y otros responsables en el lado del cliente reconozcan en privado que no están, para nada, del todo satisfechos con los servicios que les han ofrecido hasta el momento en este tipo de proyectos?

18 oct. 2018

Trio de vulnerabilidades afecta a ocho modelos de D-Link

Varios modelos de router de D-Link son vulnerables a tres vulnerabilidades que pueden facilitar a un atacante obtener el control total sobre los mismos.

Cogidas por separado, las vulnerabilidades son un Path Traversal, guardar contraseñas en texto plano y ejecución de comandos de Shell; pero encadenándolas juntas lleva a un atacante a poder ejecutar código malicioso en los dispositivos (10 de 10 en CVSS v3).

La primera vulnerabilidad de la lista es el Path Traversal, identificado como CVE-2018-10822, que permite a un atacante remoto leer ficheros arbitrarios. Este fallo surgió por una reparación incorrecta de una vulnerabilidad diferente reportada el último año.

Una vulnerabilidad como esta puede hacer que el atacante obtenga acceso al directorio de las contraseñas, donde residen las credenciales de administrador del router.

Esto nos lleva a la segunda vulnerabilidad, contraseñas guardadas en texto plano, identificado como CVE-2018-10824. Usando la vulnerabilidad anterior, uno puede acceder al directorio de contraseñas y comprobar el fichero de configuración que contiene la información sensible.

La tercera vulnerabilidad lleva el identificador CVE-2018-10823, una inyección de comandos de Shell que le proporciona a un atacante no autenticado la posibilidad de ejecutar código en el dispositivo.

Las vulnerabilidades han sido reportadas por Blazej Adamczyk de la Silesian University of Technology de Polonia, que también ha proporcionado el código de la prueba de concepto (PoC). También ha hecho un video demostrando el ataque encadenado en un router vulnerable.

Los modelos afectados por este trio de vulnerabilidades son DWR-116, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111.

Adamczyk notificó a D-Link sobre estas vulnerabilidades en Mayo, y recibió como respuesta por parte de D-Link que los parches solo estarían disponibles para dos de los modelos (DWR-116 y DWR-111) por que el resto de ellos ya había alcanzado su final de vida.

Aunque el fabricante ya no realice soporte sobre esos router ni los fabrique, hay muchas posibilidades de que las variantes vulnerables sigan activas. Puede que no se puedan acceder por internet, pero los crackers pueden llegar a ellos aún.

El código PoC demostrando los fallos es lo bastante simple como para ser transmitido vía malvertising. De esta forma, todo lo que tiene que hacer el usuario para que su router se vea comprometido es cargar la página que el atacante le envíe.

Fuente: BleepingComputer

Curso de introducción a la seguridad gratuito

A través de la plataforma educativa Khan Academy, Nova Labs desarrolló un curso online gratuito dirigido a adolescentes, jóvenes o cualquier usuario interesado en querer aprender qué es la ciberseguridad y que no tenga conocimientos previos. El programa está dividido en cinco módulos teóricos, donde el material es presentado a través de videos animados, y seguido de cada uno de ellos una clase práctica con preguntas y respuestas.

En la primera de las clases de este curso introductorio a la temática, el participante aprenderá la importancia que tiene la seguridad en estos tiempos y conocerá datos que le ayudarán a poner en perspectiva la importancia de estar informados en esta materia tan vinculada a nuestro día a día.

La segunda clase pone el foco en el término en inglés "hacking" y explica qué es, por qué hay gente que practica el hacking en la informática. Es interesante recordar que el término hacker no está relacionado a una actitud maliciosa, sino que se utiliza para referirse a un experto en informática. Depende de cómo utilice sus conocimientos para saber si hace un uso ético o no de esa información. En esta clase el usuario aprenderá sobre las distintas motivaciones y perfiles que puede tener un hacker.

La tercera clase está centrada en la privacidad de la información y se utiliza un ejemplo para ilustrar la importancia de asegurar nuestra información personal y las posibles consecuencias que podría llegar a tener no hacerlo.

La cuarta clase es sobre códigos. Aquí los participantes entenderán la importancia del uso de comunicaciones cifradas en las comunicaciones online y cómo esto ayuda a proteger la privacidad.

Finalmente, la quinta y última clase está compuesta por un glosario que incluye términos comunes que se utilizan para describir temas recurrentes en el mundo de la ciberseguridad.

Si quieres más información, accede al curso completo de introducción a la ciberseguridad.

Recuerda que en la plataforma de Academia ESET también puedes encontrar una amplia lista de cursos online (gratuitos y de pago) sobre diferentes temas; y en nuestra categoría cursos online gratuitos encontrarás más opciones disponibles para aprender de manera gratuita.hacking” y explica qué es, por qué hay gente que practica el hacking en la informática. Es interesante recordar que el término hacker no está relacionado a una actitud maliciosa, sino que se utiliza para referirse a un experto en informática. Depende de cómo utilice sus conocimientos para saber si hace un uso ético o no de esa información. En esta clase el usuario aprenderá sobre las distintas motivaciones y perfiles que puede tener un hacker.

Fuente: WeLiveSecurity

Los navegadores deshabilitarán versiones inseguras de TLS en 2020

Google, Microsoft, Mozilla, y Apple  han anunciado que en 2020 deshabilitarán en sus navegadores las versiones 1.0 y 1.1 del protocolo TLS (Transport Layer Security, que quiere decir Seguridad de la capa de transporte). Así, según han subrayado en VentureBeat, a partir de entonces, Chrome, Edge, Internet Explorer, Firefox y Safari llevarán activada por defecto la versión 1.2 del protocolo.

El protocolo criptográfico TLS se encarga de proporcionar seguridad en las comunicaciones establecidas en una red de ordenadores. En concreto, las páginas web lo utilizan para securizar todas las comunicaciones que establecen entre sus servidores y los navegadores.

Por otro lado, es el sucesor del SSL, por lo que se encarga de gestionar el cifrado de todas las conexiones HTTPS. Además de su versión 1.2, ya está disponible TLS 1.3, y ya la soportan Chrome y Firefox. Microsoft y Apple tienen previsto que las próximas versiones de Edge y Safari sean también compatibles con ella.
Como consecuencia de este anuncio, TLS 1.0 y 1.1 se deshabilitarán en Chrome 81, mientras que Firefox lo hará a lo largo del mes de marzo de 2020, lo mismo que Safari. Será a partir de las actualizaciones de Safari para iOS y macOS lanzadas en dicho mes cuando ambas versiones del protocolo desaparezcan del navegador. En cuanto a Microsoft, todavía no ha concretado cuándo desactivará TSL 1.0 y 1.1. Desde la compañía sólo han apuntado que lo harán en algún momento de la primera mitad de 2020.

Tanto Apple como Microsoft han destacado que hay un número muy bajo de conexiones diarias en sus navegadores que utilizan TLS 1.0 o 1.1. Microsoft ha asegurado que es inferior al 1% en Edge, mientras que Apple ha comentado que está por debajo del 0.36% en Safari.

Google y Mozilla no han facilitado las cifras de conexiones diarias con TLS 1.0 o 1.1. Pero se han unido a Microsoft y Apple en su llamada a los usuarios de sus navegadores para abandonar TLS 1.0 y 1.1 tan pronto como puedan. No obstante, hay pocos que todavía no soporten TLS 1.2, que ya ha llegado al 94% de las páginas.

Fuente: Muy Computer

17 oct. 2018

Uber pagará multa récord de 148 millones de dólares por filtración de datos

Uber pagará 148 millones de dólares para resolver una investigación sobre una filtración de datos ocurrida en 2016 y de la que la empresa fue acusada de ocultar intencionalmente.

El acuerdo se dio con los fiscales generales de los 50 estados y Washington y el monto será dividido entre estas jurisidicciones. Se trata del acuerdo de incumplimiento de datos multiestatal más grande que haya existido, según la fiscal general de Nueva York.

La investigación fue convocada para investigar las denuncias de que la compañía de transporte compartido violó las leyes de notificación a nivel estatal al negar intencionalmente que hackers robaron la información personal de 57 millones de usuarios en 2016.

La violación no fue revelada hasta fines de 2017, cuando Uber reveló que pagó a los hackers 100.000 dólares para destruir los datos. En abril, Uber llegó a un acuerdo con la Comisión Federal de Comercio, que investigaba las acusaciones de que Uber engañó a los clientes por este incumplimiento.

Como parte del acuerdo, Uber acordó desarrollar e implementar un programa de integridad corporativa para que los empleados denuncien comportamientos no éticos. También acordó adoptar prácticas modelo de notificación de violación de datos y seguridad de datos, así como contratar a un tercero independiente para evaluar sus prácticas de seguridad de datos.

"Este acuerdo récord debe enviar un mensaje claro: tenemos tolerancia cero para los que eluden la ley y dejan la información de consumidores y empleados vulnerable a la explotación", dijo la fiscal general de Nueva York, Barbara D. Underwood, en un comunicado de prensa. Nueva York recibirá aproximadamente 5,1 millones de dólares del pago total.

"La decisión de nuestro equipo de gestión actual de divulgar el incidente no solo fue lo correcto, sino que también incorpora los principios por los que manejamos nuestro negocio hoy: transparencia, integridad y responsabilidad", dijo el oficial jurídico de Uber, Tony West este miércoles en una publicación de blog. "Seguiremos invirtiendo en protecciones para mantener seguros a nuestros clientes y sus datos, y estamos comprometidos a mantener una relación constructiva y de colaboración con los gobiernos de todo el mundo", agregó.

El acuerdo surge cuando Uber intenta transparentar sus prácticas. En julio, por ejemplo, Uber finalmente contrató a un director de privacidad: Ruby Zefo se convirtió en el principal ejecutivo de Uber enfocado en ello. Matt Olsen también se unió como jefe de confianza y funcionario de seguridad.

Fuente: CNN en español

Curso DFIR: Digital Forensics and Incident Response

https://www.facebook.com/events/188336068728617
ISSA Argentina los invita a la Jornada de entrenamiento sobre DFIR: Digital Forensics and Incident Response - Advanced, que se dictará el próximo día viernes 2 de noviembre de 10 a 17 hs.

Es común enterarse por los medios de ataques de ciberdelincuentes a entornos corporativos. Estos ataques son cada vez más sofisticados y han afectado a todo tipo de instituciones, siendo una tendencia común en la región.

Desde las organizaciones ya no basta con la prevención, debemos asumir que puede producirse el compromiso de parte o toda la infraestructura de nuestra organización.

Estar preparados para reaccionar es un paso fundamental frente a esta nueva realidad.

De esto se encarga el DFIR (Digital Forensics and Incident Response), detectar, analizar, contener y responder frente a un incidente.

Este training no es una solución mágica, puesto que solución va más allá de lo técnico, pero intenta transmitir el mindset necesario para planificar previamente y actuar cuando resulte necesario.

La realización de ejercicios prácticos y aprendizaje de experiencias de hechos ocurridos en la realidad, permite comprender la dinámica de tratamiento, para estar mejor posicionados frente a un posible incidente.

Contenido

  • Definiciones, Metodología y Guías
  • Tácticas reales de respuesta a incidentes
  • Cazando Amenazas a través de OSINT
  • Preparación: herramientas clave, técnicas y procedimientos que un equipo de respuesta a incidentes necesita para responder adecuadamente a las intrusiones
  • Identificación: identificación correcta del alcance de un incidente y detección de todos los sistemas comprometidos
  • Contención/ Análisis: restricción de acceso, monitoreo y aprendizaje sobre el adversario para desarrollar inteligencia sobre la amenaza previamente identificada
  • Recuperación del incidente
  • Más alla del incidente
  • SIEM: Open Source vs Qradar vs Splunk
  • User Behavior Analytics

Practicas

Se trabajaran casos de análisis de malware, accesos indebidos, fuga de información y escalamiento de funciones.
Análisis de memorias, tráfico de red, línea de tiempo, conexiones, entropía, libreria de hash, eventos y registros.

Equipo Necesario

  • Portátil con al menos 8 GB de Ram
  • 20 GB de espacio disponible
  • Software de virtualización: Virtual Box
  • Arquitectura del sistema operativo: 64 bits

Capacitadores

Carlos Loyo, Santiago Friquet y Antonio Maza son analistas y especialistas en seguridad informática, con reconocida trayectoria en el mercado, y amplia experiencia en vulnerability management, análisis forense, y respuesta a incidentes.

Inscripción

El curso apunta a brindar un conocimiento 100% practico sobre la materia a lo largo de sus 6 horas, y tiene un costo de AR $2.000 para el público general, y de AR $500 para miembros activos de ISSA Argentina.

Para anotarse o solicitar mas información, escribir a [email protected]

Mas información en la página de Facebook de ISSA Argentina.

Vulnerabilidad crítica en #libSSH (Parchea YA!)

Libssh es una librería, escrita en C, que permite a cualquier administrador implementar el uso del protocolo SSHv2 en cualquier cliente o servidor fácilmente de manera que podamos transferir archivos o conectarnos de forma remota con total seguridad. La finalidad de SSH es brindarnos seguridad en nuestras conexiones, sin embargo, para que nuestro servidor esté seguro debemos asegurarnos de usar versiones actualizadas para evitar que un fallo de seguridad, como el que acaba de aparecer en libssh, pueda poner en riesgo nuestro servidor.

Hace algunas horas las redes sociales se incendiaban por un nuevo fallo de seguridad descubierto en el conjunto de librerías libssh. Este fallo de seguridad es, probablemente, uno de los más absurdos y peligrosos que hayamos podido ver en una herramienta tan crítica para la seguridad como esta.

Esta vulnerabilidad, registrada como CVE-2018-10933, se puede explotar fácilmente simplemente presentando a un servidor un mensaje "SSH2_MSG_USERAUTH_SUCCESS" en vez de un mensaje "SSH2_MSG_USERAUTH_REQUEST" cuando se intenta iniciar sesión, lo que permite que cualquiera se autentique en el servidor sin necesidad ni siquiera de un usuario o una contraseña.
La única forma de proteger nuestros servidores de esta vulnerabilidad es instalando las últimas versiones de libssh en ellos. Desde hace algunas horas ya están disponibles las actualizaciones 0.8.4 y 0.7.6 de estas librerías, versiones que ya corrigen este grave fallo de seguridad y permite volver a proteger los datos del servidor.

Miles de servidores vulnerables con libssh al alcance de cualquiera con una simple búsqueda en Shodan

Realizando una búsqueda de equipos con el puerto 22 abierto y que utilicen libssh podemos ver cómo, en segundos, podemos encontrar miles de servidores vulnerables, sin actualizar, que fácilmente podrían verse comprometidos por esta vulnerabilidad.

Por ello, es muy importante asegurarnos de instalar la última versión de libssh en nuestro servidor para evitar que este fallo de seguridad pueda poner gravemente en peligro nuestra seguridad. También es recomendable actualizar cuanto antes todas las aplicaciones (clientes) que utilicen estas librerías, para mayor seguridad.

En el caso de Github, aunque utiliza libssh, no está afectado al emplear una versión modificada de la biblioteca. La vulnerabilidad sólo afecta a la parte del servidor, por lo que en principio proyectos como KDE, que utiliza la parte de cliente, no están afectados.

No debe confundirse libssh con OpenSSH, siendo ambos proyectos independientes. No existe riesgo para la mayoría de servidores SSH instalados en máquinas tipo Unix, al emplear estos por defecto una implementación de OpenSSH. Si se utiliza un producto que haga uso de esta biblioteca en el lado del servidor, se urge a actualizar de inmediato debido a la gravedad de la vulnerabilidad.

Fuente: Libssh

Las 10 mejores técnicas de hacking web en el 2017

Hace un par de años que WhiteHat Security no publicaba el top 10 de técnicas de hacking web y ya lo echábamos de menos... ahora gracias a PortSwigger (famosos por Burpsuite) volvemos a tenerlo!

Primero organizaron una votación de entre 37 nominadas, de las cuales 15 fueron votadas por la Comunidad para que, finalmente, un panel de expertos deliberaran y seleccionaran un top 10 de las mejores técnicas de hacking web en 2017 (y también 2016).

Los principales criterios fueron cuán innovadores, generalizados e impactantes eran los técnicas, y por cuánto tiempo seguirán siendo relevantes. Estos son los resultados (del número 10 al 1):

10. Binario de webshell a través de OPcache en PHP 7

En un post de 2016, Ian Bouchard revela una técnica novedosa para bypassear el hardening y obtener con éxito RCE a través de vulnerabilidades de escritura de archivos en sistemas que ejecutan PHP 7.

9. Whitepaper de seguridad de los navegadores de Cure53

En este enorme documento técnico encargado por Google, Cure53 analiza en profundidad la seguridad de Internet Explorer, Edge y Chrome. Los capítulos 3-5 en particular contienen información interesante sobre seguridad web.

8. Codificación de peticiones para eludir WAFs

Soroush Dalili hace algunas cosas curiosas con codificaciones y solicitudes HTTP mal formadas para bypassear numerosos WAF. Desafortunadamente, no está disponible la grabación de la presentación que hizo, pero se puede obtener información a partir de dos posts y las diapositivas actualizadas.

7. Una inmersión profunda en los controles de acceso de AWS S3

Frans Rosén examina el funcionamiento interno de los buckets de S3 desde la perspectiva de un atacante y un defensor. El documento cubre numerosos escollos comunes, incluido el asombroso e hilarante "gotcha" de 'Usuarios Autenticados'.

6. Vulnerabilidades avanzadas en flash

Esta serie de publicaciones de Enguerran Gillier utiliza varias vulnerabilidades en YouTube para introducir e ilustrar varias técnicas avanzadas de explotación de Flash. Ha combinado numerosas técnicas a menudo pasadas por alto con un toque artístico en estas publicaciones sumamente bien explicadas.

5. Cloudbleed

Fue descubierta por accidente por Tavis Ormandy, solo afecta a un proveedor y apenas requiere una explotación activa. Sin embargo, tuvo un gran impacto y dejará a muchas personas atentos a las fugas de la memoria en el futuro inmediato.

Además del informe original, también vale la pena leer el forense de Cloudflare, aunque tened en cuenta que, como Taviso advierte, "minimiza severamente el riesgo para los clientes".

4. Viernes 13 de los ataques JSON

Después del "Apocalipsis" de deserialización de Java en 2016, Alvaro Muñoz y Oleksandr Mirosh realizaron un análisis exhaustivo de numerosas librerías de (des)serialización JSON para Java y .NET, proporcionando un suministro continuo de RCEs para la comunidad. Está disponible tanto una presentación como un whitepaper.

3. Ticket Trick

Ticket Trick es una técnica original de Inti De Ceukelaire que abusa de los "issue trackers" y de los centros de soporte para ingresar en sistemas que confían implícitamente en todas las direcciones de correo electrónico que terminan en un determinado dominio. Es un hermoso ejemplo de cómo sistemas independientes pueden estar completamente seguros de forma aislada pero se desmoronan cuando se combinan, y se espera que esta sea una técnica efectiva en los próximos años.

2. Web Cache Deception

Se han estado envenenando los cachés web con contenido malicioso durante años, pero Omer Gil tomó esta técnica y le dio una vuelta, encontrando una manera de manipular los cachés web para guardar los datos confidenciales de otros usuarios, y demostrándolo con Paypal. Disponible como una presentación y un whitepaper, Web Cache Deception es una técnica poderosa e imaginativa que aún funciona en múltiples caches importantes, y sospecho que proporcionará una plataforma para futuras investigaciones en los próximos años.

1. Una nueva era de SSRF

Una Nueva Era de SSRF por Orange Tsai avanza el estado del arte de la explotación de SSRF con un iceberg de técnicas nuevas para eludir las defensas de SSRF y maximizar el impacto resultante. Descrita como "impactante e innovadora" por Agarri, qué sabe bastante de SSRF, las diapositivas están exprimidas con auténticas proezas que hacen que valga la pena una segunda o tercera lectura. También presenta una de las mejores cadenas de explotación vistas hasta ahora.

Fuente: Portswigger