Encuentra toda la información de tu novia o crush en 75 redes sociales diferentes usando solo 5 comandos, todo en menos de 10 minutos

La recopilación de información es una fase importante en cualquier investigación de ciberseguridad e incluso puede emplearse para elaborar perfiles detallados de una persona empleando los rastros digitales que los usuarios dejan al navegar por Internet. Puede que muchos lo ignoren, pero la mayoría de los sitios web almacenan datos relevantes como identificador de correo electrónico de sus visitantes, y esta información puede ser recopilada con relativa facilidad.

En esta ocasión, los expertos en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo emplear Userrecon, una herramienta dedicada a la recolección de identificadores email en más de 70 plataformas de redes sociales.

Esta herramienta es muy útil para ejecutar una investigación detallada de una persona en específico y es más fácil de usar de lo que parece.

Para las pruebas, usamos Kali Linux 2018.4 amd64

• Abra el terminal y escriba:

git clone https://ift.tt/3fj8vnj

• A continuación, escriba:

cd userrecon && ls

• Escriba:

chmod u + x userrecon.sh

• Posteriormente ingrese el siguiente comando:

./userrecon.sh

• Ingrese el nombre de usuario:

– <username>

root@kali:/home/iicybersecurity/Downloads/userrecon# ./userrecon.sh

                                                   .-""""-.
                                                  /        \
  _   _               ____                       /_        _\
 | | | |___  ___ _ __|  _ \ ___  ___ ___  _ __  // \      / \
 | | | / __|/ _ \ '__| |_) / _ \/ __/ _ \| '_ \ |\__\    /__/|
 | |_| \__ \  __/ |  |  _ <  __/ (_| (_) | | | | \    ||    /
  \___/|___/\___|_|  |_| \_\___|\___\___/|_| |_|  \        /
                   v1.0, Author: @linux_choice     \  __  /
                                                    '.__.'

[?] Input Username: ####s###s####a###@gmail.com

[*] Checking username ####s###s####a###@gmail.com on:
[+] Instagram: Not Found!
[+] Facebook: Not Found!
[+] Twitter: Not Found!
[+] YouTube: Not Found!
[+] Blogger:  Found! https://####s###s####a###@gmail.com.blogspot.com
[+] GooglePlus:  Found! https://plus.google.com/+####s###s####a###@gmail.com/posts
[+] Reddit: Not Found!
[+] WordPress:  Found! https://####s###s####a###@gmail.com.wordpress.com
[+] Pinterest:  Found! https://www.pinterest.com/####s###s####a###@gmail.com
[+] Github: Not Found!
[+] Tumblr:  Found! https://####s###s####a###@gmail.com.tumblr.com
[+] Flickr:  Found! https://www.flickr.com/photos/####s###s####a###@gmail.com
[+] Steam: Not Found!
[+] Vimeo: Not Found!
[+] SoundCloud: Not Found!
[+] Disqus: Not Found!
[+] Medium: Not Found!
[+] DeviantART:  Found! https://####s###s####a###@gmail.com.deviantart.com
[+] VK: Not Found!
[+] About.me: Not Found!
[+] Imgur:  Found! https://imgur.com/user/####s###s####a###@gmail.com
[+] Flipboard:  Found! https://flipboard.com/@####s###s####a###@gmail.com
[+] SlideShare: Not Found!
[+] Fotolog:  Found! https://fotolog.com/####s###s####a###@gmail.com
[+] Spotify: Not Found!
[+] MixCloud:  Found! https://www.mixcloud.com/####s###s####a###@gmail.com
[+] Scribd: Not Found!
[+] Badoo: Not Found!
[+] Patreon:  Found! https://www.patreon.com/####s###s####a###@gmail.com
[+] BitBucket: Not Found!
[+] DailyMotion: Not Found!
[+] Etsy: Not Found!
[+] CashMe: Not Found!
[+] Behance: Not Found!
[+] GoodReads: Not Found!
[+] Instructables:  Found! https://www.instructables.com/member/####s###s####a###@gmail.com
[+] Keybase:  Found! https://keybase.io/####s###s####a###@gmail.com
[+] Kongregate: Not Found!
[+] LiveJournal:  Found! https://####s###s####a###@gmail.com.livejournal.com
[+] AngelList:  Found! https://angel.co/####s###s####a###@gmail.com
[+] last.fm: Not Found!
[+] Dribbble: Not Found!
[+] Codecademy:  Found! https://www.codecademy.com/####s###s####a###@gmail.com
[+] Gravatar: Not Found!
[+] Pastebin:  Found! https://pastebin.com/u/####s###s####a###@gmail.com
[+] Foursquare: Not Found!
[+] Roblox: Not Found!
[+] Gumroad:  Found! https://www.gumroad.com/####s###s####a###@gmail.com
[+] Newgrounds:  Found! https://####s###s####a###@gmail.com.newgrounds.com
[+] Wattpad:  Found! https://www.wattpad.com/user/####s###s####a###@gmail.com
[+] Canva:  Found! https://www.canva.com/####s###s####a###@gmail.com
[+] CreativeMarket:  Found! https://creativemarket.com/####s###s####a###@gmail.com
[+] Trakt:  Found! https://www.trakt.tv/users/####s###s####a###@gmail.com
[+] 500px: Not Found!
[+] Buzzfeed: Not Found!
[+] TripAdvisor: Not Found!
[+] HubPages:  Found! https://####s###s####a###@gmail.com.hubpages.com/
[+] Contently:  Found! https://####s###s####a###@gmail.com.contently.com
[+] Houzz:  Found! https://houzz.com/user/####s###s####a###@gmail.com
[+] blip.fm: Not Found!
[+] Wikipedia: Not Found!
[+] HackerNews:  Found! https://news.ycombinator.com/user?id=####s###s####a###@gmail.com
[+] CodeMentor: Not Found!
[+] ReverbNation: Not Found!
[+] Designspiration: Not Found!
[+] Bandcamp: Not Found!
[+] ColourLovers: Not Found!
[+] IFTTT:  Found! https://www.ifttt.com/p/####s###s####a###@gmail.com
[+] Ebay: Not Found!
[+] Slack:  Found! https://####s###s####a###@gmail.com.slack.com
[+] OkCupid:  Found! https://www.okcupid.com/profile/####s###s####a###@gmail.com
[+] Trip: Not Found!
[+] Ello: Not Found!
[+] Tracky: Not Found!
[+] Tripit:  Found! https://www.tripit.com/people/####s###s####a###@gmail.com#/profile/basic-info
[+] Basecamp:  Found! https://####s###s####a###@gmail.com.basecamphq.com/login
[*] Saved: ####s###s####a###@gmail.com.txt

• Arriba puede ver que Userrecon ha encontrado el mismo nombre de usuario en diferentes plataformas de redes sociales
• Esta herramienta también guarda la información que ha encontrado en un archivo de texto, mencionan los expertos en ciberseguridad
• Escriba cat username.txt

https://####s###s####a###@gmail.com.blogspot.com
https://####s###s####a###@gmail.com.wordpress.com
https://www.pinterest.com/####s###s####a###@gmail.com
https://####s###s####a###@gmail.com.tumblr.com
https://www.flickr.com/photos/####s###s####a###@gmail.com
https://####s###s####a###@gmail.com.deviantart.com
https://imgur.com/user/####s###s####a###@gmail.com
https://flipboard.com/@####s###s####a###@gmail.com
https://fotolog.com/####s###s####a###@gmail.com
https://www.mixcloud.com/####s###s####a###@gmail.com
https://www.patreon.com/####s###s####a###@gmail.com
https://www.instructables.com/member/####s###s####a###@gmail.com
https://keybase.io/####s###s####a###@gmail.com
https://####s###s####a###@gmail.com.livejournal.com
https://angel.co/####s###s####a###@gmail.com
https://www.codecademy.com/####s###s####a###@gmail.com
https://pastebin.com/u/####s###s####a###@gmail.com
https://www.gumroad.com/####s###s####a###@gmail.com
https://####s###s####a###@gmail.com.newgrounds.com
https://www.wattpad.com/user/####s###s####a###@gmail.com
https://www.canva.com/####s###s####a###@gmail.com
https://creativemarket.com/####s###s####a###@gmail.com
https://www.trakt.tv/users/####s###s####a###@gmail.com
https://####s###s####a###@gmail.com.hubpages.com/
https://####s###s####a###@gmail.com.contently.com
https://houzz.com/user/####s###s####a###@gmail.com
https://news.ycombinator.com/user?id=####s###s####a###@gmail.com
https://www.ifttt.com/p/####s###s####a###@gmail.com
https://####s###s####a###@gmail.com.slack.com
https://www.okcupid.com/profile/####s###s####a###@gmail.com
https://www.tripit.com/people/####s###s####a###@gmail.com#/profile/basic-info
https://####s###s####a###@gmail.com.basecamphq.com/login

• También puede utilizar la información anterior para obtener más información o realizar actividades de hacking

Como de costumbre, le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Para conocer más sobre riesgos de ciberseguridad, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Encuentra toda la información de tu novia o crush en 75 redes sociales diferentes usando solo 5 comandos, todo en menos de 10 minutos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Encuentre firewalls y CDN utilizado un sitio web durante el pentesting con VXSCAN

La fase de recopilación de información permite a los especialistas en pentesting prepararse para las próximas fases de investigación, ya que en esta etapa se adquiere una gran cantidad de datos sobre el sistema operativo objetivo. Si bien este es un proceso laborioso, existen múltiples herramientas automatizadas para facilitar la recopilación de información.

En esta ocasión, los expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán un script de Python conocido como Vxscan, una herramienta de escaneo empleada para detectar información confidencial, datos WAF/CDN, escaneo de puertos, información del sistema operativo, contraseñas débiles y otros datos.

Vxscan también intenta encontrar firewall de aplicaciones web (WAF) y Content Delivery Network (CDN). Como recordará, WAF bloquea, filtra y monitorea el tráfico HTTP malicioso y protege nuestros sistemas de los ataques más comunes, mientras CDN es la tecnología responsable de mostrar el contenido web al usuario según la ubicación geográfica, mencionan los expertos en hacking ético.  

• En esta prueba, los expertos en hacking ético emplearon Kali Linux 2018.4 amd64. Antes de continuar, asegúrese de contar con Python3 instalado en Kali Linux. Para ello, solo escriba el siguiente comando:

sudo apt-get update && sudo apt-get install python3

• Luego escriba este comando:

git clone https://ift.tt/2WFFITA

• Escriba cd Vxscan && ls
• Se requieren algunos requisitos previos para la instalación del Vxscan
• Escriba sudo apt-get install python-requests tqdm, pyfiglet, fake-useragent, beautifulsoup4, geoip2, tldextract, python-nmap, lxml, pymongo, virustotal_python
• Algunos programas de dependencias no se encuentran en el repositorio de Kali Linux. Para estos casos, escriba python -m pip install <dependencies>
• Después de instalar todas las dependencias, escriba

wget https://ift.tt/3fhdxRh

• Si el enlace anterior muestra un error. Puede descargar el archivo requerido manualmente y reemplace GeoLite2-City.mmdb desde /home/iicybersecurity/Downloads/Vxscan/db
• Después de reemplazar, escriba pip3 install -r requirements.txt
• Luego escriba python3 Vxscan.py -h
• Para las pruebas usaremos DVWA (Damm Vulnerable Webapplication Tesitng) y https://ift.tt/3a3XRP6
• Escriba python3 Vxscan.py -u testphp.vulnweb.com

root@kali:/home/iicybersecurity/Downloads/Vxscan# python3 Vxscan.py -u https://testphp.vulnweb.com

__     __
\ \   / /_  _____  ___ __ _ _ __
 \ \ / /\ \/ / __|/ __/ _` | '_ \
  \ V /  >  <\__ \ (_| (_| | | | |
   \_/  /_/\_\___/\___\__,_|_| |_|


----------------------------------------------------------------------------------------------------
Host: testphp.vulnweb.com
----------------------------------------------------------------------------------------------------
GeoIP：
 [+] Address: 德国
 [+] Ipaddr: 176.28.50.165
 Webinfo：
 [+] Title: Home of Acunetix Art
 [+] Fingerprint: ['DreamWeaver', 'PHP', 'php', 'Nginx']
 [+] Server: nginx/1.4.1
 [+] WAF: NoWAF
 VT PDNS：
 [+] None
 Reverse IP Domain Check：
 [+] 176.28.50.165
 [+] rs202995.rs.hosteurope.de
 [+] testhtml5.vulnweb.com
 [+] testphp.ingensec.ch
 [+] testphp.ingensec.com
 [+] testphp.ingensec.fr
 [+] testphp.vulnweb.com
 [+] vulnweb.com
 [+] www.vulnweb.com
 PortScan：
 [+] Portspoof:0
 Vuln：
 [+] MySQL SQLi:https://testphp.vulnweb.com/artists.php?artist=2
 [+] MySQL SQLi:https://testphp.vulnweb.com/listproducts.php?cat=1
 [+] MySQL SQLi:https://testphp.vulnweb.com/search.php?test=query
 OS：
 [+] None
 running 31.986 seconds...

• La salida anterior muestra la información básica sobre el sitio web objetivo. Vxscan ha encontrado la dirección IP del sitio web objetivo que se puede usar para verificar qué serie de direcciones IP se asignan al objetivo
• Luego muestra el registro digital básico del sitio web, en el que muestra el lenguaje backend (PHP) en el que el objetivo ha escrito el código del sitio web. Luego muestra el dreamweaver que muestra que el front-end del sitio web se ha construido con Adobe Dreamweaver. Adobe Dreamweaver es un software popular de Adobe que ayuda a crear páginas HTML rápidamente. Como Dreamweaver ofrece una función para arrastrar y soltar, mencionan los expertos en hacking ético
• Vxscan también ha encontrado el servidor (nginix 1.4.1) en el sitio web objetivo
• Vxscan ha realizado una verificación de dominio de IP inversa, donde muestra otras páginas web del sitio web objetivo. El atacante puede usar tales nombres para crear un bloqueo del sitio web objetivo y puede usarlo en ataques de diccionario
• Vxscan también muestra los enlaces vulnerables de vulnweb.com, donde puede usar métodos de inyección SQL u otras herramientas de escaneo para más actividades de hacking
• Para realizar más pruebas, analizaremos DVWA (Damm Vulnerable Webapp Testing)

root@kali:/home/iicybersecurity/Downloads/Vxscan# python3 Vxscan.py -u https://192.168.1.105

__     __
\ \   / /_  _____  ___ __ _ _ __
 \ \ / /\ \/ / __|/ __/ _` | '_ \
  \ V /  >  <\__ \ (_| (_| | | | |
   \_/  /_/\_\___/\___\__,_|_| |_|


----------------------------------------------------------------------------------------------------
Host: testphp.vulnweb.com
----------------------------------------------------------------------------------------------------
GeoIP：
 [+] Address: None
 [+] Ipaddr: 192.168.1.105
 Webinfo：
 [+] Title: Damn Vulnerable Web App (DVWA) - Login
 [+] Fingerprint: ['UNIX', 'mod_dav', 'mod_ssl', 'Apache', 'mod_perl', 'Perl', 'PHP', 'OpenSSL']
 [+] Server: Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1
 [+] WAF: NoWAF
 VT PDNS：
 [+] None
 Reverse IP Domain Check：
 [+] error check your search parameter
 PortScan：
 [+] ftp:21
 [+] HTTPS:443
 [+] https:80
 [+] mysql:3306
 [+] ssh:22
 Vuln：
 [+] https://192.168.1.105 | Damn Vulnerable Web App (DVWA) - Login
 [+] https://192.168.1.105 | Damn Vulnerable Web App (DVWA) - Login
 OS：
 [+] Linux 2.6.17 - 2.6.36
 running 7.737 seconds…

• La salida anterior muestra la dirección IP de destino, webinfo. También muestra la verificación y la vulnerabilidad del dominio IP inverso en dos páginas web.
• Ahora analizaremos otro sitio web. Ahora escanearemos hack.me

root@kali:/home/iicybersecurity/Downloads/Vxscan# python3 Vxscan.py -u hack.me
__     __
\ \   / /_  _____  ___ __ _ _ __
 \ \ / /\ \/ / __|/ __/ _` | '_ \
  \ V /  >  <\__ \ (_| (_| | | | |
   \_/  /_/\_\___/\___\__,_|_| |_|

----------------------------------------------------------------------------------------------------
Host: hack.me
----------------------------------------------------------------------------------------------------
GeoIP：
 [+] Address: 美国 佛罗里达州 坦帕
 [+] Ipaddr: 74.50.111.244
 Webinfo：
 [+] Title: Hack.me · The house of rising sandbox
 [+] Fingerprint: ['animate.css', 'Bootstrap', 'IIS', 'Font Awesome', 'Windows Server', 'jQuery', 'jQuery Migrate']
 [+] Server: Microsoft-IIS/7.5
 [+] WAF: NoWAF
 VT PDNS：
 [+] None
 Reverse IP Domain Check：
 [+] API count exceeded - Increase Quota with Membership
 PortScan：
 [+] Portspoof:0
 Vuln：
 [+] Leaks: username = username
 [+] Leaks: token = document
 [+] Leaks: username = document
 [+] Leaks: password = password
 [+] Leaks: password = document
 [+] Leaks: token = security
 OS：
 [+] None
 running 90.759 seconds…

Como de costumbre le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pueda darse a esta información. Para conocer más sobre riesgos de seguridad informática, hacking ético, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Encuentre firewalls y CDN utilizado un sitio web durante el pentesting con VXSCAN apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Este código de explotación para una vulnerabilidad crítica en el kernel Linux eBPF permite ataques de escalada de privilegios en máquinas Ubuntu

El especialista en ciberseguridad Manfred Paul reveló los detalles del código para la explotación de una vulnerabilidad crítica en el kernel eBPF de Linux en dispositivos Ubuntu. Identificada como CVE-2021-3490, esta es una vulnerabilidad crítica de escalada de privilegios que los actores de amenazas locales podrían explotar con relativa facilidad.

Como algunos usuarios recordarán, Extended Berkeley Packet Filter (eBPF) es una tecnología del kernel de Linux que permite la ejecución de programas sin tener que cambiar el código fuente del kernel o agregar módulos adicionales. En otras palabras, esta es una máquina virtual liviana dentro del kernel Linux en la que los programadores pueden ejecutar código de bytes BPF para aprovechar recursos específicos del kernel.

So excited to finally release my blog post- Kernel Pwning with eBPF: a Love Story. I cover eBPF, the verifier, debugging, exploitation, mitigations and other cool findings! I do root cause analysis and exploit CVE-2021-3490 for LPE with PoC included. https://t.co/pWt1psHEFa

— chompie (@chompie1337) July 29, 2021

La falla fue reportada a los desarrolladores a través de The Zero Day Initiative (ZDI); el reporte incluye una demostración de cómo los programas proporcionados por el usuario no son validados correctamente antes de su ejecución. Por otra parte, la investigadora de seguridad Valentina Palmiotti publicó un informe con los detalles técnicos de esta vulnerabilidad, además del código de explotación para las versiones 20.10 y 21.04 de Ubuntu.

just like magic 👏🏼https://t.co/rzIdXZJcCt

— chompie (@chompie1337) July 29, 2021

Palmiotti demostró cómo abusar de esta falla para desencadenar una condición de denegación de servicios (DoS) y un ataque de escalada de privilegios. Más detalles técnicos están disponibles en las fuentes originales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Este código de explotación para una vulnerabilidad crítica en el kernel Linux eBPF permite ataques de escalada de privilegios en máquinas Ubuntu apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad día cero de ejecución remota de código en Microsoft 3D Viewer para Windows 10. No hay parche disponible, así que no abra ningún archivo

Especialistas en ciberseguridad reportan el hallazgo de una peligrosa vulnerabilidad en Microsoft 3D Viewer, una herramienta de visualización de objetos 3D y realidad aumentada lanzada por primera vez en Windows 10 1703. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas ejecutar código arbitrario en las implementaciones afectadas.

La vulnerabilidad requiere de la interacción de los usuarios para ser explotada exitosamente, engañando a los usuarios afectados para visitar sitios web maliciosos o descargar archivos infestados de malware.

Al parecer, la falla reside específicamente en el análisis de archivos 3MF y es resultado de la ausencia de verificación para la existencia de objetos antes de realizar operaciones. Los actores de amenazas pueden explotar la falla para la ejecución de código en el contexto del proceso actual con baja integridad. Este error fue notificado a Microsoft a través de The Zero Day Initiative (ZDI) por el especialista en ciberseguridad Mat Powell.

El reporte fue enviado por ZDI a Microsoft junto con una solicitud para publicar esta falla como una vulnerabilidad día cero. Si bien la compañía recibió el informe e indicó que no cumplía con las características establecidas para su análisis como una falla día cero, se acordó realizar una revisión detallada.

Hasta el momento no hay parches de seguridad disponibles, así que dada la naturaleza de la vulnerabilidad, los especialistas aseguran que la única forma de mitigar el riesgo de explotación es restringiendo cualquier interacción con la aplicación afectada, al menos hasta el lanzamiento de los parches de seguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad día cero de ejecución remota de código en Microsoft 3D Viewer para Windows 10. No hay parche disponible, así que no abra ningún archivo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad crítica en Moodle, plataforma de aprendizaje electrónico de código abierto empleada por 190 mil organizaciones en 246 países

Especialistas en ciberseguridad encontraron una vulnerabilidad crítica en Moodle, una popular plataforma de aprendizaje en línea. Acorde al reporte, la explotación exitosa de esta falla permitiría el acceso a la información de los estudiantes y los resultados de sus exámenes. Actualmente Moodle es empleado por más de 190 mil organizaciones en todo el mundo, incluyendo empresas e instituciones educativas como universidades o colegios.

La falla fue descrita como un error de inyección de objetos PHP en el módulo de autenticación Shibboleth, que permitiría a los actores de amenazas no autenticados ejecutar ataques de ejecución remota de código (RCE). Esta condición también permitiría a los hackers acceder a cualquier información resguardada en el servidor comprometido, incluyendo datos personales.

La falla fue reportada por Robin Peraglie y Johannes Moritz, especialistas en pentesting que anteriormente habían encontrado otras fallas en Moodle. Moritz menciona que la falla solamente reside en el servidor Moodle LMS, que cuenta con la autenticación Shibboleth habilitada; este módulo está inhabilitado por defecto, por lo que su habilitación puede representar serios inconvenientes para las organizaciones que usan Moodle, ya que puede verse expuesto a la ejecución de código arbitrario.

“Tal ataque resultaría en un compromiso total del servidor, además de exponer la filtración de datos de los usuarios. Un usuario malicioso también podría abusar de estas característica para obtener acceso de lectura/escritura a sus propios exámenes”, agrega Moritz. El investigador agrega que esta es una falla relativamente fácil de explotar, ya que existe en Internet una amplia disponibilidad de información sobre sitios web con Shibboleth habilitado.

Después de informar el problema y luego de un largo proceso de divulgación, la falla fue finalmente abordada. Este proceso requirió cuatro meses de evaluación y fallas, por lo que Moritz cree que esta falla no se trató con la prioridad requerida. Finalmente el investigador reveló la detección de una segunda falla crítica en el proceso de pre autenticación de Moodle. Esta falla ya ha sido corregida, aunque la información relacionada con este error será publicada cuando la compañía lo considere seguro.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Vulnerabilidad crítica en Moodle, plataforma de aprendizaje electrónico de código abierto empleada por 190 mil organizaciones en 246 países apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

No pague a los hackers del ransomware Babuk; su descifrador no funciona y los hackers no pueden hacer nada al respecto

Un reporte de seguridad de McAfee señala que los operadores del ransomware Babuk han estado implementando algunos nuevos mecanismos de ataque para infectar sistemas Linux, UNIX y VMware, lo que permitiría el compromiso de organizaciones de alto perfil que recurren a estos sistemas. Una característica llamativa de estas nuevas prácticas es el uso del lenguaje multiplataforma Golang para la escritura de binarios.

Esto podría traer consecuencias desastrosas, ya que los investigadores reportan el hallazgo de algunos sistemas infectados por Babuk que simplemente no pueden ser restablecidos debido al uso de un binario defectuoso o una herramienta de descifrado poco funcional.

Los investigadores Thibault Seret y Noël Keijzer mencionan: “Las víctimas podrían ceder a las exigencias de los hackers y aún así no poder recuperar sus archivos. Esto cambia la dinámica de la extorsión a la destrucción total de los archivos afectados, lo cual creemos no forma parte del plan de los hackers pues impacta directamente en sus ganancias.”

Un ataque convencional de Babuk involucra tres diferentes fases: acceso inicial, propagación en la red afectada y ataque contra el objetivo; esta última fase implica la instalación de un backdoor Cobalt Strike que completa las acciones maliciosas. No obstante, el binario empleado por los actores de amenazas para sistemas Windows está mal implementado e incluye múltiples defectos de diseño que podrían resultar en la corrupción irreversible de los datos comprometidos.

Otro cambio importante en Babuk se presentó hace unas semanas después del infructuoso ataque contra el Departamento de Policía de E.U. Este fracaso llevó a los hackers de Babuk a cambiar su metodología, anunciando que dejarían de cifrar sistemas para centrarse en la extracción de información confidencial, además de prometer que el ransomware empleado en sus ataques se convertiría en un proyecto de código abierto.

Estas podrían parecer buenas noticias para los usuarios afectados, aunque en algunos casos el daño ya está hecho. Los archivos cifrados de número considerable de víctimas ya no podrán ser recuperados debido a la implementación errónea del cifrado y el deficiente desarrollo de la herramienta de descifrado. Los investigadores creen altamente probable que los desarrolladores de Babuk se hayan dado cuenta de este fenómeno, por lo que decidieron modificar sus operaciones.

El último incidente de hacking vinculado a Babuk conocido es la filtración de del código fuente del videojuego Cyberpunk 2077. Después de ello, el grupo de hacking ha permanecido inactivo, probablemente debido a la transición a su nuevo esquema criminal.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo No pague a los hackers del ransomware Babuk; su descifrador no funciona y los hackers no pueden hacer nada al respecto apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Estas mujeres hackearon bancos a través de sus cajeros automáticos y robaron millones

Una de las características que más ha evolucionado en el mundo del cibercrimen es la capacidad de los hackers para comprometer los sistemas bancarios y estropear la seguridad de los cajeros automáticos para extraer todo el dinero, actividad que actualmente puede pasar desapercibida de no ser porque los equipos de seguridad bancarios se han visto obligados a realizar grandes avances también.

Ejemplo de este avance es el trabajo del Grupo de Operaciones Especiales de Rajasthan (SOG), que recientemente anunció el arresto de dos mujeres nacidas en Uganda y Gambia acusadas de hackear los servidores del banco de Baroda empleando un dispositivo Raspberry Pi. Empleando esta técnica, las acusadas lograron robar más de 3 millones de rupias, equivalentes a casi $50,000 USD.

En colaboración con la policía cibernética, el SOG logró arrestar a Laura Keith y Nan Tongo Alexander, quienes serán procesadas por las autoridades indias.

Después de llegar a Delhi desde el extranjero, ambas mujeres emplearon el dispositivo mencionado para comprometer los sistemas informáticos en los cajeros automáticos con el fin de extraer dinero, operación que repitieron en diversas ubicaciones en India.

Al parecer, los servidores afectados fueron comprometidos con relativa facilidad debido a la presencia de una vulnerabilidad. Las acusadas trataban de pasar desapercibidas en sus ataques, moviéndose continuamente entre diferentes estados en India e incluso usando ropa nueva, lentes oscuros o sombreros.    

Las acusadas colocaban el dispositivo Raspberry Pi en el cajero para enviar comandos arbitrarios, logrando extraer dinero del servidor local sin necesidad de usar una tarjeta, lo que también requirió una extensa investigación de las acusadas y cualquier posible cómplice. Ambas mujeres fueron arrestadas durante uno de sus atracos y ya están a la espera de conocer sus sentencias.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Estas mujeres hackearon bancos a través de sus cajeros automáticos y robaron millones apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad importante en Microsoft Hyper-V permite tomar control de las máquinas virtuales

Se han publicado los detalles técnicos sobre una vulnerabilidad que reside en Hyper-V, el hipervisor nativo de Microsoft para la creación de máquinas virtuales en sistemas Windows y el entorno Azure. Identificada como CVE-2021-28476, la falla recibió un puntaje de 9.9/10 según el Common Vulnerability Scoring System (CVSS) y su explotación podría resultar crítica para los sistemas sin actualizar.

La falla reside en el switch de red de Hyper-V e impacta en las implementaciones Windows 10 y Windows Server 2012-2019. Al parecer la vulnerabilidad se introdujo con el lanzamiento de una compilación de código lanzada en agosto de 2019 y fue corregida en mayo de este año.

Aunque hasta hace poco se desconocían los principales detalles sobre esta falla, la investigación de un grupo de expertos reveló detalles de la detección de la vulnerabilidad y el riesgo de explotación. Este reporte fue presentado a Microsoft.

Los expertos aseguran que la vulnerabilidad existe debido a que el switch virtual no valida adecuadamente el valor de una solicitud OID dirigida a un adaptador de red. Las solicitudes OID pueden incluir la descarga de hardware, IPsec y solicitudes de virtualización I/O de raíz única.

Los actores de amenazas tratando de explota esta vulnerabilidad deben tener acceso a una máquina virtual invitada y enviar un paquete especialmente diseñado al host de Hyper-V. Como resultado, puede presentarse el bloqueo del host y la finalización de todas las máquinas virtuales que se ejecuten sobre él, además de la ejecución remota de código en el host.

Si bien el servicio Azure no se ha visto afectado, es probable que algunas implementaciones locales de Hyper-V permanezcan expuestas, ya que no todos los administradores actualizan las máquinas Windows según el lanzamiento de los parches de Microsoft. Ejemplo de estos riesgos de seguridad es la vulnerabilidad identificada como EternalBlue, corregida en abril de 2017 pero de la que se siguen viendo casos de explotación.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad importante en Microsoft Hyper-V permite tomar control de las máquinas virtuales apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

9 vulnerabilidades críticas en PeopleSoft Enterprise PeopleTools

Especialistas en ciberseguridad reportan la detección de al menos vulnerabilidades en PeopleSoft Enterprise PeopleTools un conjunto de herramientas de desarrollo integral que admite el desarrollo y el tiempo de ejecución de aplicaciones desarrollado por la firma tecnológica Oracle. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas interceptar información confidencial y desplegar otras variantes de ataque.

A continuación se presentan breves descripciones de las vulnerabilidades reportadas. También se presentan las claves de identificación de estas fallas y sus puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2020-8908: Los permisos incorrectos para archivos ubicados en el directorio temporal establecido por Guava com.google.common.io.Files.createTempDir() permitirían a los usuarios locales con acceso al sistema ver o modificar el contenido de archivos y directorios.

La falla recibió un puntaje de 3.9/10 y permitiría a los actores de amenazas escalar privilegios en los sistemas afectados.

CVE-2021-2377: La validación de entrada incorrecta dentro del componente SQR en PeopleSoft Enterprise PeopleTools permitiría a los usuarios autenticados remotos explotar la falla para acceder a información confidencial.

Esta vulnerabilidad recibió un puntaje CVSS de 3.8/10.

CVE-2021-2407: La validación de entrada incorrecta dentro del componente Portal en PeopleSoft Enterprise PeopleTools permitiría a los atacantes remotos no autenticados aprovechar esta vulnerabilidad para obtener acceso a información confidencial.

La falla recibió un puntaje CVSS de 4.6/10.

CVE-2021-21290: El uso inseguro de archivos temporales en el método AbstractDiskHttpData en Netty permitiría a los usuarios locales ver el archivo temporal de la aplicación y obtener acceso a datos potencialmente confidenciales.

Esta vulnerabilidad recibió un puntaje CVSS de 2.9/10 y permite a los actores de amenazas acceder a información confidencial de forma indebida.

CVE-2020-7017: La desinfección insuficiente de los datos proporcionados por el usuario en las visualizaciones de mapas de la región permite a los actores de amenazas no autenticados de forma remota inyectar y ejecutar código HTML y scripts arbitrarios en el navegador del usuario afectado.

La falla recibió un puntaje de 5.6/10 y su explotación exitosa permitiría a los actores de amenazas robar información potencialmente confidencial, cambiar la apariencia de la página web e incluso realizar ataques de phishing.

CVE-2021-3450: Un error en la implementación del indicador X509_V_FLAG_X509_STRICT permite a los atacantes sobrescribir un certificado de CA válido utilizando cualquier certificado que no sea de CA en la cadena, lo que resultaría en un ataque Man-in-The-Middle (MiTM).

La falla recibió un puntaje CVSS de 5.7/10.

CVE-2021-22884: La lista blanca de la aplicación afectada incluye el nombre “localhost6”. Cuando este término no está presente en /etc/hosts, se trata como un dominio ordinario que se resuelve a través de DNS, es decir, a través de la red. Si los hackers controlan el servidor DNS de la víctima o falsifican sus respuestas, la protección de reenlace de DNS se puede omitir utilizando el dominio “localhost6”.

La falla recibió un puntaje de 5.7/10.

CVE-2021-27568: La validación de entrada incorrecta dentro del componente Servicios REST (netplex json-smart-v1) en PeopleSoft Enterprise PeopleTools permitiría a los hackers remotos no autenticados aprovechar esta vulnerabilidad para leer datos o bloquear la aplicación afectada.

Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.9/10.

CVE-2019-17195: Esta vulnerabilidad existe debido a que Nimbus JOSE+JWT arroja varias excepciones no detectadas al analizar un JWT. Los hackers remotos pueden enviar tokens JWT especialmente diseñados y forzar un bloqueo de la aplicación afectada.

La vulnerabilidad recibió un puntaje CVSS de 6.4/10.

Este conjunto de vulnerabilidades fue detectado en las siguientes versiones de PeopleSoft Enterprise PeopleTools: v8.58 8.59 y 8v.59.

Las fallas pueden ser explotadas por actores de amenazas no autenticados; la mayoría de los ataques requieren que los atacantes engañen a las víctimas para que visiten un sitio web especialmente diseñados o abran archivos maliciosos recibidos por email. Hasta el momento no se han detectado incidentes de explotación activa o la existencia de una variante de malware vinculada al ataque.

Los parches de seguridad para abordar estas fallas ya están disponibles, por lo que los usuarios de implementaciones afectadas deben actualizar a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 9 vulnerabilidades críticas en PeopleSoft Enterprise PeopleTools apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

4 vulnerabilidades críticas en Hyperion Infrastructure Technolgy

Especialistas en ciberseguridad reportan la detección de cuatro vulnerabilidades críticas en Hyperion Infrastructure Technology, una solución centralizada para la planificación financiera y operativa en entornos empresariales desarrollada por la firma tecnológica Oracle. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas acceder a información confidencial y desplegar múltiples variantes de ataque.

A continuación se presentan breves descripciones de las vulnerabilidades reportadas. También se presentan las claves de identificación de estas fallas y sus puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2019-2729: La validación insegura de entrada al procesar datos serializados dentro de la clase XMLDecoder permitiría a los actores de amenazas remotos no autenticados pasar datos especialmente diseñados a la aplicación afectada y ejecutar código arbitrario.

Esta es una falla considerada como crítica y recibió un puntaje CVSS de 9.4/10. Es importante mencionar que esta vulnerabilidad ya ha sido explotada en escenarios reales para comprometer por completo los sistemas afectados.

CVE-2021-2347: La validación inadecuada de entradas dentro del componente de administración del ciclo de vida en Hyperion permitiría a los usuarios remotos privilegiados manipular la información ingresada al sistema.

Esta es una falla de severidad media y recibió un puntaje CVSS de 4.5/10.

CVE-2021-2445: La validación de entrada incorrecta dentro del componente de administración del ciclo de vida en Hyperion permitiría a los usuarios remotos con altos privilegios manipular información relevante en el sistema.

La vulnerabilidad recibió un puntaje CVSS de 5/10.

CVE-2017-14735: La desinfección insuficiente de los datos proporcionados por el usuario permite a los atacantes remotos engañar a la víctima para abrir un enlace especialmente diseñado que ejecutará código HTML en el contexto de un sitio web vulnerable.

La falla recibió un puntaje de 5.3/10 y su explotación exitosa permitiría a los actores de amenazas desplegar ataques de scripts entre sitios (XSS).

Todas estas fallas residen en las siguientes versiones de Hyperion Infrastructure Technology: v11.1.2.4 y v11.2.5.0.

Como se menciona anteriormente, estas vulnerabilidades podrían ser o han sido explotadas por actores de amenazas remotos a través de Internet, por lo que es imperativo que los administradores de implementaciones afectadas actualicen a una versión segura lo antes posible.

Los parches de seguridad para abordar estas vulnerabilidades ya han sido emitidos por Oracle y están disponibles a través de sus plataformas oficiales. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 4 vulnerabilidades críticas en Hyperion Infrastructure Technolgy apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Contratistas de defensa de E.U. fueron engañados por “bellas instructoras de aeróbics” que hackearon sus cuentas de email

Un grupo de hacking con sede en Irán ha pasado alrededor de un año y medio operando una campaña de hacking en la que se hacen pasar por instructores de aeróbics con el fin de espiar e infectar con malware a empleados y contratistas de defensa y agencias aeroespaciales tratando de robar información confidencial.

Acorde a los especialistas de Proofpoint, los operadores de esta campaña crearon un perfil falso supuestamente controlado por la instructora de aeróbics “Marcella Flores”, usando plataformas como Facebook, Instagram y servidores email para engañar a los usuarios afectados. Los atacantes usan estos falsos perfiles para engañar a los usuarios y distribuir malware con relativa facilidad.

Los expertos han atribuido esta campaña al grupo de hacking identificado como TA456 o Tortoiseshell, grupo de hacking auspiciado por el gobierno de Irán y muy cercano a Islamic Revolutionary Guard Corps (IRGC).

En los perfiles de redes sociales creados por los actores de amenazas, se anuncia a Marcella Flores como una experta instructora de aeróbics que reside en la ciudad inglesa de Liverpool y cuenta con una larga lista de supuestos amigos, contactos profesionales y clientes. Los hackers usan los perfiles de Marcella Flores para buscar a personas de interés en estas plataformas, ofreciendo sus supuestos servicios como entrenadora personal, solicitando responder a una encuesta de alimentación e incluso coqueteando con los usuarios afectados.

Después de ganar la confianza de los usuarios afectados, los atacantes usan una cuenta de Gmail personal para enviar un enlace de OneDrive donde supuestamente se alojan documentos personales; en realidad, esta plataforma aloja un archivo cargado con una nueva versión del malware Lideric, también conocido como Lempo. Este malware genera persistencia en los sistemas Windows para después comenzar a buscar y robar información confidencial como nombres de usuario y credenciales de acceso, las cuales son enviadas a un servidor controlado por los hackers.

La información comprometida permitiría a los actores de amenazas obtener acceso remoto a plataformas VPN y de administración remota, lo que podría permitir el despliegue de ambiciosas campañas de espionaje cibernético y sofisticados ataques de phishing. Después de recibir un reporte al respecto, Facebook eliminó los perfiles de Marcella Flores en sus diversas plataformas, además de publicar una alerta de seguridad relacionada con esta campaña de hacking.

Esta es una muestra clara de la sofisticación con la que los actores de amenazas pueden operar, creando una infraestructura integral para el despliegue de ambiciosas campañas de ingeniería social y phishing. Los usuarios deben tratar de evitar hacer contacto con una cuenta desconocida en redes sociales, especialmente si se trata de empleados o personal directivo en compañías contratistas gubernamentales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Contratistas de defensa de E.U. fueron engañados por “bellas instructoras de aeróbics” que hackearon sus cuentas de email apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Praying Mantis, el grupo de hacking que infecta con malware los servidores Windows IIS

Expertos en ciberseguridad reportan la detección de un nuevo grupo cibercriminal desplegando severos ataques contra servidores web Microsoft IIS empleando exploits en aplicaciones ASP.NET con la finalidad de instalar un backdoor y acceder a las redes internas de las organizaciones afectadas. Este grupo ha sido apodado como Praying Mantis y es seguido de cerca por los investigadores de la firma de seguridad Sygnia.

Los investigadores mencionan que estos ataques se dirigen a organizaciones prominentes y comprometieron sus redes al explotar servidores conectados a Internet”. Para estos ataques, Praying Mantis se basó en exploits conocidos que les permitieron generar persistencia en los servidores IIS que ejecutaban aplicaciones ASP.NET obsoletas.

En los ataques de este grupo pueden observarse dos etapas principales: el primer paso consiste en la entrega del malware NodeIISWeb, diseñado para implantar un backdoor en el servidor IIS objetivo. Este malware también contiene una funcionalidad para interceptar y manejar las solicitudes HTTP recibidas por el servidor; en una segunda etapa los hackers comienzan a propagarse a través de la red objetivo empleando varios módulos post-exploit.

Los expertos también mencionan que los ataques de Praying Mantis se basan en cuatro exploits para servidores IIS y aplicaciones web de Windows:

• Exploit RCE de Checkbox Survey (CVE-2021-27852)
• VIEWSTATE Exploit de deserialización
• Dos exploits dirigidos a Telerik-UI para el componente ASP.NET AJAX (CVE-2019-18935, CVE-2017-11317)

Sygnia agrega que el modo de operación de Praying Mantis sugiere que se trata de actores de amenazas experimentados y muy conscientes de las capacidades de detección anti malware en los sistemas afectados.

Los expertos también mencionan que las técnicas y procedimientos de estos hackers son muy similares a los detectados en una campaña de hacking contra organizaciones públicas y privadas en Australia, presuntamente desplegada por actores de amenazas chinos. Esta actividad maliciosa también podría ser atribuida al grupo de hacking identificado como Blue Mockingbird, reconocido por sus complejos esquemas de cryptojacking.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Praying Mantis, el grupo de hacking que infecta con malware los servidores Windows IIS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

4 vulnerabilidades críticas de inyección de código en Red Hat Virtualization Manager. Actualice de inmediato

Especialistas en ciberseguridad reportan el hallazgo de múltiples vulnerabilidades en Red Hat Virtualization Manager, una herramienta de virtualización con soporte para múltiples funcionalidades. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar ataques de denegación de servicio (DoS) e incluso ejecutar comandos remotos en los sistemas afectados.

A continuación se muestran breves reportes de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2020-7733: El paquete ua-parser-js anterior a 0.7.22 es vulnerable a ataques DoS a través de la expresión regular para Redmi Phones y Mi Pad Tablets UA.

Esta es una falla de severidad media y recibió un puntaje CVSS de 6.4/10.

CVE-2020-28469: El manejo incorrecto de la entrada proporcionada por el usuario en expresiones regulares permitiría a los atacantes remotos pasar una entrada especialmente diseñada a la aplicación y realizar un ataque DoS.

La falla recibió un puntaje CVSS de 4.6/10.

CVE-2021-23343: La inadecuada validación de entradas en las expresiones regulares splitDeviceRe, splitTailRe y splitPathRe permitiría a los atacantes remotos pasar datos especialmente diseñados a la aplicación y realizar un ataque DoS.

Esta vulnerabilidad recibió un puntaje CVSS de 4.6/10.

CVE-2021-23358: La inadecuada validación de entrada en la aplicación afectada permitiría a los atacantes remotos enviar solicitudes especialmente diseñadas a la aplicación objetivo y ejecutar código arbitrario.

La falla recibió un puntaje de 8.5/10 y su explotación exitosa representaría el compromiso total del sistema afectado.

Estas vulnerabilidades fueron detectadas en las siguientes versiones y paquetes de la herramienta afectada:

• Red Hat Virtualization Manager: 4.4
• rhvm-branding-rhv (paquete de Red Hat): 4.4.7-1.el8ev
• rhv-log-collector-analyzer (paquete de Red Hat): 1.0.6-1.el8ev
• ovirt-web-ui (paquete de Red Hat): 1.6.6-1.el8ev
• ovirt-engine-dwh (paquete de Red Hat): 4.4.4.2-1.el8ev
• ovirt-engine (paquete de Red Hat): 4.4.4.5-0.10.el8ev
• ovirt-engine-ui-extensions (paquete de Red Hat): anteriores a 1.2.7-1.el8ev
• ovirt-engine-extension-aaa-ldap (paquete de Red Hat): anteriores a 1.4.4-1.el8ev

Si bien las fallas pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación en escenarios reales. Las actualizaciones para abordar estos problemas ya están disponibles, por lo que se recomienda a los usuarios de versiones vulnerables corregir a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 4 vulnerabilidades críticas de inyección de código en Red Hat Virtualization Manager. Actualice de inmediato apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Ciberataque interrumpe las operaciones de Transnet, importante compañía ferroviaria y de oleoductos

Después de múltiples reportes y rumores, Transnet Port Terminals (TPT) confirmó un ciberataque que afectó toda su infraestructura informática. Como algunos recordarán, Transnet Group es la compañía operadora de puertos estatales en Sudáfrica, operando como un monopolio estatal.

La compañía está tratando de minimizar el incidente y restarle importancia, describiéndolo como un simple incidente de interrupción en algunos sistemas. No obstante, una carta dirigida a los clientes de la compañía describe este ataque como “un ciberataque con fines de intrusión y sabotaje.”

Al respecto, la compañía estatal emitió una declaratoria de emergencia titulada como “Declaración de fuerza mayor para las terminales de contenedores de Transnet Port Terminals en los puertos de Durban, Ngqura, Port Elizabeth y Ciudad del Cabo: aviso confidencial para los clientes”. Esta alerta fue firmada por el director ejecutivo de TPT, Velile Dube.

Una copia filtrada de este documento parece confirmar que la compañía ha sufrido un severo golpe para sus operaciones, ya que TPT es la principal división de Transnet Group. TPT opera las instalaciones de entrega de contenedores en Durban, el puerto de contenedores más importante del continente africano, así como las terminales de contenedores en Ciudad del Cabo y los puertos de Ngqura y Port Elizabeth en el Cabo Oriental.

La mañana de este lunes se confirmó que Transnet estaba cumpliendo con su sexto día de interrupciones. Al parecer, los responsables de sistemas TI en la compañía estaban tratando de mantener las operaciones en línea de forma manual, aunque eventualmente estos esfuerzos se volvieron insostenibles.

Esta mañana, un representante de Transnet publicó un nuevo comunicado mencionando que la compañía ha avanzado significativamente en la restauración de los sistemas afectados: “Se espera que algunas aplicaciones sigan presentando algunas fallas en los próximos días. Todos los sistemas afectados se recuperarán de forma escalonada para minimizar potenciales fallas o nuevas interrupciones.”

Hasta el momento se desconoce qué clase de incidente de ciberseguridad fue detectado en Transnet. Inicialmente se pensaba que esto podía estar vinculado a un ataque de ransomware, aunque no se conoce de evidencia para confirmar o negar esta hipótesis.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Ciberataque interrumpe las operaciones de Transnet, importante compañía ferroviaria y de oleoductos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Agencias chinas están espiando organizaciones en todo el mundo a través de un backdoor en una popular herramienta de encuestas

Un reciente informe asegura que la vulnerabilidad afectando a Checkbox Survey, una herramienta ASP.NET para agregar a los sitios web la funcionalidad de encuestas, fue explotada por un grupo de hacking auspiciado por el gobierno de China en una campaña contra organizaciones públicas y privadas en E.U. El informe, preparado por la firma de seguridad Sygnia, no menciona expresamente al gobierno chino, aunque señala que las tácticas y procedimientos empleados en esta campaña han sido atribuidos anteriormente a actores en el gigante asiático.

La vulnerabilidad en cuestión fue identificada como CVE-2021-27852 y es descrita como una falla de ejecución de código debido a la deserialización que impacta en la versión 6 de Checkbox Survey.  La falla puede ser explotada de forma remota por actores de amenazas no autenticados. La versión 7 de la herramienta es completamente segura, aunque los usuarios deben considerar que las versiones anteriores no recibirán actualizaciones.

Checkbox Survey menciona que sus soluciones son empleadas por compañías en todo el mundo, incluyendo organizaciones gubernamentales como la NASA, la OTAN, las fuerzas armadas de E.U., el Departamento de Estado e incluso la Comisión Reguladora Nuclear.

Como se menciona al inicio, Sygnia encontró múltiples vínculos entre esta campaña y un ataque a la industria privada y organizaciones gubernamentales en Australia detectado en 2020. Al inicio no se tenían sospechas sobre los responsables del ataque, aunque esto cambió con las investigaciones posteriores.

Sygnia ha encontrado similitudes entre el malware utilizado en los ataques de Australia y esta reciente campaña contra Checkbox Survey. No obstante, los expertos mencionan que el incidente en Australia tuvo un mayor alcance y consta de otras tácticas y procedimientos.

Los investigadores identificaron a los atacantes como TG1021 o Praying Mantis, señalando que este es un grupo con avanzadas capacidades y que emplea exploits de deserialización dirigidos contra los servidores IIS de Windows vulnerables. El malware empleado por estos hackers contiene herramientas personalizadas diseñadas específicamente para servidores IIS, además de un backdoor y múltiples módulos post-exploit para el despliegue de múltiples tareas de hacking.

Los expertos de Sygnia describieron este malware como un “desarrollo volátil” que debe ser cargado en la memoria del dispositivo comprometido en un esfuerzo para tratar de eliminar sus rastros. La campaña de explotación contra Checkbox Survey sigue activa, por lo que se recomienda a los usuarios afectados actualizar a la versión segura de esta herramienta a fin de mitigar el riesgo de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Agencias chinas están espiando organizaciones en todo el mundo a través de un backdoor en una popular herramienta de encuestas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo redirigir fácilmente el tráfico web con Tor

Tor es seguramente el navegador web no convencional más famoso, proporcionando una experiencia mejorada de anonimato y privacidad en Internet. Si bien esta herramienta es empleada con fines legítimos, muchos grupos criminales y de hacking también recurren a Tor para el despliegue de malware, venta de información robada y otros delitos.

En esta ocasión, los investigadores en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo redirigir su tráfico web usando proxies Tor. Para ello, usaremos TOR-Router, un proyecto disponible en GitHub. Empleando esta herramienta, será posible redirigir todos los archivos bajo tráfico web.

• Para las pruebas usaremos Kali Linux 2018.4 amd64. Abra el terminal e ingrese el siguiente comando:

git clone https://ift.tt/3rzG5uj

• Antes de instalar, asegúrese de que TOR esté instalado. Para ello, escriba el siguiente comando:

sudo apt-get update & sudo apt-get install tor

• Ingrese el siguiente comando:

cd tor-router

• Escriba:

sudo bash install.sh && cd files

• Después de instalar tor, debe configurar que las siguientes líneas se escriban al final.
• Para eso, escriba nano/etc/tor/torrc y copie las siguientes líneas. Estas son las líneas que son la configuración del navegador TOR

# Seting up TOR transparent proxy for tor-router
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsOnResolve 1
TransPort 9040
DNSPort 5353

• Después de configurar, reinicie el servicio Tor
• Abra otro terminal e ingrese el siguiente comando

cd/home/iicybersecurity/Downloads/tor-router/files

• Escriba el siguiente comando:

sudo ./tor-router

• Ahora ha comenzado el servicio Tor
• Para comprobar si Tor está configurado para redirigir el tráfico, abra el enlace https://ift.tt/wwGGpT desde el navegador web Mozilla Firefox

• Arriba puede ver que este navegador web está configurado para usar tor. Para comprobar la prueba de fugas de DNS, vaya a: https://ift.tt/3rO5cd3, mencionan los expertos en hacking ético:

• En esta plataforma se muestra su ubicación actual en Suiza. Para la configuración final, verificaremos cuál es la dirección IP real
• Vaya a: whatsismyipaddress.com

• Puede ver que la ubicación actual está en Guwahati (Assam) con el nodo de salida Tor

Como de costumbre le recordamos que este artículo fue elaborado con fines exclusivamente informativos, por lo que IICS no se hace responsable del mal uso que pueda darse a esta información.

Para conocer más sobre riesgos de seguridad informática, hacking ético, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cómo redirigir fácilmente el tráfico web con Tor apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Apple corrige vulnerabilidad crítica en iOS Y macOS; actualice sus sistemas

Apple anunció el lanzamiento de nuevas actualizaciones de seguridad para corregir una vulnerabilidad día cero que afecta a los dispositivos iPhone, iPad y Mac, y que ya ha sido explotada en escenarios reales. La falla fue identificada como CVE-2021-30807 y descrita como un problema de corrupción de memoria en la extensión del kernel IOMobileFramebuffer.

Apple corrigió la vulnerabilidad permitiendo que las aplicaciones ejecuten código arbitrario con privilegios del kernel, mejorando el manejo de la memoria en iOS 14.7.1, iPadOS 14.7.1 y macOS Big Sur 11.5.1. La lista de dispositivos afectados incluye Mac, iPhone 6s y posteriores, iPad Pro, iPad Air 2 y posteriores, iPad de quinta generación y posteriores, iPad mini 4 y posteriores y iPod Touch.

La compañía reconoce al menos un incidente de explotación activa de CVE-2021-30807 en escenarios reales, aunque no se agregaron más detalles. Es probable que retener esta información sea una medida para permitir que las actualizaciones de seguridad lanzadas hoy lleguen a tantos iPhones, iPads y Mac como sea posible antes de que otros actores de amenazas logren abusar de esta falla.

2021 ha sido un año especialmente activo para Apple y sus equipos responsables de detectar y corregir vulnerabilidades en su software, considerado en general como una opción más segura que Android. Entre los problemas abordados por la compañía durante los últimos meses destacan:

• Tres vulnerabilidades día cero en iOS (CVE-2021-1870, CVE-2021-1871 y CVE-2021-1872) explotadas activamente
• Una vulnerabilidad día cero en iOS (CVE-2021-1879) explotada como una campaña masiva de hacking
• Una vulnerabilidad día cero en iOS (CVE-2021-30661) y una vulnerabilidad día cero en macOS (CVE-2021-30657) explotadas por el malware Shlayer

Por si fuera poco, hace unas semanas Amnistía Internacional y Forbidden Stories revelaron el hallazgo del software espía Pegasus, desarrollado por la firma israelí NSO Group instalado en algunos dispositivos con la más reciente versión del sistema iOS. Estos dispositivos habrían sido infectados empleando peligrosos exploits día cero en iMessage. Se espera que Apple publique un informe completo sobre esta campaña de hacking contra su nuevo sistema operativo en las próximas semanas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Apple corrige vulnerabilidad crítica en iOS Y macOS; actualice sus sistemas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

2 vulnerabilidades en servidores Asterisk permiten a los hackers escuchar tus llamadas telefónicas empresariales

Especialistas en ciberseguridad reportan el hallazgo de dos vulnerabilidades críticas en Asterisk, una popular solución de telefonía Voice over Internet Protocol (VoIP) de código abierto que proporciona funciones de call center. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar ataques de denegación de servicio (DoS) en las implementaciones vulnerables.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).

CVE-2021-31878: La inadecuada gestión de los recursos internos dentro de la aplicación en el controlador de canal PJSIP en res_pjsip_session.c permitirían a los usuarios remotos enviar mensajes re-INVITE sin SDP después de que Asterisk haya enviado una solicitud BYE, resultando en una condición DoS.

Esta es una falla de severidad media y recibió un puntaje CVSS de 3.8/10 en los sistemas afectados.

CVE-2021-32558: Esta falla existe debido a la validación incorrecta de una entrada proporcionada por los usuarios en el controlador de canal IAX2 chan_iax2.c. Los actores de amenazas remotos pueden enviar un paquete que contiene un formato multimedia no compatible, lo que resultaría en una condición DoS.

Esta es una falla de severidad media que recibió un puntaje CVSS de 6.5/10.

Ambas fallas residen en las siguientes versiones de Asterisk: 13.23.0 rc1, 13.24.0 rc1, 13.25.0 rc1, 13.26.0 rc1, 13.27.0 rc1, 13.28.0 rc1, 13.29.0 rc1, 13.30.0 rc1, 13.31.0 rc1, 13.32.0 rc1, 13.33.0 rc1, 13.34.0 rc1, 13.35.0 rc1, 13.36.0 rc1, 13.37.0 rc1, 13.38.0, 13.38.0 rc1, 13.38.1, 13.38.2, 16.2.0 rc1, 16.3.0 rc1, 16.4.0 rc1, 16.5.0 rc1, 16.6.0 rc1, 16.7.0 rc1, 16.8.0 rc1, 16.9.0 rc1, 16.10.0 rc1, 16.11.0 rc1, 16.12.0 rc1, 16.13.0 rc1, 16.14.0 rc1, 16.15.0 rc1, 16.16.0 rc1, 16.17.0 rc1, 16.18.0 rc1, 16.19.0, 16.19.0 rc1, 17.0.0, 17.0.0 rc1, 17.0.1, 17.1.0 rc1, 17.2.0 rc1, 17.3.0 rc1, 17.4.0 rc1, 17.5.0 rc1, 17.6.0 rc1, 17.7.0 rc1, 17.8.0 rc1, 17.9.0, 17.9.0 rc1, 17.9.1, 17.9.2, 17.9.3, 18.0.0 rc1, 18.1.0 rc1, 18.2.0 rc1, 18.3.0, 18.3.0 rc1, 18.4.0, 18.4.0 rc1, 18.5.0 y 18.5.0 rc1.

Si bien las fallas pueden ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han registrado intentos de explotación en escenarios reales o bien alguna variante de malware asociada al ataque.

Las fallas ya han sido abordadas, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 2 vulnerabilidades en servidores Asterisk permiten a los hackers escuchar tus llamadas telefónicas empresariales apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Base de datos de Clubhouse con más de 3 mil millones de registros personales a la venta en dark web. La empresa niega el incidente

Durante los más recientes meses Clubhouse ha incrementado su popularidad de forma inesperada, aunque para los especialistas la app sigue siendo una incógnita en términos de ciberseguridad. Algo que podría perjudicar aún más la reputación es un reciente reporte afirmando que la plataforma sufrió una brecha de datos.

Como algunos usuarios recordarán, Clubhouse es una plataforma de redes sociales basada solo en audio en vivo y en la que es relativamente sencilla la interacción con otros usuarios. Según el reporte, el incidente derivó en la filtración de los números telefónicos de 3.8 mil millones de usuarios, cantidad que rebasa ampliamente el número total de usuarios de la aplicación, lo cual tiene una explicación abrumadora.

Esta app fue lanzada en marzo de 2020 como una plataforma a la que solo era posible acceder por invitación y empleando dispositivos iOS. Con su creciente popularidad, especialmente en India, los desarrolladores decidieron abrir la plataforma para todos los usuarios y sistemas operativos.

Jiten Jain, investigador de seguridad, publicó en su cuenta de Twitter: “Una base de datos de usuarios de Clubhouse está a la venta en darknet.” El experto agrega que la filtración también incluye los números de las listas de contactos de los usuarios afectados; en otras palabras, el incidente también afectó a millones de personas que ni siquiera usan Clubhouse.

A database of 3.8 billion phone numbers of #Clubhouse users is up for sale on the #Darknet. It also contains Numbers of people in user's PhoneBooks that were Synced. So Chances are high that you are listed even if you haven't had a Clubhouse login. #DataPrivacy pic.twitter.com/IFgFGA8meU

— Jiten Jain (@jiten_jain) July 24, 2021

El investigador Marc Ruef también informó sobre el incidente, señalando que también se habrían filtrado las listas de contactos de los usuarios afectados.

Full phone number database of #Clubhouse is up for sale on the #Darknet. It contains 3.8 billion phone numbers. These are not just members but also people in contact lists that were synced. Chances are high that you are listed even if you haven't had a Clubhouse login. pic.twitter.com/PfAkUJ0BL5

— Marc Ruef (@mruef) July 23, 2021

Al respecto, Clubhouse rechazó el incidente señalando que los millones de números telefónicos supuestamente expuestos en realidad son generados por programas automáticos con el fin de minar información de usuarios legítimos en algunas plataformas: “En el caso de que uno de estos números falsos exista en nuestra plataforma debido a inusuales coincidencias, la API de Clubhouse no devuelve información de los usuarios”, señala un comunicado de la plataforma.

A #Hacker is allegedly selling a list of 3.8 billion phone numbers of #Clubhouse. Seems completely fake. There are only mobile numbers without name, photos. This list of phone numbers can be generated very easily. PII not available. #InfoSec #DataLeak #GDPR @Clubhouse pic.twitter.com/RugQhaSKhq

— Rajshekhar Rajaharia (@rajaharia) July 24, 2021

Por su parte, el especialista en ciberseguridad Rajshekhar Rajaharia confirmó la versión oficial de Clubhouse: “Esto es completamente falso”, mencionó el investigador, agregando que la supuesta base de datos solo contiene lo que parecen ser números de telefonía móvil sin otros datos asociados como nombres, fotografías o información de operadores telefónicos.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Base de datos de Clubhouse con más de 3 mil millones de registros personales a la venta en dark web. La empresa niega el incidente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad permite autenticar servidores Windows de forma remota y tomar control de los dominios afectados

El especialista en ciberseguridad francés Gilles Lionel reportó el hallazgo de una vulnerabilidad en el sistema operativo Windows que permitiría a los actores de amenazas autenticarse de forma arbitraria en servidores Windows remotos con el fin de acceder a detalles de autenticación NTLM o certificados de autenticación.

La falla fue apodada como “PetitPotam” y ya cuenta con una prueba de concepto (PoC) cuyo código está disponible en GitHub desde este fin de semana. El investigador señala que este problema se presenta cuando los actores de amenazas abusan de MS-EFSRPC, un protocolo empleado por los dispositivos con sistemas Windows realizar operaciones con datos cifrados almacenados en sistemas remotos.

Finally finished testing it, it's quite brutal! Network access to full AD takeover… I really underestimated the impact of NTLM relay on PKI #ESC8 😱The combo with PetitPotam is awesome !
Everything is already published to quickly exploit it … https://t.co/NVe6QJFrx6 pic.twitter.com/q55OyC7dME

— Rémi Escourrou (@remiescourrou) July 22, 2021

Empleando el código PoC, los atacantes podrían enviar solicitudes SMB a la interfaz afectada, forzando al sistema objetivo a iniciar un procedimiento de autenticación que resultará en la exposición de información confidencial. Los actores de amenazas pueden usar esta información como parte de un ataque de retransmisión NTLM y así obtener acceso a los sistemas remotos en la misma red interna.

Cabe mencionar que este ataque debe ser desplegado de forma local y puede resultar especialmente perjudicial para las redes de grandes corporaciones, en las que los actores de amenazas pueden forzar a los controladores de dominio a eliminar el hashing de sus contraseñas NTLM, permitiendo el compromiso total de las redes afectadas.

En las pruebas realizadas por el investigador se analizaron los sistemas Windows Server 2016 y 2019, aunque Gilles cree altamente factible que este ataque puede afectar a la mayoría de las versiones Windows Server compatibles actualmente.

Al respecto, Microsoft publicó en sus plataformas oficiales una serie de medidas para mitigar el riesgo de explotación, aunque no se mencionó nada acerca de un posible parche adicional. Esta es la tercera vulnerabilidad de alto perfil relacionada con productos Microsoft reportada en las últimas semanas, después del caos generado por las fallas PrintNightmare y SeriousSAM; los reportes de estas fallas siendo explotadas en escenarios reales siguen circulando, lo que indica que los usuarios no siempre instalan los parches críticos lanzados por las compañías tecnológicas, lo que permite a los actores de amenazas seguir abusando de algunos errores que ya deberían haber sido abordados por los usuarios.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad permite autenticar servidores Windows de forma remota y tomar control de los dominios afectados apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente