Broadcom publicó que el software utilizado por su empresa de almacenamiento Brocade está afectado por 9 vulnerabilidades importantes, y las mismas vulnerabilidades afectan a los productos SAN de varias empresas importantes como Dell, Fujitsu, HP, Huawei, IBM y Lenovo.
La aplicación de gestión de almacenamiento (SAN) de SANnav se ve afectada por nueve vulnerabilidades. Brocade ha puesto a disposición parches, pero otras empresas están trabajando en ello.
Seis de estas vulnerabilidades han sido calificadas como de “gravedad media” o “gravedad baja”. La explotación de estas vulnerabilidades permite manipular datos, descifrar datos y provocar ataques de denegación de servicio (DoS). A las tres vulnerabilidades restantes se les ha asignado una calificación de impacto de riesgo y gravedad “alta”. Pueden permitir la filtración de contraseñas de servidores de archivos de registro e interceptar información potencialmente confidencial debido a cifrados de claves estáticas.
CVE-2022-28167
Brocade SANnav anterior a Brocade SANvav v. 2.2.0.2 y Brocade SANanv v.2.1.1.8 registra la contraseña del conmutador Brocade Fabric OS en texto sin formato en asyncjobscheduler-manager.log
CVE-2022-28166
En la versión de Brocade SANnav anterior a SANN2 .2.0.2 y Brocade SANNav antes de 2.1.1.8, la implementación de TLS/SSL Server admite el uso de cifrados de clave estática (ssl-static-key-ciphers) en los puertos 443 y 18082.
CVE-2022-28168
En Brocade SANnav antes Brocade SANnav v2.2.0.2 y Brocade SANnav2.1.1.8, las contraseñas codificadas del servidor scp se almacenan utilizando la codificación Base64, lo que podría permitir a un atacante acceder a los archivos de registro para decodificar fácilmente las contraseñas.
CVE-2019-1559
Si una aplicación encuentra un error fatal de protocolo y luego llama a SSL_shutdown() dos veces (una para enviar un close_notify y otra para recibir uno), entonces OpenSSL puede responder de manera diferente a la aplicación que llama si se recibe un registro de 0 bytes con paddling no válido en comparación con si se recibe un registro de 0 bytes con una MAC no válida. Si la aplicación luego se comporta de manera diferente según eso de una manera que sea detectable para el usuario remoto, entonces esto equivale a un paddling oracle que podría usarse para descifrar datos. Para que esto sea explotable, se deben utilizar conjuntos de cifrado “non-stitched”. Los conjuntos de cifrado stitched son implementaciones optimizadas de ciertos conjuntos de cifrado de uso común. Además, la aplicación debe llamar a SSL_shutdown() dos veces incluso si se ha producido un error de protocolo (las aplicaciones no deberían hacer esto, pero algunas lo hacen de todos modos).
CVE-2021-23017
Se identificó un problema de seguridad en la resolución de nginx, que podría permitir que un atacante que pueda falsificar paquetes UDP del servidor DNS provoque una sobrescritura de memoria de 1 byte, lo que provocaría un bloqueo del proceso de trabajo u otro posible impacto.
CVE-2022-21291
Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que se ven afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. La vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: esta vulnerabilidad se aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets de Java en sandbox, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y confían en el sandbox de Java para la seguridad. Esta vulnerabilidad también se puede explotar mediante el uso de API en el Componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API.
CVE-2022-21305
Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que se ven afectadas son Oracle Java SE: 7u321, 8u311, 11.0.13, 17.01; Oracle GraalVM Enterprise Edition: 20.3.4 y 21.3.0. La vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: esta vulnerabilidad se aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets de Java en sandbox, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y confían en el sandbox de Java para la seguridad. Esta vulnerabilidad también se puede explotar mediante el uso de API en el Componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API.
CVE-2021-2388
Vulnerabilidad en el producto Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que se ven afectadas son Java SE: 8u291, 11.0.11, 16.0.1; Oracle GraalVM Enterprise Edition: 20.3.2 y 21.1.0. La vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Java SE, Oracle GraalVM Enterprise Edition. Los ataques exitosos requieren la interacción humana de una persona que no sea el atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en la adquisición de Java SE, Oracle GraalVM Enterprise Edition. Nota: esta vulnerabilidad se aplica a las implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets de Java en sandbox, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y confían en el sandbox de Java para la seguridad. Esta vulnerabilidad no se aplica a las implementaciones de Java, generalmente en servidores, que cargan y ejecutan solo código confiable (por ejemplo, código instalado por un administrador).
CVE-2021-2432
Vulnerabilidad en el producto Java SE de Oracle Java SE (componente: JNDI). La versión compatible que se ve afectada es Java SE: 7u301. La vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Java SE. Los ataques exitosos de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial). ) de Java SE. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets de Java en sandbox, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y confían en el sandbox de Java por seguridad Esta vulnerabilidad también se puede explotar mediante el uso de API en el Componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API.
Oracle ha parcheado una vulnerabilidad de ejecución remota de código (RCE) que afecta a Oracle Fusion Middleware y varios otros sistemas de Oracle.
Los investigadores de ciberseguridad ‘Peterjson’ y ‘Jang’ informaron un par de vulnerabilidades criticas en Oracle que se pueden encadenar para lograr RCE, al que denominaron ‘Miracle Exploit‘.
Los investigadores dijeron que le informaron a Oracle en privado sobre una vulnerabilidad grave que descubrieron en Oracle Access Manager, rastreada como CVE-2021–35587. La criticidad de vulnerabilidad era CVSS 9.8 y se describe como una falla “fácilmente explotable” que permite a los atacantes no autenticados a través de HTTP tomar el control de la aplicación.
Descripción
Jang dijo que la vulnerabilidad fue descubierta por accidente cuando el dúo estaba construyendo una prueba de concepto para otra vulnerabilidad de día cero”.
Mientras trabajaba con Zero Day Initiative (ZDI), esta investigación condujo al descubrimiento de CVE-2022–21445. Esta gran vulnerabilidad, obtuvo una puntuación de gravedad de 9.8, se encontró en la arquitectura de Oracle Application Development Framework (ADF) Faces , un componente de Oracle Fusion Middleware.
El problema de deserialización de datos confiables se puede encadenar con CVE-2022–21497 (CVSS 8.1), una vulnerabilidad de adquisición en Oracle Web Services Manager, para lograr la RCE de autenticación previa.
CVE-2022–21445 afecta una variedad de productos y servicios basados en Fusion Middleware, varios sistemas de Oracle e incluso la infraestructura de nube de Oracle. Los atacantes no autenticados con acceso a la red, a través de HTTP, pueden abusar de la cadena de vulnerabilidades.
“Una cosa más a tener en cuenta, cualquier sitio web desarrollado por el marco ADF Faces se ve afectado”, dijo Peterjson.
Mitigación
Después de probar los servicios y dominios de Oracle, el informe de vulnerabilidad se envió al proveedor el 25 de octubre de 2021. En el mismo mes, Oracle confirmó la recepción del informe y dijo que estaba investigando. Sin embargo, tomó la mayor parte de seis meses para que se emitiera un parche.
Ambas vulnerabilidades se han resuelto en la ronda de parches de abril. Oracle es uno de los muchos proveedores de tecnología, junto con Microsoft y Adobe, que lanza una actualización mensual de parches para corregir vulnerabilidades en su software.
Se insta a las empresas que utilizan software vulnerable de Oracle a aplicar el parche de inmediato.
Otros proveedores potencialmente afectados por el RCE previo a la autenticación fueron notificados a través de sus respectivos programas de recompensas por errores. Peterjson ha informado a las empresas si no han aplicado el parche de Oracle y que cree que la cantidad de instancias expuestas es enorme. Esta vulnerabilidad es súper peligrosa, afecta a los sistemas de Oracle y a los clientes de Oracle.
La Agencia de Seguridad Nacional (NSA) y las agencias asociadas de seguridad cibernética emitieron un aviso hoy recomendando a los administradores de sistemas que usen PowerShell para prevenir y detectar actividades maliciosas en máquinas con Windows.
PowerShell se usa con frecuencia en ataques cibernéticos, aprovechado principalmente en la etapa posterior a la explotación, pero las capacidades de seguridad integradas en la herramienta de configuración y automatización de Microsoft también pueden beneficiar a los defensores en sus esfuerzos forenses, mejorar la respuesta a incidentes y automatizar tareas repetitivas.
La NSA y los centros de seguridad cibernética en los EE. UU. (CISA), Nueva Zelanda (NZ NCSC) y el Reino Unido (NCSC-UK) han creado un conjunto de recomendaciones para usar PowerShell para mitigar las amenazas cibernéticas en lugar de eliminarlo o deshabilitarlos.
Las características de seguridad integradas en PowerShell pueden reducir el abuso por parte de los ciber criminales. Los expertos de análisis forense recomiendan usar estas características cuando sea factible.
Protección de credenciales durante PowerShell reporting
PowerShell reporting es una capacidad de Windows que permite a los administradores, analistas de ciberseguridad y usuarios ejecutar comandos de forma remota en hosts de Windows. Windows Remote Management (WinRM) es el protocolo subyacente utilizado por la comunicación remota de PowerShell y utiliza Kerberos o New Technology LAN Manager (NTLM) como protocolos de autenticación predeterminados. Estos protocolos de autenticación no envían las credenciales reales a hosts remotos, lo que evita la exposición directa de las credenciales y el riesgo de robo a través de las credenciales reveladas.
Protección de red de PowerShell Reporting
Las conexiones remotas se pueden usar para obtener potentes capacidades de administración remota, por lo que las reglas de Firewall de Windows en los puntos finales deben configurarse adecuadamente para controlar las conexiones permitidas. Las ediciones de cliente y servidor de Windows incluyen la comunicación remota de PowerShell, con esta capacidad habilitada de forma predeterminada en los servidores de Windows a partir de Windows 2012 R2. El acceso a puntos finales con PowerShell reporting requiere que la cuenta de usuario solicitante tenga privilegios administrativos en el destino de forma predeterminada. Habilitar PowerShell reporting en redes privadas introducirá una regla de Firewall de Windows para aceptar todas las conexiones. El requisito de permiso y las reglas de Firewall de Windows se pueden personalizar para restringir las conexiones solo a puntos finales y redes confiables para reducir las oportunidades de movimiento lateral. Las organizaciones pueden implementar estas reglas para fortalecer la seguridad de la red cuando sea factible.
Antimalware Scan Interface (AMSI) integration
La característica de la interfaz de escaneo antimalware, disponible por primera vez en Windows 10, está integrada en diferentes componentes de Windows. Permite el análisis de contenido de archivos dinámicos y en memoria utilizando un producto antivirus registrado con Windows y expone una interfaz para que las aplicaciones analicen contenido potencialmente malicioso. Los lenguajes de secuencias de comandos integrados (p. ej., PowerShell, VBScript y JScript) utilizan AMSI para que las secuencias de comandos sean analizadas por un software antivirus registrado y compatible. Esta función requiere productos antivirus compatibles con AMSI, como Windows Defender, McAfee y Symantec.
PowerShell restringido con control de aplicaciones
Configurar AppLocker o Control de aplicaciones de Windows Defender (WDAC) para bloquear acciones en un host de Windows hará que PowerShell funcione en Constrained Language Mode (CLM), restringiendo las operaciones de PowerShell a menos que lo permitan las políticas definidas por el administrador. Esta función corrige una vulnerabilidad de AppLocker que bloquea los comandos de PowerShell en una secuencia de comandos, pero permite que los mismos comandos se ingresan de forma interactiva en la consola de comandos de PowerShell. La configuración adecuada de WDAC o AppLocker en Windows 10+ ayuda a evitar que un actor malintencionado obtenga el control total sobre una sesión de PowerShell y el host. Controlar el origen y la ejecución de scripts y módulos brinda oportunidades para mejorar los requisitos de seguridad dentro de las organizaciones. Los requisitos de firma también se pueden hacer cumplir a través de la función de seguridad de PowerShell llamada Política de ejecución. Sin embargo, la política de ejecución no restringe la ejecución de todo el contenido de PowerShell.
Métodos de PowerShell para detectar abusos
El registro de actividades de PowerShell puede registrar cuándo las amenazas cibernéticas aprovechan PowerShell, y el monitoreo continuo de los registros de PowerShell puede detectar y alertar sobre posibles abusos. El Deep Script Block Logging, Module Logging, and Over-the-Shoulder transcription están deshabilitados de manera predeterminada. Los expertos recomiendan habilitar las capacidades cuando sea factible.
Deep Script Block Logging (DSBL) y registro de módulos
Deep Script Block Logging registra cada comando de PowerShell en el registro de eventos de Windows, lo que permite un análisis adicional en plataformas de análisis y almacenamiento centralizado. DSBL registra incluso actividades maliciosas ocultas de PowerShell y los comandos que se ejecutan, como invocaciones de comandos y partes de scripts. De manera similar, el registro del módulo captura los detalles de ejecución de la canalización de PowerShell, con el objetivo de registrar las acciones de PowerShell. Aunque es posible que no se registren todos los detalles y la salida, estos registros de módulos y registros de eventos evitan que los comandos de PowerShell se oculten (por ejemplo, se ofusquen o se cifren) de los defensores.
Transcripción Over-the-Shoulder (OTS)
La capacidad de registrar todas las actividades ejecutadas dentro de PowerShell 5 se puede aplicar en Windows 7 y versiones posteriores, tanto para el mantenimiento de registros en el momento como para el seguimiento de seguridad restringido. OTS registra cada entrada y salida de PowerShell, ya sea funcional o no, para permitir que los defensores descifren las acciones previstas. PowerShell 5.0 amplió el alcance de la transcripción, que se puede administrar a través de la directiva de grupo para la configuración de toda la empresa.
Procedimientos de PowerShell para proporcionar autenticación
Varios métodos de autenticación en PowerShell permiten su uso en dispositivos que no son de Windows. Comunicación remota sobre SSH PowerShell 7 permite conexiones remotas sobre Secure Shell (SSH) además de admitir conexiones WinRM. Esto permite la autenticación de clave pública y hace que la administración remota a través de PowerShell de las máquinas sea conveniente y segura. La nueva capacidad de comunicación remota SSH en PowerShell puede establecer conexiones remotas sin requerir el uso del Protocolo seguro de transferencia de hipertexto (HTTPS) con certificados de (SSL/TLS). PowerShell a través de SSH no requiere Hosts de confianza como cuando se realiza una conexión remota a través de WinRM fuera de un dominio. Esto permite una gestión remota segura a través de SSH sin contraseña para todos los comandos y conexiones, y permite la comunicación remota de PowerShell entre hosts Windows y Linux.
PowerShell es esencial para proteger el sistema operativo Windows, especialmente porque las versiones más nuevas han resuelto las limitaciones y preocupaciones anteriores a través de actualizaciones y mejoras. Eliminar o restringir incorrectamente PowerShell evitaría que los administradores y defensores utilicen PowerShell para ayudar con el mantenimiento del sistema, el análisis forense, la automatización y la seguridad. PowerShell, junto con sus capacidades administrativas y medidas de seguridad, debe administrarse adecuadamente y adoptarse
Especialistas en ciberseguridad reportan la detección de una vulnerabilidad crítica en AtlasVPN. Es una aplicación VPN gratuita que garantiza la navegación privada cambiando su dirección IP y encriptando sus conexiones. Según el reporte, la explotación exitosa de la falla permitiría la elevación de privilegios en los sistemas afectados.
Identificada como CVE-2022-2317,La vulnerabilidad existe debido a controles de seguridad inadecuados en la canalización con nombre “messagesgain”. Los actores de amenazas remotas podrían enviar solicitudes especialmente diseñadas y ejecutar código arbitrario en el sistema afectado para obtener privilegios elevados con permisos de SISTEMA.
.
Esta es una vulnerabilidad de medio severidad según el Common Vulnerability Scoring System (CVSS), ya que su explotación exitosa permitiría el compromiso total del sistema afectado.
Según el reporte, la vulnerabilidad reside en las versiones anteriores a 2.4.2 de Windows.
Si bien la vulnerabilidad no puede ser explotada de forma remota por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, los expertos en ciberseguridad recomiendan actualizar las implementaciones de AtlasVPN afectadas a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Noticias de Seguridad informática.
El domingo por la noche, las sirenas de los cohetes sonaron durante casi una hora en Eilat y en varios barrios de Jerusalén, incluidos Talpiot, Katamon y Beit Hakerem. La vida se detuvo momentáneamente cuando las sirenas de ataque aéreo se activaron esa noche, a pesar de que no se lanzaron cohetes.
Las sirenas de ataque aéreo en las ciudades israelíes crearon conmoción y acusaciones. Ahora, la Dirección Cibernética de Israel INCD dijo que se sospecha que Irán activó las sirenas de ataque aéreo en Israel, un recordatorio de sus crecientes capacidades de guerra cibernética. La Dirección Cibernética de Israel anunció que sospecha que la falsa alarma se desencadenó por un ataque de seguridad cibernética a nivel municipal, no a través de sistemas militares. Sin embargo, una fuente diplomática dijo que aún había incertidumbre sobre si la República Islámica fue la fuente del ataque.
El departamento de gobierno inicialmente dijo que había un mal funcionamiento del sistema, aunque se desconocía la causa real. El INCD dijo que el ataque se dirigió contra los sistemas de sirenas municipales en lugar de a través del sistema de alerta del Comando del Frente Nacional, que generalmente se considera más seguro.
Después de este grave incidente en dos importantes ciudades israelíes, muchas preguntas siguen sin respuesta. La primera de ellas es, ¿por qué llevar a cabo un incidente tan audaz en un día cualquiera?
Si esto tenía la intención de causar disturbios en la vida civil, tendría más sentido realizar este evento durante una festividad religiosa o una época de grandes reuniones para destruir cualquier sensación de seguridad. Es posible que las sirenas se activaron mientras los hackers iraníes aún estaban examinando las vulnerabilidades dentro del sistema de seguridad del municipio o que se tratara de una bandera falsa, siendo utilizada como una distracción mientras se llevaba a cabo otro ciberataque aún no publicado.
El mes pasado, Irán afirmó que había descubierto un ataque cibernético en el municipio de Teherán. El ataque cibernético afectó cámaras de tráfico y otros servicios electrónicos, pero el gobierno iraní dijo que el ataque no comprometió ningún dato confidencial.
La mayoría de los ataques cibernéticos en Irán han sido causados por el ejército de Israel, aunque hay algunos piratas informáticos iraníes y activistas de derechos humanos que también han hackeado la República Islámica.
Si Irán estuviera detrás del ataque cibernético del domingo por la noche, sería otro ataque en la guerra cibernética entre los países que se ha intensificado desde el año 2020.Omree Wechsler, un investigador de seguridad cibernética, comentó que los hackers iraníes deben estar detrás de las falsas sirenas de advertencia de cohetes en Jerusalén. Específicamente, el ataque se dirigió a los sistemas de megafonía. Está muy claro que se trata de un ataque oportunista y no de un ataque sofisticado y planificado. Los piratas informáticos explotaron donde encontraron lagunas. Como muchos ciberataques de APT en el mundo se centran en objetivos financieros o de espionaje, la actividad iraní contra Israel sigue el patrón de causar daño o crear pánico. Estos ataques son comunes y forman parte de una rutina diaria que incluye miles de intentos de hackear cualquier sistema o servidor cuyo daño generaría cobertura en la prensa.
El abuso de credenciales es algo que le sucede solo a los directores ejecutivos o personas muy ricas o empleados de compañías Fortune 500, ¿verdad? No. Está en todas partes, y sus contraseñas y usuario comprometidos están permitiendo que todo tipo de delincuentes cibernéticos realicen todo tipo de ataques de cómo tomar control de cuentas también conocidos como account takeover (ATO) en inglés. Los ciber delincuentes han filtrado 24 649 096 027 nombres de usuario y contraseñas de cuentas hasta este año. Ese es un gran número, uno que debería sacudir a la comunidad de ciberseguridad en su núcleo. Pero a pesar de este número, que aumenta exponencialmente cada año, y la avalancha de informes que destacan el riesgo de credenciales inseguras, todavía tiene un amigo, un compañero de oficina o un jefe que está escribiendo cuidadosamente 123456 en un campo de contraseña en este momento.
El equipo de Digital Shadow recopiló más de 24.65 mil millones de credenciales filtradas de la dark web. Eso es un aumento del 65 por ciento desde 2020, probablemente causado por una capacidad mejorada para robar credenciales a través de nuevos ransomwares, malware dedicado y sitios de ingeniería social, además de un intercambio de credenciales entre cibercriminales. Dentro de estos nombres de usuario y contraseñas filtrados, aproximadamente 6700 millones de credenciales tenían un emparejamiento único de nombre de usuario y contraseña, lo que indica que la combinación de credenciales no se duplicó en otras bases de datos. Este número fue 1700 millones más que el encontrado en 2020, lo que destaca la tasa de filtración de datos en combinaciones de credenciales completamente nuevas.
La contraseña más común, 123456, representó el 0,46 por ciento del total de las 6.700 millones de contraseñas únicas. Las 100 contraseñas más comunes representaron el 2,77 por ciento de este número. El malware y el ransomware que roban información persisten como una amenaza importante para su privacidad. Algunos de estos programas maliciosos se pueden comprar por tan solo $50, y algunos cuestan miles, según las características.
Los mercados de ciberdelincuentes y los foros de la dark web son los mejores lugares para comprar y vender credenciales robadas. Se ha informado a las empresas cuyos datos se han filtrado, pero no se puede hacer mucho en esta etapa. También se han lanzado varios servicios de suscripción en la web oscura, que ofrecen a los ciberdelincuentes un servicio premium para comprar credenciales robadas. El precio de las credenciales depende de la antigüedad de la cuenta, la reputación del vendedor y del comprador y el tamaño del archivo de datos que se ofrece. Algunos también ofrecen conjuntos de datos de muestra para colaborar con su singularidad. Ciertos tipos de cuentas, como las cuentas relacionadas con criptomonedas, pueden ser más costosas.
Una vez que se han obtenido las credenciales, las herramientas de descifrado de contraseñas y relleno de credenciales gratuitas y de código abierto pueden permitir a los ciberdelincuentes toda la funcionalidad necesaria para un ataque sofisticado para descifrar contraseñas. Las herramientas offline suelen dar los mejores resultados para descifrar contraseñas. Según los expertos en curso de concientización de ciberseguridad, 49 de las 50 contraseñas más utilizadas podrían descifrarse en menos de un segundo. La adición de un carácter especial a una contraseña básica de diez caracteres agrega alrededor de 90 minutos a ese tiempo. Además, dos caracteres especiales aumentan el tiempo de descifrado fuera de línea a alrededor de 2 días y 4 horas, según los expertos en curso de concientización de ciberseguridad.
La mayoría de estos ciberdelincuentes son actores motivados financieramente, patrocinados por el estado e ideológicamente (hacktivistas como anonymous). Todos ellos han usado ATO como conducto para su actividad en 2022. Esto incluye varios ataques de los extorsionadores de datos conocidos como grupo Lapsus$. De acuerdo con los expertos en curso de concientización de ciberseguridad, hasta que la autenticación sin contraseña se generalice, las mejores formas de minimizar la probabilidad y el impacto de ATO son los controles simples y la educación del usuario, como la autenticación multifactor, los administradores de contraseñas y las contraseñas únicas y complejas.
Un hombre de negocios de Perth casi pierde $ 6 millones a manos de hackers informáticos, pero una palabra salvó su fortuna de caer en las manos equivocadas y desaparecer para siempre.
La víctima estaba en las etapas finales de un acuerdo de propiedad multimillonaria cuando los delincuentes cibernéticos lograron secuestrar la dirección de correo electrónico de la otra parte involucrada en el trato. Luego cambiaron los detalles de la cuenta bancaria a los suyos.
“Estaba a solo unos minutos de presionar el botón de la transferencia y el banco estaba financiando parte de eso, estábamos poniendo mucho dinero. Todo se habría vuelto muy, muy difícil, si este dinero se hubiera enviado”. dijo Brody la víctima.
Solo porque un banquero junior del National Australia Bank NAB, llamado Stacey, detectó una anomalía en una palabra, la transacción pudo detenerse a tiempo.
Durante una verificación de rutina en marzo, la empleada notó que la palabra “‘gruop” estaba escrita incorrectamente en uno de los correos electrónicos posteriores al intercambio; en su lugar, se escribió como “grupo”.
Ella dio la alarma y comenzó una investigación, y Brody pronto se enteró de que había estado a minutos del desastre.
Estas estafas, conocidas como compromisos de correo electrónico empresariales, han crecido en los últimos dos años en el contexto de la pandemia de Covid-19.
Brody fue a la escuela con la persona a la que le estaba comprando la propiedad y confiaba en él por completo.
“Estaba tratando con un amigo mío de toda la vida y su hijo, estas personas son absolutamente indudables. No es como si estuviera tratando con personas que no conocía”. Dijo Brody
Todo iba bien y el día antes de la liquidación, recibió otro correo electrónico de su amigo que decía que ya no usaban esa cuenta para recibir el dinero, sino un banco en Singapur.
“Realmente no lo pensé dos veces”, admitió.
Sin embargo, como medida de precaución, el banco analizó detenidamente el rastro del correo electrónico y fue aquí donde Stacey notó algunas señales de alerta.
No solo estaba mal escrita la palabra “‘gruop”, sino que notó que el remitente estaba usando diferentes saludos para cada correo electrónico, como “hi” y “hello”.
También notó que el tono general de los correos electrónicos había cambiado.
Cómo detecto estafa de compromiso de correo electrónico empresarial
“Cuando el cliente solicitó realizar esta transferencia, todo parecía bastante normal”, recordó Stacey.
“Fue bastante consistente con otras transferencias que hizo en el pasado y fue a un destinatario regular.
“Pero mientras leía algunos de los correos electrónicos anteriores entre el cliente y el destinatario, noté algunos cambios a lo largo de la cadena de correo electrónico.
“Primero noté que la palabra ‘grupo’ estaba mal escrita como ‘gruop’ y el tono en algunos de los saludos era ligeramente diferente. También pude ver que la cuenta había cambiado a una cuenta en el extranjero y la fecha del pago se había adelantado, así que me saltaron algunas banderas rojas”.
Efectivamente, cuando llamó al destinatario previsto de los fondos, él confirmó que nunca había cambiado los detalles de pago y se enteró de que sus correos electrónicos habían sido comprometidos.
“Gracias a Dios”, dijo Brody. “Sería una experiencia muy traumática perder esa cantidad de dinero.
Crecen las estafas de compromiso de correo electrónico empresarial
“Eso es lo que los hace tan difíciles de detectar”.
El destinatario real “se pondrá en contacto con el cliente para decirle dónde está nuestro dinero, luego se hará evidente que fueron estafados”.
En una palabra de advertencia, el experto en seguridad cibernética aconseja a cualquier persona que realice una transacción grande que “verifique dos y tres veces”.
“La realidad es que una vez que presiona enviar y el dinero sale del control del banco, puede ser muy difícil recuperarlo”.
Por ejemplo, los expertos explicaron cómo recientemente había comprado una casa “antes de enviar el dinero, llamé al abogado y le aseguré verbalmente el número de cuenta y el nombre de la cuenta”.
En otra tendencia preocupante, el experto en ciberseguridad dijo que las personas detrás de esto eran personas sofisticadas y con buenos recursos.
Estamos tratando con grupos delictivos transnacionales altamente sofisticados. Cuentan con recursos sumamente buenos. Estos son los mismos grupos que se dedican al tráfico de drogas y la trata de personas. Debido a que estas estafas son todas digitales, puede acceder a una enorme cantidad de víctimas a un costo muy bajo.
Desafortunadamente, si Brody hubiera caído en esta estafa, el banco no lo habría compensado.
“Si la víctima ha autorizado la transacción por su propia voluntad, en términos generales, la pérdida recaerá sobre ella”.
El equipo de Amazon Linux está asesorando a sus clientes sobre una vulnerabilidad crítica que afecta a los servidores Linux. Amazon Linux 2 es un sistema operativo Linux de Amazon Web Services (AWS). AWS ofrece un sistema operativo centrado en la seguridad, estable y de alto rendimiento para desarrollar y ejecutar aplicaciones en la nube.
En 2021, vulnerabilidades críticas en el paquete Java log4j afectaron a Apache Log4j2, una herramienta de registros basada en Java, pero la más impactante fue CVE-2021-44228, también conocida como log4shell.
En abril de 2022, Yuval Avrahami informó que este parche era vulnerable a varios impactos, incluida la escalada de privilegios locales y la ruptura de contenedores. La vulnerabilidad del Hotpatch encontrada por Justin se debe al hecho de que la ruta del binario de Java se lee antes de que se extraiga su EUID/EGID. Esto significa que el proceso de aplicación de parches podría tomar el camino hacia el binario controlado por el atacante y luego leer un EUID/EGID de mayor privilegio en caso de un ataque exitoso.
El aviso establece que
Las versiones del paquete Apache Log4j hotpatch anteriores a log4j-cve-2021-44228-hotpatch-1.3-5 se ven afectadas por una condición de carrera que podría causar una escalada de privilegios locales.
Apache Log4j Hotpatch no reemplaza la actualización a una versión de log4j que mitiga CVE-2021-44228 o CVE-2021-45046 pero proporciona una mitigación temporal para CVE-2021-44228 mediante la aplicación de parches en las máquinas virtuales Java locales. Para hacerlo, el hotpatch recurre a todos los procesos de Java en ejecución, realiza varias comprobaciones y ejecuta la máquina virtual de Java con los mismos permisos y capacidades que el proceso en ejecución para cargar el hotpatch.
Un usuario local podría hacer que hotpatch se ejecute un binario con privilegios elevados ejecutando un proceso “java” personalizado que ejecuta exec() de un binario de ID de usuario establecido después de que hotpatch haya observado la ruta del binario y antes de que haya observado a ID del usuario.
Para aprovechar este problema, un usuario ya debe tener acceso local al sistema de destino con permisos para ejecutar programas personalizados.
Hasta el momento no se ha emitido ningún CVE para el problema, pero Amazon ha lanzado la solución. El equipo de Amazon lanzó log4j-cve-2021-44228-hotpatch-1.3-5 que incluye la corrección. Incluye controles defensivos para el hotpatch basado en contenedores para tratar de evitar cualquier vulnerabilidad de condición de carrera en la aplicación. Los clientes de Amazon deben actualizar a log4j-cve-2021-44228-hotpatch-1.3-5.
La plataforma de desarrollo y pruebas de software Travis CI confirmó el segundo incidente de exposición de datos de sus usuarios en menos de un año. En esta ocasión, los registros comprometidos incluyen tokens de autenticación que permitirían acceder a plataformas como AWS, GitHub, y Docker Hub.
Según un informe preparado por la firma Aqua Security, decenas de miles de tokens de usuario se habrían visto expuestos a través de la API Travis CI, que contiene más de 770 millones de registros con múltiples tipos de credenciales pertenecientes a usuarios de suscripciones gratuitas.
Según el informe, Travis CI no aplicó suficientes protecciones para los números de registro, lo que permitiría la ejecución de un script de enumeración para recuperar un número no determinado de cadenas de código: “Esto no es fácil con otros proveedores ya que deben mencionar en la URL un ID de cliente, dificultando la ejecución de enumeración en los registros”.
Durante esta investigación también se encontró una segunda llamada a la API en un sistema API documentado que estaba permitiendo el acceso a otro conjunto de registros en texto sin formato que antes no estaban disponibles. Usando los dos métodos, los investigadores de pudieron encontrar registros que datan de enero de 2013 a mayo de 2022.
Aqua Security estima que los registros válidos están en un rango de entre 4.2 millones y 774 millones. Después de analizar una muestra de 8 millones de registros, los expertos encontraron cerca de 73,000 cadenas confidenciales en forma de tokens, secretos y varias credenciales asociadas con servicios en la nube como GitHub, AWS y Docker Hub.
Los expertos señalan que algunos de los datos en los registros históricos estaban ofuscados. No obstante, esta es una medida insuficiente debido a que Travis CI permite a los desarrolladores usar varias convenciones de nomenclatura para información confidencial.
“Descubrimos que, en muchos casos, “github_token” estaba enmascarado y no revelaba ningún secreto. Sin embargo, encontramos alrededor de 20 variaciones de este token que no fueron protegidos de ningún modo por Travis CI”, agregan los investigadores.
Travis CI recibió un informe y, si bien los investigadores creían que los errores serían abordados pronto, un mensaje de la plataforma respondió mencionando que este es un problema de diseño y probablemente no será corregido. La exposición de registros de usuarios parece ser un problema recurrente para Travis CI, ya que se han publicado informes sobre este tipo de riesgo en 2015, 2019 y 2021.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Xen es un hipervisor que permite que múltiples sistemas operativos de computadora se ejecuten en el mismo hardware de computadora simultáneamente. La comunidad de Xen Project desarrolla y mantiene Xen Project como software gratuito y de código abierto, sujeto a los requisitos de la Licencia Pública General GNU (GPL), versión 2. Actualmente, Xen Project está disponible para IA-32, x86-64 y conjuntos de instrucciones ARM. El Proyecto Xen ha revelado tres vulnerabilidades en su hipervisor, las cuales permitirían a un actor malicioso tomar el control de un sistema operativo host a través de una VM. El proyecto Xen se centra en el avance de la virtualización en varias aplicaciones comerciales y de código abierto, incluyendo la virtualización de servidores, la infraestructura como servicio (Iaas), la virtualización de escritorios, las aplicaciones de seguridad, los dispositivos integrados y de hardware, y la automoción/aviación.
Las siguientes son tres vulnerabilidades descubiertas por el equipo de Google Project Zero.
CVE-2022-26364, CVE-2022-26363
Xen mantiene un recuento de referencias para las páginas, además de un recuento de referencias comunes. Este diseño se utiliza para mantener las variables fijas necesarias para la seguridad de Xen, por ejemplo, los invitados de PV pueden no tener acceso de escritura directa a las páginas; las actualizaciones necesitan la aprobación de Xen.
Lamentablemente, la lógica de seguridad de Xen no tiene en cuenta la falta de coherencia de caché inducida por la CPU; casos en los que la CPU puede producir que el contenido de la memoria caché sea distinto del contenido de la memoria principal. En tales casos, la lógica de seguridad de Xen puede concluir erróneamente que el contenido de una página es seguro.
IMPACTO: Los administradores invitados x86 PV maliciosos pueden escalar los privilegios para controlar el sistema operativo host.
SISTEMAS VULNERABLES: Todas las versiones de Xen son vulnerables.Solo los invitados x86 PV pueden provocar esta vulnerabilidad.
Solo los invitados x86 PV configurados con acceso a dispositivos (por ejemplo, PCI Passthrough) pueden provocar la vulnerabilidad.
Solo se ven afectadas las CPU que pueden emitir accesos de memoria no coherentes. Las CPU que enumeran la función SelfSnoop no se ven afectadas, excepto como se indica en las erratas. Por lo tanto, el equipo cree que Xen que se ejecuta en Intel IvyBridge o CPU posteriores no se ve afectado por la vulnerabilidad.
MITIGACIÓN: No pasar dispositivos a invitados x86 PV que no sean de confianza evitará la vulnerabilidad.
SOLUCIÓN: la aplicación de los parches apropiados resuelve esta vulnerabilidad.
CVE-2022-26362
Xen mantiene un recuento de referencias de tipos para las páginas, además de un recuento de referencias regular. Este diseño se utiliza para mantener las variables fijas necesarias para la seguridad de Xen, por ejemplo, los invitados de PV pueden no tener acceso de escritura directa a las páginas; las actualizaciones necesitan la aprobación de Xen.
Lamentablemente, la lógica para adquirir una referencia tiene una condición de carrera, por lo que se emite un safe TLB flush demasiado pronto y crea una ventana en la que el invitado puede restablecer la asignación de lectura/escritura antes de que se prohíba la escritura.
IMPACTO: los administradores invitados x86 PV malintencionados pueden escalar los privilegios para controlar el sistema operativo host.
SISTEMAS VULNERABLES: Todas las versiones de Xen son vulnerables. Solo los invitados x86 PV pueden desencadenar esta vulnerabilidad.
Para explotar la vulnerabilidad, debe haber un retraso indebido en el momento equivocado en _get_page_type(). Se desconoce el grado en que un PV x86 el invitado puede controlar esta condición de carrera.
MITIGACIÓN: No ejecutar invitados x86 PV evitará la vulnerabilidad.
SOLUCIÓN: la aplicación de los parches apropiados resuelve esta vulnerabilidad.
Al menos dos generaciones de consolas PlayStation podrían verse afectadas por un exploit recientemente revelado y que existe debido a un error en la forma en que estos sistemas manejan los discos Blu-Ray. La explotación exitosa de la falla permitiría el uso de código personalizado en estas consolas, dejando abierta la posibilidad de usar software casero.
Sony siempre ha puesto gran interés en la seguridad de su línea de consolas, corrigiendo constantemente hasta el mínimo exploit y evitando que los usuarios modifiquen el software de sus PlayStation. Aunque la compañía hace esto como un medio para prevenir la piratería y las trampas en videojuegos competitivos, estos mecanismos de seguridad también previenen el uso de software personalizado, una práctica considerada como legítima por entusiastas y desarrolladores.
Oh my lord. This is sounding like an upcoming FreeBDBoot for PS5, PS4, and possibly PS3 😱 https://t.co/1tzzHezU6T
Andy Nguyen, reconocido ingeniero en seguridad, presentó recientemente un exploit que permitiría la ejecución de código arbitrario en consolas PlayStation 4 y PlayStation 5 con el fin específico de ejecutar código personalizado en estos sistemas. También es posible que el exploit funcione en consolas PlayStation 3, aunque el método no ha sido probado efectivamente en esta versión.
Para algunos entusiastas del software casero, este es un hack similar al popular FreeDVDBoot, detectado en PlayStation 2. Esta técnica permitía ejecutar juegos grabados en discos quemados sin necesidad de hacer modificaciones físicas en la consola. Métodos como este se han vuelto más importantes desde que temas como la conservación del videojuego comenzaron a cobrar relevancia.
A pesar de los intentos de preservar videojuegos antiguos como medio cultural, Sony (y las compañías en general) sigue tratando de echar abajo cualquier intento por modificar su software, siempre argumentando que el uso de software casero simplemente beneficia a los creadores de videojuegos pirateados.
Muchas personas creen que la postura de la industria simplemente ha llevado a los desarrolladores independientes a emprender mejores y más organizados esfuerzos para encontrar formas de usar software casero. Un ejemplo conocido es el de la consola PlayStation 4, considerada altamente difícil de modificar hasta que un error en la versión 9.0 del firmware abrió la puerta a múltiples métodos de modificación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Se ha reportado un notable incremento en la actividad relacionada con el ransomware Hello XD, que ha sido actualizado para agregar un cifrado mucho más fuerte que en sus versiones anteriores. Esta variante de malware fue identificada por primera vez a finales de 2021, desarrollada aparentemente a partir del código filtrado del ransomware Babuk y vinculado a múltiples campañas de doble extorsión.
Los expertos de Palo Alto Networks reportan que el creador de esta variante de malware desarrolló un nuevo encriptador enfocado en evadir la detección y los cambios en el algoritmo de cifrado, lo que ha puesto a Hello XD muy por delante de Babuk y otras cepas de malware similares, incrementando de forma notable su efectividad.
Palo Alto reporta que Hello XD fue desarrollado por un actor de amenazas presuntamente ruso identificado como X4KME, conocido por publicar diversos tutoriales en línea para la implementación de Cobalt Strike con fines maliciosos.
Proceso de ataque
A diferencia de otras operaciones de ransomware, Hello XD no usa un sitio en la red Tor para publicar filtraciones de las víctimas, sino que llevan un proceso de negociación a través del servicio de chat TOX. Además, la más reciente versión del malware agrega un sitio web onion en la nota de rescate mostrada a las víctimas que aparentemente sigue en desarrollo, por lo que se desconoce con qué fin será creado.
Además del nuevo encriptador, el atacante desarrollador de Hello XD incluyó MicroBackdoor, un backdoor de código abierto que permite navegar por el sistema infectado, ejecutar comandos arbitrarios y eliminar cualquier rastro de actividad maliciosa. El ejecutable del backdoor se cifra con la API WinCrypt junto con la carga útil del malware de cifrado.
Por otra parte, el empaquetador de la carga útil cuenta con dos capas de ofuscación. El desarrollador del malware derivó el encriptador modificando UPX, un empaquetador de código abierto ampliamente utilizado por otros desarrolladores de malware.
El descifrado de blobs incrustados requiere de un algoritmo personalizado con instrucciones no convencionales como XLAT, mientras que las llamadas API en el empaquetador no están ofuscadas. Hello XD también cambió su algoritmo de cifrado de HC-128 y Curve25519-Dona por Rabbit Cipher y Curve2519-Donna.
Los expertos creen que las características agregadas a la nueva versión de Hello XD podrían convertirla en una de las variantes de ransomware dominantes durante los próximos meses, por lo que es importante que la industria de la ciberseguridad se mantenga al tanto del desarrollo recibido por este malware.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
En esta ocasión, los especialistas del curso de Ciberseguridad 360 del Instituto Internacional de Seguridad Cibernética (IICS) nos mostrarán a detalle el uso de Fuzz Faster U Fool (ffuf), una herramienta de fuzzing gratuita y fácil de utilizar, empleando el método de línea de comandos para la configuración en servidores web.
Creada por el usuario de Twitter @joohoi, profesionales de la ciberseguridad en todo el mundo han elogiado a ffuf por sus avanzadas capacidades, versatilidad, y facilidad de uso, por lo que es una de las principales opciones en el fuzzing.
Antes de continuar, como de costumbre le recordamos que este artículo fue elaborado con fines exclusivamente informativos y no representa un llamado a la acción; IICS no es responsable del mal uso que pueda darse a la información aquí contenida.
INSTALACIÓN
Acorde a los expertos del curso de Ciberseguridad 360, ffuf se ejecuta en una terminal de Linux o símbolo del sistema de Windows. Actualizar desde el código fuente no es más difícil que compilar, excepto por la inclusión de “-u”.
go get -u github.com/ffuf/ffuf
Para este ejemplo se utilizó Kali Linux, por lo que encontrará ffuf en los repositorios de apt, lo que le permitirá instalarlo ejecutando un simple comando.
apt install ffuf
Después de instalar este programa, use la opción “-h” para invocar el menú de ayuda.
ffuf –h
OPCIONES DE ENTRADA
Estos son parámetros que nos ayudan a proporcionar los datos necesarios para una búsqueda web de una URL mediante listas de palabras.
Ataque normal
Para un ataque predeterminado, use los parámetros “-u” para la URL objetivo y “-w” para cargar la lista de palabras.
Después de ejecutar el comando, deberá centrarse en los resultados.
Primero, vale la pena señalar que, de forma predeterminada, funciona en HTTP utilizando el método GET
También puede ver el estado del código de respuesta [200, 204, 301, 302, 307, 401, 403, 405}. Puede realizar un seguimiento del progreso del ataque que se está realizando
Uso de varias listas de palabras
Los expertos del curso de Ciberseguridad 360 mencionan que una sola lista de palabras no siempre basta para obtener los resultados deseados. En estos casos, puede aplicar varias listas de palabras al mismo tiempo, una de las funciones más atractivas de ffuf. En este ejemplo, hemos otorgado al programa acceso a dos diccionarios (txt:W1 y txt:W2), que la herramienta ejecutará al mismo tiempo:
Por lo general, la lista de palabras predeterminada tiene algunos comentarios que pueden afectar la precisión de los resultados. En este caso, podemos usar el parámetro “-ic” para eliminar los comentarios. Además, para eliminar cualquier banner en las herramientas utilizadas, utilice el parámetro “-s”:
Aquí podemos notar que se muestran algunos comentarios en los resultados si se ejecuta el comando anterior. Después de usar los parámetros “-s” y “-ic”, se eliminarán todos los comentarios y banners.
También es posible buscar un archivo con una extensión específica en un servidor web usando la opción “—e”. Todo lo que necesita hacer es especificar la extensión y el nombre del archivo junto con el parámetro en el formato de comando apropiado:
Burp Suite es una plataforma profesional para monitorear la seguridad de aplicaciones web. La función “cluster bomb” permite utilizar múltiples cargas útiles, mencionan los expertos del curso de Ciberseguridad 360. Hay un paquete de carga útil separado para cada ubicación determinada; el ataque pasa por cada paquete de carga útil uno por uno, comprobando todas las opciones posibles.
Hay varios parámetros de esta herramienta que facilitan el uso del script. Por ejemplo, el parámetro “-request” permite utilizar la solicitud en un ataque, mientras que “-request-proto” le permite definir el parámetro en sí, y “-mode” ayuda a elegir el modo de ataque.
En primer lugar, se utilizan credenciales aleatorias en la página de URL objetivo y se configura el servidor proxy para capturar la solicitud en modo de intercepción en Burp Suite.
Ahora, en la pestaña Intercepción, debe cambiar las credenciales proporcionadas agregando HFUZZ y WFUZZ. Se añade HFUZZ antes de “uname” y WFUZZ antes de “pass”. Luego, debe copiar y pegar esta consulta en el texto y el nombre de acuerdo con los fines del proyecto. En este caso, se nombró al archivo como brute.txt.
Posteriormente pasaremos al modo de ataque principal, donde el parámetro “-request” contiene un archivo de texto “-request-proto” que lo ayudará a crear un prototipo de http, y “-mode” será responsable del ataque “cluster bomb”. Las listas de palabras en cuestión (users.txt y pass.txt) consisten en inyecciones SQL. Al ingresar el siguiente comando, se lanzará un ataque:
Como se puede ver en los resultados del ataque, se ha descubierto con éxito que las inyecciones SQL son efectivas para este propósito específico.
OPCIONES DE MAPEO
Si deseamos que el ffuf muestre solo los datos que son importantes para el fuzzing web, debemos prestar atención a estos parámetros. Por ejemplo, puede ser código HTTP, cadenas, palabras, tamaño y expresiones regulares, mencionan los expertos del curso de Ciberseguridad 360.
Código HTTP
Para comprender esta configuración, debe considerar un ataque simple en el podrá ver qué códigos HTTP aparecen en los resultados.
Está claro que se recibieron los códigos 302 HTTP y 200 HTTP.
Si desea ver ataques específicos, como el código HTTP 200, debe usar el parámetro “-mc” junto con un número específico. Para verificar que este parámetro funciona, solo necesita ejecutar el siguiente comando:
La herramienta devuelve resultados para líneas específicas en el archivo usando el parámetro “-ml”. Podemos usarlo especificando las cadenas que necesitamos.
Del mismo modo, dado que las opciones anteriores corresponden a una función, puede proporcionar un resultado con un número determinado de palabras. Para esto, use el parámetro “-mw” junto con la cantidad de palabras que desea ver en los resultados.
Esta es la última de todas las opciones de mapeo disponibles en ffuf. Se aplicará fuzzing de LFI haciendo coincidir la cadena con el patrón “root:x” subsiguiente para este diccionario.
Se usa una URL que puede proporcionar esta funcionalidad, y con el parámetro “-mr”, se define la cadena correspondiente “root:x”. Así es como se ve una lista especial de palabras.
Usando esta lista de palabras, ingresamos el siguiente comando para agregar el parámetro “-mr” al script de ataque:
Recibimos la respuesta http 200 para /etc/passwd para esta lista de palabras.
OPCIONES DE FILTRADO
Las opciones de filtrado son exactamente lo contrario de los parámetros coincidentes. Los expertos del curso de Ciberseguridad 360 recomiendan usar estas opciones para eliminar elementos innecesarios durante el fuzzing web. También se aplica al código HTTP, cadenas, palabras, tamaño y expresiones regulares.
Código HTTP
El parámetro “-fc” requiere un código de estado HTTP específico que el usuario desea eliminar de los resultados.
A continuación se muestran los parámetros generales de esta herramienta, los cuales están completamente relacionados con el proceso de fuzzing web.
Calibración automática personalizada
La calibración es el proceso de proporcionar a un instrumento de medición la información que necesita para comprender el contexto en el que se utilizará. Al recopilar datos, calibrar su computadora asegura que el proceso funcione con precisión, mencionan los expertos del curso de Ciberseguridad 360.
Podemos ajustar esta función según las necesidades en cada caso usando el parámetro “-acc”, que no se puede usar sin el parámetro “-ac”.
Si desea aplicar fuzzing por un período de tiempo limitado, puede usar el parámetro “-maxtime”. Debe ingresar un comando para especificar el intervalo de tiempo seleccionado.
Usando el parámetro “-max time-job”, el usuario puede establecer un límite de tiempo para un trabajo específico. Con este comando, podrá limitar el tiempo que tarda en completar una tarea o consulta.
Usando el parámetro “-p”, el usuario agregará un ligero delay para cada solicitud ofrecida por el ataque. Según los expertos del curso de Ciberseguridad 360, con esta característica la consulta se vuelve más eficiente y proporciona resultados más claros.
Podemos seleccionar la velocidad de solicitud que necesita para cada uno de los ataques mediante el parámetro “-rate”. Por ejemplo, podremos crea una solicitud por segundo según el ataque deseado.
Hay tres parámetros que soportan la función de error. El primer parámetro es “-se”, un “falso error” que dice si la próxima solicitud es genuina o no. El segundo parámetro “-sf” detendrá el ataque cuando más del 95% de las solicitudes se cuenten como un error. El tercer parámetro es “-sa”, una combinación de los parámetros anteriores.
En el ejemplo mostrado a continuación, usaremos el parámetro “-se”:
El Modo Detallado es una función utilizada en muchos sistemas operativos que proporciona información adicional sobre lo que hace la computadora y qué controladores y aplicaciones carga cuando se inicializa. En programación, este modo proporciona una salida precisa para fines de depuración, lo que facilita la depuración del programa en sí. Para acceder a este modo, se aplica el parámetro “-v”.
El parámetro “-t” se utiliza para acelerar o ralentizar el proceso. De forma predeterminada, está configurado en 40. Si desea acelerar el proceso, debe aumentar su valor.
Podremos guardar los resultados de los ataques realizados con el fin de mantener registros, mejorar la legibilidad y encontrar posibles enlaces. Ingrese el parámetro “-o” para guardar la salida, pero debe especificar su formato usando el parámetro “-of”.
ffuf -u http://192.168.1.12/dvwa/FUZZ/ -w dict.txt -o file.html -of html
Una vez que se completa el ataque, se debe verificar si el archivo con los datos de salida corresponde a este formato o no, mencionan los expertos del curso de Ciberseguridad 360. Como puede ver, el archivo en sí se refiere a HTML.
Datos de salida en formato CSV
De manera similar, podremos crear archivos CSV usando el parámetro “-of”, donde csv son valores separados por comas. Por ejemplo:
Cuando se completa el ataque, debe verificar si el archivo con los datos de salida corresponde a este formato o no. Como puede ver, el archivo en sí pertenece al CSV.
Salida de datos en todos los formatos disponibles
De manera similar, si desea recuperar datos en todos los formatos, use el parámetro “-of all”. Por ejemplo, puede ser json, ejson, html, md, csv, ecsv.
ffuf -u http://192.168.1.12/dvwa/FUZZ/ -w dict.txt -o output/file -of all
Ahora, una vez que se completa el ataque, debe verificar todos los archivos. Podemos ver que se guardaron en varios formatos.
OPCIONES HTTP
A veces, el proceso de fuzzing requiere detalles como una solicitud HTTP, cookies y un encabezado HTTP, mencionan los expertos del curso de Ciberseguridad 360.
Time-out
Esta función actúa como una fecha límite para que se complete el evento. El parámetro “-timeout” ayuda a activar esta opción.
Según los expertos del curso de Ciberseguridad 360, este es un mecanismo para reutilizar objetos; si un programa requiere que el usuario acceda a una función dentro de otra función, esto se denomina llamada recursiva a la función. Usando el parámetro “-recursion”, el usuario puede implementar esta funcionalidad en sus ataques.
Hay ocasiones en que el fuzzing no es efectivo en un sitio en el que se requiere autenticación. En estos casos, podemos usar el parámetro “-b” para usar cookies de sesión.
Hay límites de velocidad cuando se usa la función Intruso en la versión gratuita de Burp (Community Edition). El ataque se ralentizó mucho, y cada nueva “orden” lo ralentizaba aún más.
En este caso, el usuario utiliza el servidor proxy de Burp Suite para obtener los resultados y evaluarlos. Primero, debe instalar el servidor proxy localhost en el número de puerto 8080.
Ahora usemos “-replay-proxy”, que ayuda a obtener el servidor proxy local del host, instalado en el paso anterior en el número de puerto 8080.
Este ataque mostrará resultados en dos plataformas. La primera plataforma está en la terminal Kali Linux y la segunda está en la pestaña “HTTP history” en Burp Suite. Con la ayuda de varios métodos, podrá comprender mejor el objetivo y analizar los resultados del ataque.
Es común que se compare a ffuf con otras herramientas como dirb o dirbuster. Si bien ffuf se puede usar para el despliegue de ataques de fuerza bruta, su verdadero atractivo radica en la simplicidad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, y más detalles sobre el curso de Ciberseguridad 360, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
