Cómo suplantar/cambiar/falsificar la dirección mac automáticamente y ser más anónimo

En este artículo, consideraremos cómo cambiar (cambiar, falsificar) la dirección MAC en su computadora Linux, así como también usar diferentes herramientas para el reemplazo automático de la dirección MAC.

¿Por qué cambiar la dirección MAC?

La dirección MAC es (debería ser) única para cada interfaz de red. Por cierto, si el dispositivo tiene varias interfaces de red, cada una de ellas tiene su propia dirección MAC. Por ejemplo, las computadoras portátiles tienen al menos dos interfaces de red: cableada y Wi-Fi; cada una de ellas tiene una dirección MAC. Las computadoras de escritorio suelen ser iguales. Cuando hablamos de “cambiar direcciones MAC”, debemos entender que hay varias de estas direcciones. Por cierto, cada puerto tiene su propia dirección MAC única, si el dispositivo admite redes inalámbricas, cada interfaz inalámbrica (2,4 GHz y 5 GHz) también tiene su propia dirección MAC.

Entonces, dado que la dirección MAC debe ser única, le permite identificar de manera única el dispositivo de red. Y dado que este dispositivo de red es parte de su computadora, esto le permite identificar su computadora de manera única. Además, la dirección MAC (también llamada dirección física de hardware) no cambia cuando cambia el sistema operativo.

En resumen, se necesita el reemplazo de la dirección MAC para que no sea posible rastrear e identificar el dispositivo por la dirección MAC. Pero hay una razón más importante (que la paranoia) para conocer las direcciones MAC y los métodos de sustitución o prohibición de cambios en su sistema. Según las direcciones MAC, la identificación del usuario se puede realizar cuando se conecta a través del Portal de Intercepción. Algunas palabras sobre el Portal de Intercepción. Portal cautivo). Esta es una forma de obligar al usuario a cumplir con ciertas condiciones para proporcionar acceso a Internet. Es muy frecuente encontrar ejemplos de Portales de Intercepción en lugares públicos que brindan servicios de acceso a Internet vía Wi-Fi a un círculo indefinido de personas, pero que quieren identificar al usuario y/o permitir el acceso solo a personas con credenciales. Por ejemplo, en el aeropuerto puede que necesites confirmar tu número de teléfono por SMS para acceder a la red Wi-Fi gratuita. El hotel le proporcionará un nombre de usuario y una contraseña para acceder a Internet a través de Wi-Fi; esto garantiza que solo los clientes del hotel pueden utilizar los servicios de Wi-Fi. 

Debido a las características del Portal de Intercepción, la identificación del usuario se basa en las direcciones MAC. Y a partir de NetworkManager 1.4.0 (un popular programa para administrar conexiones de red en Linux), ahora está presente una falsificación automática de direcciones MAC. Y en caso de configuraciones incorrectas, puede encontrar un problema de acceso a Internet a través del Portal de Intercepción. También hay problemas con el filtrado personalizado por MAC en el router.

Bueno, para expertos de pentesting, por supuesto, hay razones para cambiar la dirección MAC: por ejemplo, para hacerse pasar por otro usuario y aprovechar su acceso abierto al mundo mágico de Internet, o para aumentar el anonimato.

¿Quién puede ver mi dirección MAC?

La dirección MAC se utiliza para transferir datos en una red local. Es decir, no se transmite al conectarse a sitios web y al acceder a la red global. Aunque hay excepciones: algunas vulnerabilidades permiten que una persona que no está en tu red local averigüe tu dirección MAC.

Si se conecta al router a través de la red local, entonces el enrutador conoce su dirección MAC, pero si abre el sitio en Internet, el propietario del sitio no puede encontrar su dirección MAC.

Todos los dispositivos ubicados en la red local pueden ver las direcciones MAC de los demás (hay muchos escáneres que pueden obtener estos datos). Un ejemplo de un escaneo de red local hecho usando arp-scan. Una situación ligeramente diferente con las interfaces de red inalámbrica. Si está conectado a un punto de acceso (enrutador), todas las reglas de la red local funcionan: el enrutador y otros dispositivos pueden averiguar su dirección MAC. Pero también cualquier persona que esté al alcance de tu señal Wi-Fi (desde el teléfono, la computadora portátil) puede averiguar tu dirección MAC.

Suplantación de direcciones MAC en NetworkManager

NetworkManager puede reasignar direcciones MAC instaladas por otros programas.

A partir de NetworkManager 1.4.0, este programa admite la suplantación de direcciones MAC y tiene muchas opciones diferentes.

Para que podamos entenderlos, necesitamos entender algunos conceptos

. Primero, los adaptadores de red son:

• cableados (Ethernet);
• inalámbrico (wifi).

Para cada grupo, las reglas MAC se personalizan por separado.

En segundo lugar, un adaptador inalámbrico puede estar en dos estados:

• escaneando (búsqueda, no conectado a la red) – se configura usando la propiedad wifi.scan-rand-mac-address, configurada de forma predeterminada en yes, lo que significa que durante el escaneo establece un dirección MAC arbitraria. Otro valor aceptable es no;
• conectado a la red: instalado mediante la propiedad wifi.cloned-mac-address, el valor predeterminado es preserve.

Para la interfaz cableada (instalada por la propiedad ethernet.cloned-mac-address) y la interfaz inalámbrica en el estado de conexión (instalada por la propiedad wifi.cloned-mac-address) están disponibles los siguientes valores (regímenes):

• dirección MAC claramente especificada ( puede escribir el valor deseado que se asignará a la interfaz de red)
• permanente: use la dirección MAC cosida en el dispositivo
• preservar: no cambie la dirección MAC del dispositivo después de la activación (por ejemplo, si la MAC ha sido cambiada por otro programa , se usará la dirección actual)
• aleatorio: generar una variable aleatoria para cada conexión
• estable: similar a aleatorio – es decir, para cada conexión generar una variable aleatoria, NO al conectarse a la misma red, se generará el mismo valor
• NULL / no instalado: este es el valor predeterminado que le permite volver a la configuración global de forma predeterminada. Si no se establece la configuración global, NetworkManager retrocede al valor preservado.

Si está intentando cambiar la MAC de otras maneras y está fallando, es muy posible que NetworkManager, que cambia la MAC en sus propias reglas, sea el culpable. Dado que la mayoría de las distribuciones de Linux con una interfaz gráfica de NetworkManager están instaladas y se ejecutan de manera predeterminada, para resolver su problema, primero debe comprender cómo funciona NetworkManager y según qué reglas.

Archivos de configuración de NetworkManager La configuración

Configuración de NetworkManager, incluyendo la configuración relacionada con MAC, se puede realizar en un archivo /etc/NetworkManager/NetworkManager.conf o agregando un archivo adicional con la extensión . . . .conf al directorio /etc/NetworkManager/conf.d La segunda opción es muy recomendable, ya que al actualizar NetworkManager suele sustituir al principal . . . . . . . . . .conf y si realizó cambios en /etc/NetworkManager/NetworkManager.conf, la configuración que realizó se sobrescribirá.

Cómo hacer que Kali Linux se reemplace con cada conexión

Si desea que la dirección MAC se reemplace con cada conexión, pero se usa la misma MAC en la conexión a la misma red, entonces el archivo /etc/NetworkManager/conf.d/mac. conf:

sudo gedit /etc/NetworkManager/conf.d/mac.conf

Agregar las líneas:

[connection]
ethernet.cloned-mac-address=stable
wifi.cloned-mac-address=stable

Las líneas con ethernet.cloned-mac-address y wifi.cloned -mac-address se pueden agregar individualmente o juntas.

Comprobar los valores actuales:

ip link

Reiniciar el servicio:

sudo systemctl restart NetworkManager

Realizaremos conexiones a redes cableadas e inalámbricas. Ahora verifique los valores de MAC nuevamente

Como puede ver, MAC se reemplaza tanto para las interfaces cableadas como inalámbricas.

Como ya se mencionó, se generarán las mismas direcciones para las mismas redes, si desea diferentes MAC cada vez incluso para las mismas redes, entonces las líneas deberían verse así:

[connection]
ethernet.cloned-mac-address=random
wifi.cloned-mac-address=random

Cómo configurar la suplantación automática de MAC en Ubuntu y Linux Mint

Ubuntu y Linux Mint usa versiones de NetworkManager que admitan la configuración automática de MAC. Sin embargo, si conecta una tarjeta Wi-Fi a Ubuntu o Linux Mint, verá una MAC real. Esto se debe al hecho de que en el archivo /etc/NetworkManager/NetworkManager.conf se indica que no se debe falsificar:

Para cambiar esto, abra el archivo:

sudo gedit /etc/NetworkManager/NetworkManager.conf

Y elimine las líneas:

[device]
wifi.scan-rand-mac-address=no

o comente sobre ellos para que esto suceda:

#[device]
#wifi.scan-rand-mac-address=no

o cambie no en sí:

[device]
wifi.scan-rand-mac-address=yes

Y reinicie NetworkManager:

sudo systemctl restart NetworkManager

De manera similar, puede agregar líneas para reemplazar MAC (esta configuración crea una nueva dirección para cada conexión, pero cuando se conecta a las mismas redes, el se usa la misma dirección):

[connection]
ethernet.cloned-mac-address=stable
wifi.cloned-mac-address=stable

Otras formas de cambiar la dirección MAC

Cambiar MAC usando iproute2

Usaremos el programa ip, que se incluye en el paquete iproute2.

Comencemos verificando la dirección MAC actual con el comando:

ip link show interface_name

Donde Interface_name : este es el nombre de una interfaz de red en particular que desea ver. Si no conoce el nombre o desea ver todas las interfaces, puede iniciar el comando de la siguiente manera:

ip link show

Por el momento, nos interesa la parte que sigue después de link / ether“y representa un 6 -número de byte. Se verá así:

link/ether 00:c0:ca:96:cf:cb

El primer paso para falsificar direcciones MAC es transferir la interfaz a un estado inactivo. Esto lo hace el equipo:

sudo ip link set dev interface_name down

Donde Interface_name reemplaza el nombre real.En mi caso, este wlan0, entonces el equipo real se ve así:

sudo ip link set dev wlan0 down

A continuación, vamos directamente a la falsificación de MAC puede usar cualquier valor hexadecimal, pero algunas redes pueden estar configuradas para no asignar direcciones IP a clientes cuya dirección MAC no coincida con ningún proveedor (productor) conocido. En estos casos, para que pueda conectarse con éxito a la red, use el prefijo MAC de cualquier proveedor real (primeros tres bytes) y use valores arbitrarios para los próximos tres bytes

La MAC, necesitamos ejecutar el comando:

sudo ip link set dev interface_name address XX:XX:XX:XX:XX:XX

Donde XX: XX: XX: XX: XX: XX – Esta es la nueva MAC deseada.

Por ejemplo, quiero configurar la dirección de hardware EC: 9B: F3: 68: 68: 28 para mi adaptador, luego el equipo se ve así:

sudo ip link set dev wlan0 address EC:9B:F3:68:68:28

En el último paso, devolvemos la interfaz al estado activo. Esto lo puede hacer un equipo de la forma :

sudo ip link set dev interface_name up

Para mi sistema:

sudo ip link set dev wlan0 up

Si desea verificar si la MAC realmente ha cambiado, simplemente ejecute el comando nuevamente:

ip link show interface_name

El valor después de “link / ether“debe ser el que instaló.

Cambiar MAC con macchanger

Otro método utiliza macchanger (también conocido como GNU MAC Changer). Este programa ofrece varias funciones, como cambiar la dirección para que coincida con un fabricante en particular, o su completa aleatorización.

Configure macchanger: generalmente está presente en los repositorios oficiales y en Kali Linux está instalado de forma predeterminada.

Al momento del cambio de MAC, el dispositivo no debe estar en uso (estar conectado de alguna forma, o tener estado arriba). Para transferir la interfaz a un estado inactivo:

sudo ip link set dev interface_name down

Para la suplantación de identidad, debe especificar el nombre de la interfaz y reemplazar en cada comando siguiente wlan0 en el nombre de la interfaz que desea cambiar el MAC.

Para conocer los valores de MAC, ejecute el comando con la opción -s:

sudo macchanger -s wlan0

Algo así como:

Current MAC:   00:c0:ca:96:cf:cb (ALFA, INC.)
Permanent MAC: 00:c0:ca:96:cf:cb (ALFA, INC.)

La línea “Current MAC” significa la dirección actual y “Permanent MAC” significa una dirección constante (real).

Para suplantar la dirección MAC a una dirección completamente arbitraria (opción -r):

sudo macchanger -r wlan0

Se mostrará lo siguiente:

Current MAC:   00:c0:ca:96:cf:cb (ALFA, INC.)
Permanent MAC: 00:c0:ca:96:cf:cb (ALFA, INC.)
New MAC:        be:f7:5a:e7:12:c2 (unknown)

Las dos primeras líneas ya están explicadas, la línea ” Nueva MAC” significa una nueva dirección.

Para la aleatorización, sólo los bytes que determinan la unicidad del dispositivo, la dirección MAC actual (es decir, si verifica la dirección MAC, se registrará como del mismo proveedor) ejecute el comando (opción -e):

sudo macchanger -e wlan0

Para establecer la dirección MAC en un valor específico, ejecute (opción -m):

sudo macchanger -m XX:XX:XX:XX:XX:XX wlan0

Aquí XX: XX: XX: XX: XX: XX – Este es el MAC al que desea cambiar.

Finalmente, para devolver la dirección MAC al valor constante original prescrito en el hierro (opción -p):

sudo macchanger -p wlan0

Conclusión

Actualmente, NetworkManager proporciona una gran cantidad de capacidades de suplantación de MAC, incluido un cambio a una dirección aleatoria o uno específico. Una característica de NetworkManager es la separación de los modos “escaneado” y “conectado”, por lo que es posible que no vea que la configuración realizada ya ha entrado en vigor hasta que se conecte a cualquier red.

Si después del cambio de MAC tiene problemas para conectarse (no puede conectarse a redes, ya sea por cable o inalámbricas), esto significa que existe una prohibición de conectarse con MAC de un proveedor desconocido (productor). En este caso, debe usar los primeros tres octetos (bytes) de cualquier proveedor real, los tres octetos restantes pueden ser arbitrarios de acuerdo los expertos de pentesting.

Para Windows, pronto escribiremos el artículo “cómo cambiar la dirección MAC en Windows”

El cargo Cómo suplantar/cambiar/falsificar la dirección mac automáticamente y ser más anónimo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

3 Estafadores de la aplicación de citas “Plenty of fish”. Robaron a millones de mujeres inocentes haciéndose pasar por un millonario petrolero

Tres hombres han sido encarcelados hoy por su papel en un fraude romántico durante el cual se robaron cientos de miles de euros a una mujer de 66 años durante un período de seis meses.

Los hombres crearon un perfil falso en una app de citas y tomaron más de  €282,000 de la mujer que, según afirmaron, era para  un negocio de exploración.

Rasak Sadu (izquierda), Omowale Owalabi (centro) y Samson Ajayi (derecha) recibieron sentencias que van de dos años y medio a tres años y medio

También la enviaron a Dubái donde le pidieron otros 650,000 dólares.

Omowale Owalabi, de 31 años, se declaró culpable de robo en  Tribunal de Kentswood en Navan; Rasak Sadu, de 30 años, de Lohunda Downs, Clonsilla en Dublín, admitió conspiración para defraudar, mientras que Samson Ajayi, de 33 años, de Parkwood, Grangerath en Co Meath, se declaró culpable de tres cargos de lavado de dinero.

El detective Garda John McKenna le dijo a la corte que se crearon un perfil falso en el sitio de citas ‘Plenty of Fish’ a nombre de Neil Turner y que hubo un amplio contacto con la mujer, más de 800 páginas de mensajes y expresiones de romance.

También recibió solicitudes de dinero para apoyar a la compañía de exploración de petróleo y gas de ‘Neil Turner’.

Le dijeron que vencía una herencia y que recuperaría el dinero, pero en los seis meses del 7 de noviembre de 2019 al 5 de mayo de 2020 ella  transfirió más de € 282.707,51. De estos, € 27.760 le fueron devueltos por un error de transferencia.

El dinero se entregó en diez transacciones de entre 3.500 y 70.000 euros.

La víctima fue a Dubai en 2019 después de que se le pidiera que actuará como representante de los estafadores para obtener fondos. Le dijeron que el ‘Sr. Turner’ no podía ir porque estaba en una plataforma petrolera.

Ella misma arregló los vuelos y el alojamiento y allí fue recibida por personas que le pidieron su identificación, los detalles del pasaporte y le presentaron la documentación para que la firmara.

Le mostraron lo que dijeron que era un paquete con  $3.25 millones de dollares y le pidieron $650,000 para liberarlo.

Cuando les dijo que no tenía el dinero, la llevaron de regreso a su hotel y regresó a Dublín asustada por su experiencia.

Sin embargo, los estafadores la tranquilizaron y ella cumplió con más solicitudes de dinero.

Incluso pidió prestados $50,000 a un amigo y se los dio porque no los tenía.

La mujer pensó que la cuenta y las solicitudes de dinero eran genuinas. Una vez le dijeron que el dinero era para comida para los trabajadores de la plataforma petrolera.

Los estafadores eran “bastante persistentes” y ella creía todo lo que le decían. Le dijeron que tenían “presión arterial alta”, que “necesitaban ayuda” y que “no sabían qué hacer”.

 Le quitaron los ahorros de toda su vida antes de ir a la Dubái. La Oficina de Investigación de Fraudes de Garda identificó a los tres hombres en Irlanda como involucrados.

Encontraron extractos de los mensajes en el iPhone de Rasak Sadu y encontraron referencias a varias cuentas de usuario y otras cuentas falsas con encuentros románticos por dinero.

Al menos otras dos personas fueron atacadas, pero estas personas no enviaron dinero. Sadu recibió dinero directamente de la víctima en este caso y lo transfirió a otros.

Encontraron referencias a la víctima en laptop de Samson Ajayi, correos electrónicos de ‘Neil Turner’ y otros datos relacionados con un fraude romántico similar.

También encontraron datos de la cuenta de ‘Neil Turner’ y mensajes con la víctima en el iPhone de Omowale Owalabi, así como discusiones sobre cómo dividir el dinero entre los involucrados.

En su laptop encontraron el nombre de usuario y la contraseña de la cuenta de ‘Neil Turner’, así como mensajes de ‘Mark’ a otras personas con una historia similar a la de ‘Neil Turner’ y solicitudes de dinero.

La cuenta bancaria de Owalabi recibió €164.000 durante ocho años, €78.000  de los cuales no se explicaron. Compró un Mercedes y un reloj Rolex por €25.000.

Ajayi tenía dos cuentas, una con€ 85.000 en cinco años, otra cuenta comercial a nombre de una empresa de logística con €73.000 en seis meses.

El tribunal escuchó que se recibieron más de €319 000 € durante un período de tres años y medio, de los cuales €280 000 no se explicaron.

Los tres hombres dijeron que lamentaban lo que habían hecho. El juez Martin Nolan dijo que lo que hicieron estuvo “muy mal”.

Prometieron romance y nunca tuvieron la intención de cumplir esa promesa.

Su ambición, dijo, era extraer la mayor cantidad de efectivo posible y estaban tratando de atraer a otros al plan.

La mujer perdió un cuarto de millón de euros, “una enorme cantidad de dinero”.

Estos fraudes, dijo el juez, “dañan” a las personas porque están muy “avergonzadas y humilladas por su propia estupidez y no se lo dicen a los guardias”. También dijo que “todo el mundo es estúpido en algún momento”.

Encarceló a Samson Ajayi durante tres años y medio, a Rasak Sadu durante tres años ya Omowale Owalabi durante dos años y medio.

El superintendente de detectives Michael Cryan de la Oficina Nacional de Delitos Económicos dijo que es la primera vez que alguien ha sido encarcelado en Irlanda por el delito de fraude romántico.

“Fue una condena significativa y las víctimas no deben tener miedo ni vergüenza de presentarse, no hay culpabilidad de las víctimas y cualquiera puede ser víctima de un delito como este”, agregó. Según reporte de RTE.

El cargo 3 Estafadores de la aplicación de citas “Plenty of fish”. Robaron a millones de mujeres inocentes haciéndose pasar por un millonario petrolero apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

3 VULNERABILIDADES QUE AFECTAN A IBM QRADAR SIEM. PARCHE INMEDIATAMENTE

IBM ha publicado detalles de las vulnerabilidades que afectan a IBM QRadar SIEM. A continuación se muestran los detalles.

1) Error de validación de entrada

CVE-ID: CVE-2017-9801

Descripción

La vulnerabilidad permite que un atacante remoto inyecte archivos arbitrarios. La vulnerabilidad existe debido a una falla de validación de entrada incorrecta en el método setSubject(). Un atacante remoto puede proporcionar un valor especialmente diseñado que contenga caracteres de salto de línea, inyectar encabezados SMTP y realizar más ataques.

Mitigación

Instalar actualizaciones del proveedor.

Versiones de software vulnerable

IBM Qradar SIEM: 7.3 – 7.5.0 Update Pack 1

2) Error de validación de entrada

CVE-ID: CVE-2018-1294

Descripción

La vulnerabilidad permite que un atacante remoto obtenga acceso a información confidencial .La vulnerabilidad existe debido a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y obtener información confidencial.

Mitigación

Instale actualizaciones del proveedor.

Versiones de software vulnerable

IBM Qradar SIEM: 7.3 – 7.5.0 Update Pack 1

3) Escalación de privilegios

CVE-ID: CVE-2021-39088

Descripción

La vulnerabilidad permite a un atacante local escalar privilegios en el sistema.

La vulnerabilidad existe debido a que la aplicación no impone adecuadamente las restricciones de seguridad. Un atacante local puede eludir las restricciones de seguridad y aumentar los privilegios en el sistema.

Mitigación

Instalar actualización del proveedor..

Versiones de software vulnerable

IBM Qradar SIEM: 7.3 – 7.5.0 Update Pack 1

El cargo 3 VULNERABILIDADES QUE AFECTAN A IBM QRADAR SIEM. PARCHE INMEDIATAMENTE apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

11 vulnerabilidades críticas en diferentes versiones de candado inteligente

Los investigadores han identificado hasta once vulnerabilidades críticas en diferentes versiones de Nuki Smart Locks. Los investigadores de seguridad de TI de NCC Group, con sede en Manchester, Inglaterra, han publicado un aviso técnico que explica cómo Nuki Smart Locks era vulnerable a una gran cantidad de posibilidades de ataque. Vale la pena señalar que Nuki Home Solutions es un proveedor de soluciones para el hogar inteligente. Aquí hay una descripción detallada de las once vulnerabilidades en las cerraduras de Nuki.

Falta de validación de certificado en comunicaciones TLS

Esta falla se rastrea como CVE-2022-32509 y afecta a la versión 3.0 de Nuki Smart Lock. Según la investigación de NCC Group, la empresa no implementó la validación de certificados SSL/TLS en sus dispositivos Smart Lock y Bridge. Sin la validación del certificado SSL/TLS, los atacantes pueden realizar ataques man-in-the-middle y acceder al tráfico de red enviado a través de un canal cifrado.

Desbordamiento del búfer

Rastreada como CVE-2022-32504, esta vulnerabilidad afecta a Nuki Smart Lock 3.0. El problema puede permitir que un atacante obtenga privilegios de ejecución de código arbitrario en el dispositivo. La vulnerabilidad se encuentra en el código que implementa el análisis de objetos JSON recibido del SSE WebSocket, lo que genera un desbordamiento del búfer de stack.

Desbordamiento del búfer al analizar los parámetros HTTP

El código responsable de supervisar la lógica de análisis de los parámetros API de HTTP provoca un desbordamiento del búfer de pila. Podría explotarse para realizar la ejecución de código arbitrario. Esta vulnerabilidad se rastrea como CVE-2022-32502 y se descubrió en la versión 1 de Nuki Bridge.

Controles de acceso inadecuadas en el protocolo BLE

La vulnerabilidad se rastrea como CVE-2022-32507 y afecta a Nuki Smart Lock 3.0. La investigación reveló que se utilizaron medidas de control de acceso inadecuadas en la Bluetooth Low Energy , lo que podría permitir a los usuarios enviar comandos de alto privilegio al Keyturner sin estar autorizados para ello.

TAG expuesta a través de puntos de prueba

Esta falla está clasificada como CVE-2022-32503 y afecta al teclado Nuki. El problema expuso las interfaces de hardware JTAG en los dispositivos afectados.

La explotación de esta falla puede permitir que un atacante use la función de escaneo de límites JTAG para controlar la ejecución del código en el procesador, depurar el firmware y leer/alterar el contenido de la memoria flash interna/externa. Sin embargo, el atacante debe tener acceso físico a la placa de circuito para aprovechar la función de escaneo.

Información confidencial enviada sin cifrar

Esta vulnerabilidad tiene asignada la CVE-2022-32510 e impacta en la versión 1 de Nuki Bridge. Bridge expone la API HTTP mediante un canal sin cifrar para acceder a una interfaz administrativa. El atacante puede recopilar pasivamente la comunicación entre la API HTTP y un cliente después de acceder a cualquier dispositivo conectado a la red local. Un actor malintencionado puede suplantar convenientemente a un usuario legítimo y acceder al conjunto completo de puntos finales de la API.

Interfaces WD expuestas 

Rastreadas como CVE-2022-32506, la vulnerabilidad expusa las interfaces de hardware SWD y se identificó en Nuki smart lock 3.0. El atacante puede usar la función de depuración SWD después de tener acceso físico a la placa de circuito, controlar la ejecución del código del procesador y depurar el firmware.

Denegación de servicio a través de mensajes API HTTP no autenticados

Esta vulnerabilidad está clasificada como CVE-2022-32508 e impacta en la versión 1 de Nuki Bridge. La vulnerabilidad hizo que los dispositivos fueran vulnerables a ataques de denegación de servicio (DoS) si el atacante usaba paquetes HTTP. Por lo tanto, impacta el acceso al Puente y hace que el dispositivo sea inestable.

Denegación de servicio a través de paquetes BLE no autenticados

Rastreada como CVE-2022-32505, esta vulnerabilidad hizo que los dispositivos afectados fueran vulnerables a ataques DoS a través de paquetes BLE especialmente diseñados. Esto podría afectar la disponibilidad de Keyturner y hacer que el dispositivo sea inestable. Se encontró que la mayoría de las características de BLE son vulnerables a este problema.

Implementación insegura de claves de invitación

Esta vulnerabilidad afecta a la versión 2.22.5.5 (661) de la aplicación Nuki Smart Lock. El token de invitación creado para identificar a un usuario durante un proceso de invitación se utiliza para cifrar/descifrar las claves de invitación en los servidores de Nuki. Un actor de amenazas puede tomar fácilmente el control total de los servidores a través de esta falla y filtrar datos confidenciales.

Nombre del Opener podría sobrescribirse sin autenticación

El Nuki Opener se ve afectado por esta vulnerabilidad que surgió de una implementación insegura de Opener Bluetooth Low energy, que permite a los actores malintencionados cambiar el nombre del dispositivo BLE. El dispositivo permitió que un atacante no autenticado cambiara el nombre del dispositivo BLE.

El Grupo NCC informó a Nuki sobre estos defectos el 20 de abril de 2022 y la empresa respondió rápidamente. 

El cargo 11 vulnerabilidades críticas en diferentes versiones de candado inteligente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

La Policía detiene a dos ciberdelincuentes por hackers Red de Alerta de Radiactividad en España

La Policía española ha anunciado la detención de dos hackers  presuntos responsables de ciberataques a la Red de Alerta de Radiactividad (RAR) del país, ocurridos entre marzo y junio de 2021. Los dos detenidos son ex trabajadores de una empresa contratada por la Dirección General de Protección Civil y Emergencias (DGPGE) para mantener el sistema RAR, por lo que tenían un conocimiento profundo de su funcionamiento y cómo lanzar un ciberataque efectivo.

El malware infecta una central nuclear en Alemania

Los hackers  accedieron ilegítimamente a la red de la DGPGE e intentaron borrar la aplicación web de gestión de RAR en el centro de control.

Paralelamente, el dúo lanzó ataques individuales contra sensores, eliminando 300 de los 800 repartidos por España, rompiendo esencialmente su enlace con el centro de control e interrumpiendo el intercambio de datos.

El sabotaje cibernético contra RAR se detuvo en junio de 2021 luego de que las autoridades descubrieran la brecha e iniciaran una investigación inmediata con la ayuda de la unidad de delitos cibernéticos de la Policía Nacional.

Finalmente, después de un año de seguir los rastros de los hackers, la policía pudo localizar a los responsables del ciberataque.

España opera siete reactores nucleares en seis centrales eléctricas en Cáceres, Tarragona, Valencia, Guadalajara, Salamanca y Córdoba, cubriendo aproximadamente el 20% de sus necesidades energéticas nacionales con el programa.

El papel del sistema RAR es detectar aumentos repentinos en los niveles de radiactividad y dar la alarma para ayudar a las autoridades a tomar medidas de protección, detectar y remediar el problema.

RAR está compuesto por 800 sensores de radiación gamma desplegados en puntos específicos del país, cada uno conectado a través de una línea telefónica al centro de control en la sede de la DGPCE. El ciberataque impidió que 300 de estos sensores transmitieran sus lecturas al centro, introduciendo un grave riesgo de que el estado no responda de inmediato a eventos de radiación excesiva. No se han proporcionado más detalles la policía, por lo que no está claro el motivo del sabotaje.

El cargo La Policía detiene a dos ciberdelincuentes por hackers Red de Alerta de Radiactividad en España apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Nuevo ataque de phishing dirigido a encargados de redes sociales y community managers

Los empleados con acceso a las cuentas de facebook empresarial deben estar en guardia contra los intentos de secuestro por parte de un actor de amenazas recientemente descubierto, denominado Ducktail, según una investigación publicada hoy por investigadores de WithSecure (anteriormente F-Secure). Los expertos ha estado rastreando a Ducktail durante algún tiempo y cree que el grupo ha estado desarrollando y distribuyendo activamente su malware durante casi un año. La pandilla motivada financieramente parece tener su sede en Vietnam y se dirige a personas y organizaciones que operan en la plataforma de anuncios y negocios de Facebook con correos de phishing.

Su modus operandi es realizar investigaciones sobre las personas que probablemente tengan acceso a una cuenta comercial de Facebook en LinkedIn y luego realizar ataques de phishing dirigido contra aquellos que probablemente tengan privilegios de administrador.

“Creemos que los operadores de Ducktail seleccionan cuidadosamente una pequeña cantidad de objetivos para aumentar sus posibilidades de éxito y pasar desapercibidos”, dijo Mohammad Kazem Hassan Nejad, investigador. “Hemos observado que las personas con roles gerenciales, de marketing digital, de medios digitales y de recursos humanos en las empresas han sido atacadas.

“Muchas campañas de spear-phishing se dirigen a usuarios en LinkedIn. Si tiene un rol que tiene acceso de administrador a cuentas corporativas de redes sociales, es importante tener cuidado al interactuar con otros en las plataformas de redes sociales, especialmente cuando se trata de archivos adjuntos o enlaces enviados por personas con las que no está familiarizado”.

Ducktail funciona mediante el uso de un malware de robo de información que contiene una funcionalidad diseñada específicamente para tomar el control de las cuentas de Facebook Business, lo que puede ser una primicia mundial.

El malware en sí generalmente se aloja en servicios de almacenamiento de archivos en la nube pública, un método cada vez más popular , y generalmente se entrega como un archivo que contiene el ejecutable malicioso junto con imágenes, documentos y archivos de video relacionados, cuyos nombres generalmente utilizan palabras clave que son relevantes para marketing de marca y producto y planificación de proyectos.

El malware en sí está escrito en .NET Core y compilado utilizando su función de archivo único, que agrupa bibliotecas y archivos dependientes en un solo ejecutable. Esta no es una técnica común y es probable que Ducktail la emplee para hacer que el malware sea más fácil de ejecutar en todos los sistemas; permitirle usar Telegram como su canal de comando y control (C2); y para intentar eludir las firmas de detección.

Una vez en el sistema de la víctima, el malware de Ducktail roba las cookies del navegador de Google Chrome, Microsoft Edge, Brave Browser y Firefox, y aprovecha las sesiones de Facebook autenticadas existentes en el sistema para robar información relevante de la cuenta de Facebook de la víctima que luego puede usar para intentar para secuestrar cualquier cuenta comercial de Facebook a la que la víctima pueda tener suficiente acceso. Tenga en cuenta que también intenta omitir la autenticación multifactor, si está habilitada.

Luego, Ducktail intenta otorgar acceso al correo electrónico del actor de amenazas a la cuenta de Facebook Business mediante uno de dos mecanismos. En ambos casos, esto hace que Facebook envíe por correo electrónico un enlace a la nueva dirección que, cuando se interactúa con ella, otorga acceso. Esta es la funcionalidad estándar de Facebook y es exactamente como alguien haría normalmente para otorgar acceso legítimo a un colega, por lo que las funciones de seguridad de la plataforma no se dan cuenta.

Una vez logrado el acceso, Ducktail intenta otorgarse roles de administrador y editor de finanzas en la cuenta comercial de Facebook, obteniendo acceso sin restricciones y la capacidad de hacerse cargo por completo de la presencia de Facebook de la organización víctima y usarla para varios propósitos, que podrían incluir más distribución de malware, robo , desinformación y fraude.

Experto dijo que no había podido determinar el éxito, o la falta del mismo, que Ducktail había tenido para superar las funciones de seguridad de Facebook y tomar el control de las cuentas seleccionadas, pero el grupo ha estado desarrollando activamente. Ha compartido su investigación con la empresa matriz de Facebook, Meta.

Para los usuarios, el curso de acción inmediato es revisar los usuarios agregados a su cuenta de Facebook Business navegando a Business Manager > Configuración > Personas y revocando el acceso para todos los usuarios desconocidos.

El cargo Nuevo ataque de phishing dirigido a encargados de redes sociales y community managers apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

El rootkit UEFI CosmicStrand permite hackear dispositivos con tarjetas madres de Gigabyte y Asus para siempre, incluso después de quitar el disco duro

Los investigadores de Kaspersky  examinaron una nueva versión del rootkit CosmicStrand, que encontraron en UEFI (Interfaz de firmware extensible unificada) modificado: el código que se carga primero e inicia el proceso de arranque del sistema operativo cuando se enciende la computadora. Este rootkit de firmware UEFI parece apuntar a modelos específicos de tarjetas madres de Gigabyte y Asus.

Dado que el firmware UEFI está integrado en un chip en la placa base y no está escrito en el disco duro, es inmune a cualquier manipulación del disco duro. Por lo tanto, es muy difícil deshacerse del malware basado en UEFI: incluso limpiar la unidad y reinstalar el sistema operativo no tocará UEFI. Por esta misma razón, no todas las soluciones de seguridad pueden detectar el malware oculto en UEFI. En pocas palabras, una vez que el malware se ha introducido en el firmware, está allí para quedarse.

Por supuesto, infectar UEFI no es una tarea sencilla: requiere acceso físico al dispositivo o algún mecanismo sofisticado para la infección remota del firmware. Además, para lograr su objetivo final, cualquiera que sea, el malware no solo tiene que residir en UEFI, sino también penetrar en el sistema operativo al inicio. Todo esto requiere un gran esfuerzo para lograrlo, razón por la cual dicho malware se ve con mayor frecuencia en ataques dirigidos contra personas u organizaciones de alto perfil.

Víctimas y posibles vectores de infección de CosmicStrand

Curiosamente, las víctimas de CosmicStrand identificadas por investigadores eran personas comunes que usaban kaspersky antivirus gratuito. Al parecer, no tenían nada que ver con ninguna organización de interés para los atacantes de este calibre. También resultó que las placas base infectadas en todos los casos conocidos provenían de sólo dos fabricantes(Gigabyte y Asus). Por lo tanto, es probable que los atacantes hayan encontrado alguna vulnerabilidad común en estas placas base que hizo posible la infección de UEFI.

Se desconoce cómo exactamente los ciberdelincuentes lograron entregar el malware. El hecho de que estas víctimas de CosmicStrand fueran pocas puede indicar que los atacantes detrás de este rootkit pueden infectar UEFI de forma remota. Pero hay otras posibles explicaciones: por ejemplo, los expertos de Qihoo 360, que investigaron las primeras versiones de CosmicStrand de 2016, sugirieron que una de las víctimas había comprado una placa base modificada a un revendedor. Pero en este caso, nuestros expertos no pudieron confirmar el uso de ningún método de infección determinado.

Qué hace CosmicStrand

El objetivo principal de CosmicStrand es descargar un programa malicioso al iniciar el sistema operativo, que luego realiza las tareas establecidas por los atacantes. Habiendo superado con éxito todas las etapas del proceso de arranque del sistema operativo, el rootkit finalmente ejecuta un código de shell y se comunica con el servidor C2, desde el cual recibe una carga maliciosa.Losinvestigadores no pudieron interceptar el archivo recibido por el rootkit desde su servidor C2. En cambio, en una de las máquinas infectadas, encontraron una pieza de malware que probablemente esté relacionada con CosmicStrand. Este malware crea un usuario llamado “aaaabbbb” en el sistema operativo con derechos de administrador local. Para obtener más detalles técnicos sobre CosmicStrand, consulte la investigación  en Securelist.

El cargo El rootkit UEFI CosmicStrand permite hackear dispositivos con tarjetas madres de Gigabyte y Asus para siempre, incluso después de quitar el disco duro apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Vulnerabilidad de inyección SQL de día cero en PrestaShop. Parche no disponible

Los hackers están atacando a sitios web que utilizan la plataforma PrestaShop, aprovechando una cadena de vulnerabilidad previamente desconocida para realizar la ejecución de código y potencialmente robar la información de pago de los clientes. El equipo de PrestaShop emitió una advertencia urgente el viernes pasado, instando a los administradores de 300 000 tiendas que utilizan su software a revisar su postura de seguridad después de que se descubrieran ataques cibernéticos dirigidos a la plataforma.

El ataque parece afectar las versiones 1.6.0.10 o posteriores de PrestaShop y las versiones 1.7.8.2 o posteriores si ejecutan módulos vulnerables a la inyección SQL, como el módulo Wishlist 2.0.0 a 2.1.0.

La vulnerabilidad explotada activamente está siendo rastreada como CVE-2022-36408.

Cómo funciona el ataque

El ataque requiere que la tienda sea vulnerable a las vulnerabilidades de inyección SQL. Hasta donde sabemos, la última versión de PrestaShop y sus módulos están libres de estas vulnerabilidades. Creemos que los atacantes se dirigen a tiendas que utilizan software o módulos obsoletos, módulos de terceros vulnerables o una vulnerabilidad aún por descubrir.

Según su conversaciones con propietarios de tiendas y desarrolladores, el modus operandi recurrente se ve así:

1. El atacante envía una solicitud POST al punto final vulnerable a la inyección SQL.
2. Después de aproximadamente un segundo, el atacante envía una solicitud GET a la página de inicio, sin parámetros. Esto da como resultado que se cree un archivo PHP llamado blm.php en la raíz del directorio de la tienda.
3. El atacante ahora envía una solicitud GET al nuevo archivo que se creó, blm.php, lo que le permite ejecutar instrucciones arbitrarias.

Después de que los atacantes obtuvieran con éxito el control de una tienda, inyectaron un formulario de pago falso en la página de pago de la oficina principal. En este escenario, los clientes de la tienda podrían ingresar la información de su tarjeta de crédito en el formulario falso y, sin saberlo, enviársela a los atacantes.

Si bien este parece ser el patrón común, los atacantes pueden estar usando uno diferente, colocando un nombre de archivo diferente, modificando otras partes del software, plantando código malicioso en otro lugar o incluso borrando sus huellas una vez que el ataque ha tenido éxito.

Qué hacer para mantener tu tienda segura

En primer lugar, asegúrate de que tu tienda y todos tus módulos estén actualizados a su última versión. Esto debería evitar que su tienda quede expuesta a vulnerabilidades de inyección SQL conocidas y explotadas activamente.

De acuerdo con comprensión actual del exploit, los atacantes podrían estar utilizando las funciones de almacenamiento en caché de MySQL Smarty como parte del vector de ataque. Esta característica rara vez se usa y está deshabilitada de forma predeterminada, pero el atacante puede habilitarla de forma remota. Hasta que se publique un parche, recomendamos deshabilitar físicamente esta función en el código de PrestaShop para romper la cadena de ataque.

Para hacerlo, ubique el archivo config/smarty.config.inc.php en su instalación de PrestaShop y elimine las líneas 43-46 (PrestaShop 1.7) o 40-43 (PrestaShop 1.6):

<!-- wp:paragraph -->
<p><strong>if</strong> (<strong>Configuration::get</strong>('PS_SMARTY_CACHING_TYPE') <strong>==</strong> 'mysql') {</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>&nbsp;&nbsp;&nbsp;&nbsp;<strong>incluir</strong> _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>&nbsp;&nbsp;&nbsp;&nbsp;$inteligente<strong>-&gt;</strong>tipo_de_caching <strong>=</strong> 'mysql';</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>}</p>
<!-- /wp:paragraph -->

Cómo saber si ha sido afectado

Considere buscar en el registro de acceso de su servidor el patrón de ataque explicado anteriormente. Este es un ejemplo compartido por un miembro de la comunidad:

<!-- wp:paragraph -->
<p>- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 ( Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, como Gecko) Versión/10.0.1 Safari/602.2.14"</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>- [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/54.0.2840.98 Safari/537.36"</p>
<!-- /wp:paragraph -->

<!-- wp:paragraph -->
<p>- [14/jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox /50.0"</p>
<!-- /wp:paragraph -->

(Nota: la ruta del módulo vulnerable se ha modificado por razones de seguridad)

Tenga en cuenta que no encontrar este patrón en sus registros no significa necesariamente que su tienda no se haya visto afectada por el ataque: la complejidad del exploit significa que hay varias formas de hacerlo, y los atacantes también pueden tratar de ocultar sus huellas.

Considere contactar a un especialista para realizar una auditoría completa de su sitio y asegurarse de que no se haya modificado ningún archivo ni se haya agregado ningún código malicioso.

El cargo Vulnerabilidad de inyección SQL de día cero en PrestaShop. Parche no disponible apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Canales de radio ucranianos hackeados para difundir noticias falsas sobre la salud del presidente

Dos estaciones de radio propiedad de una de las emisoras más grandes de Ucrania, TAVR Media, fueron hackeado el jueves para difundir mensajes falsos de que el presidente ucraniano Volodymyr Zelensky estaba hospitalizado y en estado crítico.

TAVR Media, que opera nueve estaciones de radio populares en Ucrania, dijo que los programas musicales de Melodia FM y Radio Bayraktar fueron interrumpidos por piratas informáticos alrededor de la 1 p.m. hora local. 

Los ciberdelincuentes intentaron hackear las nueve estaciones de radio, pero la mayoría de los ataques fueron interceptados por el equipo de ciberseguridad de la empresa, según Oksana Shavel, vocera de la emisora.

En un informe de noticias falsas, los hackers anunciaron que Zelensky estaba en cuidados intensivos y que sus funciones estaban a cargo del presidente del parlamento ucraniano. 

Más tarde ese día, Zelensky publicó un video en su página oficial de Instagram negando el informe. “Estoy en mi oficina y estoy más saludable que nunca”, dijo. Si bien el ataque aún no se ha atribuido a ningún grupo, Zelensky ha acusado a Rusia de difundir información errónea.

El incidente es el último ojo por ojo entre hackers  rusos y ucranianos a medida que la guerra en el terreno se acerca a su marca de 150 días.

Aún no está claro cómo los atacantes violaron TAVR Media, y el CERT de Ucrania todavía está investigando el caso. 

Radio Bayraktar, una de las estaciones atacadas, se inauguró en marzo de este año para reproducir música patriótica ucraniana. La estación recibe su nombre de un dron turco que se ha convertido en un símbolo de la resistencia de Ucrania. 

El ataque tampoco fue planeado a fondo, según Shavel. “El mensaje no sonaba como nuestro programa de noticias ordinario”, dijo. “Los hackers  utilizaron una voz robótica que hablaba en un ucraniano pobre y con errores de estilo”.

“Ni siquiera tuvimos tiempo de confundirnos y bloqueamos el mensaje de inmediato”, agregó Shavel. Se emitió un informe de noticias falsas durante unos 30 segundos. Todavía no está claro cuántos ucranianos lo escucharon.

Este no es el primer ataque a los medios ucranianos. De hecho, las empresas de medios, publicaciones y radiodifusión en línea fueron objeto de más ataques de denegación de servicio (DDoS) distribuidos en el segundo trimestre de 2022.

Los piratas informáticos y las tropas rusas tienen como objetivo la infraestructura de telecomunicaciones de Ucrania tanto en el ciberespacio como sobre el terreno. Desde el 24 de febrero, cohetes rusos han destruido 11 torres de radio y televisión ucranianas, así como centros de radio que transmiten a los territorios ocupados, según Khorkin.

El cargo Canales de radio ucranianos hackeados para difundir noticias falsas sobre la salud del presidente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Hacker vende datos de 5,4 millones de usuarios de Twitter por 30,000 dólares

Un usuario en el famoso foro de hacking, Breached Forums, conocido con el nombre de usuario devil, ahora está vendiendo los datos de las cuentas de 5,4 millones de usuarios de Twitter supuestamente adquiridos al explotar la una vulnerabilidad que fui reportado en enero 2022. El usuario de Breach Forums está vendiendo la base de datos por $30,000. Según la publicación del hacker, el conjunto de datos incluye “Celebridades, Empresas, aleatorios, OG, etc.”

El propietario de Breach Forums verificó la autenticidad de la filtración y también señaló que se extrajo a través de la vulnerabilidad del informe de HackerOne anterior. Hacker también publicó una muestra de los datos en un archivo CSV, que incluye personas de todo el mundo, con información de perfil público, así como el correo electrónico o el número de teléfono del usuario de Twitter utilizado con la cuenta.

Una vulnerabilidad de seguridad de Twitter que se descubrió en enero de 2022 se utilizó para recopilar los detalles de la cuenta de 5,4 millones de usuarios y se puso a la venta en foros de hackers.

En enero de 2022, un usuario de hackerOne, “zhirinovskiy”, envió el informe de vulnerabilidad a Twitter, lo que lleva a un atacante a adquirir el número de teléfono y/o la dirección de correo electrónico asociados con las cuentas de Twitter, incluso si el usuario ha ocultado estos campos en la configuración de privacidad.

Más tarde, Twitter confirmó la vulnerabilidad y el investigadores fue recompensado con una recompensa monetaria de $ 5,040 por sus hallazgos. 

Twitter aún no ha comentado, pero actualizaremos la historia a medida que obtengamos más información.

El cargo Hacker vende datos de 5,4 millones de usuarios de Twitter por 30,000 dólares apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cómo usar el kit avanzado de herramientas de inteligencia de red para Pentesting: badKarma

La búsqueda de vulnerabilidades en el host (el host puede ser un sitio web, un servidor web, un dispositivo de red (enrutador y otros), la computadora del usuario final) comienza con la recopilación de información básica. Esta información incluye detección de hosts, escaneo de sus puertos para buscar puertos abiertos, definición de servicios en ejecución en estos puertos, definición de versiones de servicio y búsqueda de vulnerabilidades para estas versiones, verificación del uso de contraseñas débiles, lanzamiento de escaneos adicionales con varias herramientas, según el servicios de red detectados.

Este suele ser un conjunto de acciones bastante típico que varía desde la ejecución de servicios de red detectados en el host. Por lo tanto, ya existen varias herramientas de automatización que pueden escanear el rango de la red.

Queremos hablar de otra herramienta de  hacking ético : badKarma. Este programa tiene una interfaz gráfica en la que es suficiente usar el mouse y no es necesario introducir comandos (aunque se pueden usarlos).

Cómo instalar badKarma

Instalar badKarma es muy sencillo. Pero el hecho es que esto es solo un shell gráfico para lanzar herramientas. Es decir, debe instalar todas las herramientas que utiliza el programa. Por lo tanto, recomiendo trabajar con badKarma en Kali Linux, en el que (casi) todo lo que necesitas ya está presente.

Para instalar badKarma en Kali Linux, ejecute el comando:

sudo apt install python3-pip python3-gi phantomjs mitmproxy ffmpeg gir1.2-gtk-vnc-2.0 gir1.2-gtksource-3.0 gir1.2-vte-2.91 gir1.2-osmgpsmap-1.0 gir1.2-webkit2-4.0 knockpy ncat gobuster
git clone https://github.com/r3vn/badKarma.git
cd badKarma
sudo pip3 install -r requirements.txt
chmod +x badkarma.py
./badkarma.py

Cómo usar badKarma

Comience ingresando el objetivo. Puede especificar la dirección del sitio, la dirección IP o el rango de direcciones IP:

También puede seleccionar un perfil de escaneo. Están disponibles las siguientes opciones:

• nmap_default – exploración normal con ayuda Nmap,
• nmap_intense_scan – exploración intensiva con Nmap, se utilizan las opciones -T4 -A -v -oX
• nmap_intense_scan_all_tcp – exploración intensiva de todos los puertos TCP con Nmap, opciones -p 1-65535 -T4 -A -v -oX se usan
• nmap_intense_scan_no_ping – escaneo intensivo con Nmap sin verificar si el host está disponible (sin ping), se usan las opciones -T4 -A -v -Pn -oX
• masscan_full_tcp – escaneo completo con ayuda Masscan, se utilizan las opciones -p0-65535 –rate 10000 –banner
• get-from-shodan – no escanear, pero obtener datos de shodan. Para hacer esto, primero debe especificar su clave API a shodan. En Kali Linux API, la clave para shodan debe escribirse en ~/filebin/badKarma/conf/shodan.conf. Y en la API de BlackArch, la clave para shodan debe escribirse en el archivo. /usr/share/badkarma/conf/shodan.conf

Como objetivo, agregaré la red local a través de la cual nos conectamos: 192.168.50.0 / 24

Los resultados del escaneo se presentarán como una lista de hosts disponibles:

Si hace clic en el host, Se mostrarán los puertos abiertos y los servicios de red en ejecución:

Debajo de la lista de servicios en ejecución hay otra información adicional (si se recopila) sobre el sistema operativo, la ubicación, la dirección MAC y más:

Ahora tenemos dos opciones: puede continuar explorando el host como un todo o concéntrese en sus servicios individuales. Para ver las opciones disponibles para trabajar con el host, haga clic con el botón derecho del mouse sobre él: allí se

---

Se encuentran disponibles varios tipos de escaneo usando Nmap, varias opciones para encontrar subdominios, investigación de registros DNS y otras formas de obtener información sobre el host.

Al hacer clic derecho en los servicios lanzados en el host, puede ver las acciones disponibles para ellos:

---

Por ejemplo, para SSH puede ejecutar brut-force:

Puede comenzar a buscar exploits usando nmap, searchploit o splitus:

En este caso, se determinará el número de versión exacto del servicio (si esto no se ha hecho previamente) y exploits Se buscará en bases de datos populares.

Especialmente muchas opciones diferentes para servicios web:

Puede tomar una captura de pantalla, clonar una página, escanear programas populares para encontrar vulnerabilidades, comenzar a buscar usuarios, hosts, directorios, subdominios y más

tiene WebSession (funciona con mitmproxy):

Los datos obtenidos durante la operación no solo se muestran, sino que también se almacenan en el archivo de sesión /tmp/badkarma.sqlite. Si desea guardar este archivo, luego de completar el trabajo, asegúrese de copiarlo en un lugar seguro, ya que la carpeta. / tmp se limpia automáticamente en cada reinicio de la computadora.

Conclusión

badKarma en general, un interesante programa de pentesting con el que puede realizar rápidamente acciones de rutina y mantener los resultados en un lugar conveniente para la percepción visual. Como puede comprender al trabajar con el programa, el conjunto de operaciones para cada servicio se selecciona intelectualmente, según el tipo de servicio. Si esta lista carece de algunas de sus herramientas favoritas, entonces esto no es un problema: badKarma es un programa modular y puede agregar su propio módulo.

El cargo Cómo usar el kit avanzado de herramientas de inteligencia de red para Pentesting: badKarma apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

EL PARCHE CRÍTICO DE ORACLE SOLUCIONA 349 VULNERABILIDADES EN 135 APLICACIONES DE ORACLE. PARCHE AHORA

Oracle Se ha lanzado una actualización de parche crítico con 349 nuevos parches de seguridad en diferentes familias de productos de Oracle. Es una colección de parches para múltiples vulnerabilidades de seguridad. Estos parches corrigen vulnerabilidades en el código de Oracle y en los componentes de terceros incluidos. Estos parches suelen ser acumulativos. Los clientes deben revisar los avisos de actualización de parches críticos anteriores para obtener información sobre los parches de seguridad publicados anteriormente. Después de la actualización del parche crítico de abril de 2022, Oracle también lanzó una alerta de seguridad para Oracle E-Business Suite CVE-2022-21500 (19 de mayo de 2022).

Oracle sigue recibiendo periódicamente informes de intentos de explotar vulnerabilidades de forma malintencionada para las que Oracle ya ha publicado parches de seguridad. En algunos casos, se informó que los atacantes tuvieron éxito porque los clientes objetivo no aplicaron los parches de Oracle disponibles. Por lo tanto, Oracle recomienda encarecidamente que los clientes permanezcan en las versiones con soporte activo y apliquen los parches de seguridad sin demora.

Las aplicaciones de servicios financieros recibieron la mayor cantidad de correcciones en el conjunto de parches trimestrales de este mes, con 59. De estos, 38 resuelven vulnerabilidades que se pueden explotar de forma remota, sin autenticación.

Oracle Communications fue el segundo producto más afectado, con 56 nuevos parches de seguridad, incluidos 45 para errores explotables de forma remota por atacantes no autenticados.

Fusion Middleware (38 parches de seguridad, 32 para vulnerabilidades explotables de forma remota, sin autenticación) y MySQL (34 a 10) continuaron recibiendo una gran cantidad de correcciones, seguidos de Cadena de suministro (24 a 19), Aplicaciones de comunicaciones (17 a 12), Aplicaciones Minoristas (17 – 13), Comercio (12 – 10) y PeopleSoft (11 – 9).

Otros productos de Oracle que recibieron parches este mes incluyen Database Server, Construction and Engineering, Systems, E-Business Suite, Enterprise Manager, Health Sciences Applications, JD Edwards, Java SE y GoldenGate.

Se recomienda encarecidamente a los clientes que apliquen la Actualización de parche crítico de julio de 2022 para Oracle E-Business Suite, que incluye parches para esta Alerta, así como parches adicionales. 

El cargo EL PARCHE CRÍTICO DE ORACLE SOLUCIONA 349 VULNERABILIDADES EN 135 APLICACIONES DE ORACLE. PARCHE AHORA apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Nueva Técnica “SATAn” para hackear computadoras aisladas (No conectadas al Internet) usando cables SATA como Antena

Investigadores de ciberseguridad  del Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben-Gurion del Negev, Israel, han descubierto una nueva técnica llamada “SATAn”. El nuevo método permite robar información y datos de sistemas no conectados al internet mediante el uso de cables SATA como una antena inalámbrica para transmitir datos e información desde una PC hackeada a un receptor en algún lugar cercano a una distancia de menos de 1.5 metros. 

Los sistemas “air gapped” se utilizan en entornos críticos, como las plantas de energía nuclear, que necesitan estar físicamente aisladas de las redes que están conectadas a la Internet pública. El mismo investigador ha estado involucrado en más de 12 proyectos investigando varias técnicas para robar datos de sistemas aislados. Su equipo ha demostrado que las redes aisladas aún pueden permitir la filtración de información confidencial a través de señales (luz, vibraciones, sonido, calor, campos magnéticos o electromagnéticos) generadas por componentes como monitores, parlantes, cables, CPU, discos duros, cámaras, teclados.

Cable SATA

Para que este ataque SATAn funcione, el atacante primero debe infectar el sistema aislado con un malware. Una vez instalado, el malware puede usar cables SATA para realizar la exfiltración al modularlo y codificarlo. Aunque las computadoras aisladas no tienen conectividad inalámbrica, el malware permitirá el uso del cable SATA como antena inalámbrica para transferir señales de radio en la banda de frecuencia de 6 GHz. El Serial ATA (SATA) es una interfaz de bus ampliamente utilizada en las computadoras modernas y conecta el bus host a dispositivos de almacenamiento masivo como unidades de disco duro, unidades ópticas y unidades de estado sólido. Los experimentos muestran que los cables SATA 3.0 emiten emisiones electromagnéticas en varias bandas de frecuencia; 1 GHz, 2,5 GHz, 3,9 GHz y +6 GHz. La idea detrás del canal encubierto es usar el cable SATA como antena. También durante la investigación descubrieron que las operaciones de lectura en SATA son más efectivas para producir señales más fuertes que las operaciones de escritura. Esto también facilita la situación general del ataque, ya que la escritura a menudo puede requerir más privilegios. Usando esta técnica es posible la transmisión de datos con una tasa de bits de 1 bit/seg, que se muestra como el tiempo mínimo para generar una señal que es lo suficientemente fuerte para la modulación. 

 Una contramedida propuesta en el documento es la de un jammer SATA, que supervisa las operaciones sospechosas de lectura/escritura de aplicaciones legítimas y agrega ruido a la señal.

El cargo Nueva Técnica “SATAn” para hackear computadoras aisladas (No conectadas al Internet) usando cables SATA como Antena apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Esa chica contrato a un asesino a sueldo en la web oscura para matar a un colega “cuando descubrió que ambos estaban teniendo una aventura” con el mismo hombre.

Una joven de 26 años supuestamente intentó contratar a un asesino a sueldo en la web oscura para matar a un colega “cuando descubrió que ambos estaban teniendo una aventura” con el mismo hombre.

Whitney Franks, de 26 años, supuestamente publicó un anuncio que ofrecía pagarle a un asesino a sueldo £ 1,000 para matar a una “mujer que ha causado muchos problemas”. Un periodista de la BBC vio el anuncio y lo envió a la policía, lo que resultó en el arresto de Franks.

En la corte, el fiscal Andrew Copeland leyó parte del anuncio:

‘Estoy buscando el asesinato de una mujer. Tengo 1.000 libras y estoy dispuesto a pagar más. Esta mujer me ha causado muchos problemas a mí y a los demás. Por favor, ¿puedes ayudar a resolver esto?

El anuncio también incluía la dirección y el perfil de Facebook de Ruut Ruutna, uno de los colegas de Franks en Sports Direct. Según el fiscal, Franks había iniciado “una aventura” con el gerente de su tienda, James Prest, en 2016. Ruutna se unió al equipo en 2017 y también comenzó a tener “una aventura” con Prest.

James Prest

Prest, que tenía una pareja  y dos hijos, se salía para ver a las mujeres. “ James Prest, mientras su pareja e hijos estaban en la cama, saldría con frecuencia de su casa e iría a la casa de Ruut Ruutna”, dijo el fiscal.

Un encuentro con Franks preocupó a Prest, escuchó el tribunal. El 17 de agosto de 2020, Franks confrontó a Prest sobre su relación con Ruutna en Milton Keynes Sports Direct. En la corte, el fiscal preguntó: “¿Cómo supo ella que James Prest andaba por Ruut Ruutna’s por la noche?” Las mujeres no hablaban entre ellas ni sobre ellas.

Más tarde, Franks le envió un correo electrónico a Prest, pidiéndole otra oportunidad con él.

“Puedo darte el mundo entero James, si me das una oportunidad, creo que podrías ser lo más feliz que hayas sido en tu vida. Realmente lo digo en serio. Espero que estés bien por dentro y por fuera. He estado tratando de resolver mi ansiedad. He encontrado algunas cosas que podrían ayudar, así que voy a intentarlo”.

Un día después de que Franks enviara un correo electrónico a Prest para pedirle otra oportunidad, un periodista de la BBC encontró el anuncio en la web oscura. La policía llevó a Ruutna a una casa de seguridad y la interrogó sobre el posible golpe. Ella le dijo a los investigadores que “tenía una corazonada” sobre quién era el responsable del anuncio de la darkweb.

Whitney Franks

La policía arrestó a Franks el 10 de septiembre de 2020 por solicitar el asesinato. El tribunal escuchó que Franks había creado una cuenta en un  exchange de criptomonedas y compró Bitcoin, solo para revenderlo al día siguiente. Franks admitió haber accedido a la red oscura, pero afirmó que nunca intentó contratar a un asesino a sueldo.

El cargo Esa chica contrato a un asesino a sueldo en la web oscura para matar a un colega “cuando descubrió que ambos estaban teniendo una aventura” con el mismo hombre. apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

La vulnerabilidad crítica XSS en Microsoft Teams permite robar las credenciales (usuarios y contraseñas) almacenadas en sus navegadores. Actualizar inmediatamente

Un investigador de seguridad descubrió que los atacantes podrían abusar de la popular función de stickers en Microsoft Teams para realizar de ataque de secuencias de comandos entre sitios (Ataque XSS).

Los equipos de Microsoft, junto con los servicios de teleconferencia comparables, incluido Zoom, han experimentado un aumento en la popularidad en los últimos años.  La pandemia de Covid-19 obligó a las organizaciones a adoptar modelos de trabajo desde casa siempre que sea posible. Como consecuencia, a los empleados a menudo se les ha dado la opción de permanecer remotos o ser híbridos. Los investigadores de ciberseguridad, incluido el especialista senior en ciberseguridad, Numan Turle, han examinado el software en busca de posibles vulnerabilidades.

Turle , el investigador, decidió examinar la función de los stickers en busca de nuevos problemas de seguridad.

Cuando se envía un sticker a través de Teams, la plataforma la convierte en una imagen y carga el contenido como ‘RichText/HTML’ en el mensaje posterior.

Turle inspeccionó la solicitud HTML utilizando Burp Suite y probó los atributos típicos, pero fue en vano debido a las protecciones que ofrece la Política de seguridad de contenido (CSP) de Microsoft.

CSP está diseñado para mitigar una variedad de ataques web comunes, incluido XSS.

Sin embargo, después de conectar el CSP a la herramienta CSP Evaluator de google, el investigador encontró un defecto de CSP: el script-src se marcó como inseguro, lo que allanó el camino para posibles ataques de inyección de HTML contra múltiples dominios.

Microsoft cubrió estos agujeros de seguridad a través de cambios en el dominio de Azure. Entonces, después de profundizar e inspeccionar Teams en el navegador, Turle descubrió un elemento de JavaScript, angular-jquery, que podría usarse como alternativa.

jQuery con Angular es un JavaScript para administrar interacciones HTML y CSS. Sin embargo, esta versión estaba desactualizada y las vulnerabilidades en la versión obsoleta (1.5.14) podrían utilizarse para eludir el CSP.

Después de crear un iframe malicioso con la ayuda de la codificación HTML, el investigador pudo crear una carga útil maliciosa, enviada a través de la función en Teams, para activar XSS, obtenida a través de la interacción del usuario.

Turle reveló el problema de XSS a Microsoft el 6 de enero. La vulnerabilidad se corrigió en marzo y el investigador recibió una recompensa. Con tantos usuarios, cualquier vulnerabilidad en Microsoft Teams podría tener un impacto generalizado

El cargo La vulnerabilidad crítica XSS en Microsoft Teams permite robar las credenciales (usuarios y contraseñas) almacenadas en sus navegadores. Actualizar inmediatamente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Cientos de vulnerabilidades en June OS y otros productos de Juniper network. Parche inmediatamente

Juniper Networks publicó la semana pasada 21 avisos de seguridad para informar a los clientes sobre más de 200 vulnerabilidades que afectan a sus productos. Las vulnerabilidades de seguridad afectan a los productos Junos OS (incluidos los dispositivos de las series SRX, EX, PTX, QFX y MX), Junos Space, Contrail Networking y Northstar Controller.

Los avisos describen seis vulnerabilidades de alta gravedad que son específicas de los productos de Juniper. Todas estas vulnerabilidades, excepto una, pueden ser aprovechadas por un atacante no autenticado en la red para provocar una condición de denegación de servicio (DoS). La falla restante puede permitir que un atacante local autenticado con privilegios bajos tome el control total del dispositivo objetivo.

También hay seis avisos con una calificación general de “crítico” o “gravedad alta” que describen más de 200 problemas que afectan a componentes de terceros como Nginx, OpenSSL, Samba, Java SE, SQLite y Linux. Si bien algunos de estas vulnerabilidades  son relativamente recientes, otros se remontan a casi una década.

Los avisos restantes describen vulnerabilidades de gravedad media que afectan a Junos OS.

Juniper dice que no tiene conocimiento de ningún ataque que explote estas vulnerabilidades.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha aconsejado a las organizaciones que revisen los avisos de Juniper y apliquen parches o mitigaciones según sea necesario.

El cargo Cientos de vulnerabilidades en June OS y otros productos de Juniper network. Parche inmediatamente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente

Tutorial para pentesting de aplicaciones Android utilizando el kit de herramientas ZANTI

En este tutorial, los especialistas del curso de Ciberseguridad 360 del Instituto Internacional de Seguridad Cibernética (IICS) nos mostrarán cómo utilizar ZANTI, una herramienta de pentesting que permite realizar ataques contra una red determinada, además de operar enrutadores, auditar contraseñas, crear y ejecutar servidores HTTP, escanear dispositivos en busca de puertos abiertos, y más.

Empleando esta herramienta, un hacker puede descifrar contraseñas en Android y también cambiar las solicitudes y respuestas HTTP, desencadenando en escenarios de compromiso de redes inalámbricas a través de un teléfono Android.

Como de costumbre, le recordamos que este tutorial fue elaborado con fines exclusivamente informativos y no representa un llamado a la acción, por lo que IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Antes de continuar, echemos un vistazo a todas las acciones que podemos llevar a cabo usando ZANTI:

• Hackear sesiones HTTP usando ataques Man-in-The-Middle (MiTM)
• Captura de descargas
• Modificación de solicitudes y respuestas HTTP a través de ataques MiTM
• Secuestro de enrutadores
• Intercepción de contraseñas
• Escaneo de dispositivos en busca de vulnerabilidades Shellshock y SSL Poodle
• Escaneo detallado de nmap

Instalación de ZANTI

Siga los pasos enlistados por los expertos del curso de Ciberseguridad 360 para instalar ZANTI correctamente:

• Vaya a la web oficial desde https://ift.tt/f5knRKU
• Introduzca una dirección email
• El enlace de descarga estará disponible en breve
• Descargue la APK
• Seleccione la opción Instalar desde fuentes desconocidas de ser necesarioç
• Instale la APK
• Abra la aplicación, otorgue los permisos requeridos y conéctese a una red WiFi

Veamos de cerca las características de la herramienta.

Hackear sesiones HTTP con MiTM

Puede redirigir todo el tráfico HTTP a un servidor o sitio específico de forma predeterminada, tan pronto como se habilite la función “Redirect HTTP”. También puede redirigirlo a un sitio web específico haciendo clic en el ícono de configuración, luego encontrará un lugar para ingresar la URL.

Captura de descargas

Esta función permite conectarse a la carpeta de descargas del host y obtener una copia de todo su contenido. Por ejemplo, si selecciona “.pdf” en el menú y hace clic en “Upload File”, todos los archivos PDF se descargarán en su teléfono.

Esta táctica puede ser especialmente útil cuando se trata de ingeniería social, mencionan los expertos del curso de Ciberseguridad 360.

Modificación de solicitudes y respuestas HTTP

Usando zPacketEditor podrá cambiar las solicitudes y respuestas HTTP en su red. Es un modo interactivo que le permite editar y enviar cada solicitud y respuesta. Sin embargo, esto es complicado y puede no funcionar en todos los teléfonos.

Secuestrar enrutadores

Router pwn es una aplicación web para explotar las vulnerabilidades del enrutador. Este es un conjunto de exploits locales y remotos listos para ejecutar.

Para su uso, haga clic en “Routerpwn.com”, luego seleccione su proveedor de enrutador; puede verificar otras vulnerabilidades, así que si así lo desea puede encontrar más información sobre estas fallas.

Intercepción de contraseñas

Esta es la característica principal de ZANTI y permite la captura de contraseñas en redes, mencionan los expertos del curso de Ciberseguridad 360. Para esto, seleccione el dispositivo objetivo y haga clic en el botón MITM; podrá encontrar los resultados en la sección de contraseñas guardadas.

Escaneo de dispositivos en busca de vulnerabilidades Shellshock y SSL Poodle

Primero, seleccione el dispositivo; haga clic en “Shellshock/SSL Poodle” y podrá escanear el dispositivo objetivo. Espere un momento y luego obtenga el resultado. Si el dispositivo es vulnerable, puede usarlo.

Escaneo de nmap

Esta función le brinda toda la información confidencial importante sobre el objetivo y la red, puertos abiertos, direcciones IP, sistemas operativos, etc. Puede ser muy útil para encontrar exploits y hacks relacionados con nuestro objetivo, mencionan los expertos del curso de Ciberseguridad 360.

Estos han sido algunos conceptos básicos para el uso de la herramienta ZANTI, lo que puede resultar muy útil para el hacking de dispositivos Android a través de redes inalámbricas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades, y más informes sobre el curso de Ciberseguridad 360, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Tutorial para pentesting de aplicaciones Android utilizando el kit de herramientas ZANTI apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.

Ver Fuente