domingo, 31 de mayo de 2020

¿CÓMO VERIFICAR SI SU SERVIDOR LINUX HA SIDO HACKEADO?

El objetivo principal de la mayoría de los hackers es comprometer cualquier máquina y robar la información confidencial del sistema. La mayoría de los hackers toman precauciones mientras realizan actividades ilegales y siempre tratan de esconder sus movimientos. Una vez que el sistema está comprometido, el hacker siempre instala alguna variante de backdoor en el sistema comprometido para mantener el acceso. Hoy mostraremos cómo podemos verificar si su servidor Linux ha sido hackeado.

Cada incidente de hacking deja algunas evidencias, depende de los administradores de TI averiguar cómo ocurrió el ataque. Si su servidor es hackeado, definitivamente se comportará de forma distinta de un día para otro. Hay pocas cosas que podemos ejecutar rápidamente en nuestra caja de Linux para averiguar si el sistema ha sido hackeado. Siga los pasos a continuación para auditar su caja de Linux de forma rápida:

VERIFICAR INICIAR SESIÓN ACTUAL

Paso 1: Primero tenemos que verificar quién inició sesión en el servidor utilizando este comando “w”. Esto mostrará la salida de los detalles de inicio de sesión con el usuario, la dirección IP y la hora.

W Command

VERIFICAR EL ÚLTIMO INICIO DE SESIÓN

Paso 2: Los servidores Linux registran los detalles de inicio de sesión con la dirección IP. Para saber quién inició sesión en el servidor, use el comando “last” que nos mostrará los detalles de inicio de sesión con la dirección IP y la hora.

Last Command

VER HISTORIAL DE MANDOS

Paso 3: Linux almacena los comandos que usamos en el terminal en un historial. Al emitir el comando “history”, podemos ver la lista de comandos ejecutados por el usuario en el terminal.

History command

COMPROBAR LOS PROCESOS DEL CPU

Paso 4: La mayoría de los hackers ejecutan un proceso para implantar un backdoor en el sistema objetivo; este es un proceso que puede consumir altos recursos del CPU, por lo que podemos usar el comando “top” para verificar la lista de procesos que mayores recursos consumen.

Aquí tenemos que identificar el proceso más alto que se está ejecutando actualmente en el kernel de Linux y ahora también podemos usar el comando “strace” para rastrear las llamadas y señales del sistema. Este comando interpretará  registrará las llamadas al sistema realizadas por los procesos. El comando depura y soluciona los problemas en el sistema operativo.

Primero tenemos que instalar el paquete “apt install strace”. Después de instalar strace, podemos usar este comando para depurar “strace -d -p <PID Number>”.

Strace Command

VERIFICAR PROCESOS DEL SISTEMA

Paso 5: Ahora tenemos que verificar los procesos del sistema en ejecución. Use el comando “ps auxf” para obtener más información sobre los procesos en ejecución.

Ps axuf Command

Podemos matar el proceso usando este comando “kill -9 <PID>”.

VERIFICAR TRÁFICO DE RED

Paso 6: Ahora, tenemos que verificar el tráfico de la red usando el comando “iftop”, esto nos proporcionará detalles sobre el envío y la recepción de los datos de la red junto con el origen y el objetivo.

Primero, tenemos que instalar el paquete usando el comando “apt install iftop”. La salida se mostrará de esta manera.

Iftop Command

VERIFICAR PUERTOS LISTENER

Paso 7: Hacker instala programas de puerta trasera si ha comprometido el servidor Linux. Y todos los backdoors se ejecutan en segundo plano, lo que se puede identificar utilizando puertos abiertos. Podemos usar el comando “netstat -plunt”. Este comando enumerará todas las conexiones de red en nuestro sistema.

Netstat command
  • También podemos usar el comando “lsof -I”, que enumerará todos los archivos abiertos en nuestro sistema y podemos verificar que el archivo se abre mediante qué proceso
    • Lsof: lista de archivos abiertos
    • -I: seleccionar archivos IPV
  • también podemos usar esto para enumerar el proceso “lsof -p”
lsof command

COMPROBAR ROOTKIT

Paso 8: Ahora, podemos verificar cualquier rootkit instalado en el servidor o no. Primero tenemos que instalar el paquete rootkit usando el comando “apt install chrootkit”.

Después de instalar el paquete, escriba el comando “chrootkit”. Esto depurará cualquier rootkit que se inyecte en nuestros archivos del sistema.

CONCLUSIÓN

Así que estudiamos comandos básicos para auditar nuestro sistema Linux y averiguar si nuestro servidor Linux está comprometido o no. Hay muchas más herramientas disponibles para auditar su sistema de una vez, que abordaremos en las próximas publicaciones.

El cargo ¿CÓMO VERIFICAR SI SU SERVIDOR LINUX HA SIDO HACKEADO? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

sábado, 30 de mayo de 2020

TOP 10 SERVIDORES PROXY GRATUITOS

A veces necesitamos un proxy para acceder de manera rápida y anónima a cierta información en el internet. Aquí encontrarás 10 servidores proxy que puedes usar gratis.

Primero entendamos qué es un servidor proxy web, para que sepas qué estás utilizando y para qué. Los servidores proxy funcionan a nivel de pestaña en una ventana, lo que significa que te brindan un espacio en su sitio web para ingresar la URL que deseas visitar con tu IP oculta. Si intentas acceder al mismo sitio pero desde otra pestaña, se revelará tu dirección IP real.

Pero no te confundas, los servidores proxy web no son lo mismo que las VPNs. Aunque ambos ocultan tu dirección IP, las solicitudes enviadas en los servidores proxy no están encriptados. Las solicitudes web en un VPN sí están encriptados.

Sin embargo, las VPN son más lentas que los servidores proxy. También recuerda que funcionan a nivel de sistema, mientras que los servidores proxy solo funcionan a nivel del navegador según experto de instituto internacional de seguridad cibernética.

¿Y qué hay de Tor? ¿Cómo es diferente? Un proxy configura un servidor en algún lugar de Internet y te permite usarlo. Todos los usuarios entran y salen a través del mismo servidor. Los proveedores de proxy tienen una posible falla: pueden ver tu tráfico a medida que pasa a través de su servidor según expertos de concientización en ciberseguridad.

Tor pasa tu tráfico a través de al menos 3 servidores diferentes antes de enviarlo a su destino. Debido a que hay una capa de encriptación separada para cada uno de los tres relays, alguien que esté viendo tu conexión a Internet no puede modificar o leer lo que estás enviando por medio de la red Tor. Su tráfico está encriptado entre el cliente Tor (tú en este caso) y a donde se envía, en cualquier otro lugar del mundo.

En esta lista encontrarás un servidor proxy web gratuito que cuenta con la opción Tor. 

1-ProxySite

Proxysite es uno de los mejores servidores proxy gratuitos que realmente funciona.

El servicio tiene servidores proxy en los Estados Unidos y la región europea, pero la mayoría de los servidores proxy se encuentran en los Estados Unidos. Puedes acceder a él desde cualquier parte del mundo.

2-HideMe

Hide Me es uno de los servidores proxy más conocidos. Tiene más de 20 millones de usuarios en todo el mundo, y es totalmente seguro de usar.

Hide me proxy tiene servidores en 3 países: Estados Unidos, Alemania y los Países Bajos. 

3- FilterBypass

Este proxy funciona bien y es utilizado por un gran número de personas diariamente. 

Una de sus desventajas es que no te da la opción de elegir desde dónde deseas navegar.

4-Hidester

Hidester también está a la altura de Hide Me, que llegó a nuestro número dos.

Hidester tiene un servidor estadounidense especialmente diseñado para China, y también tienen un servidor en Europa. 

5- Croxy Proxy

Además de permitirte ingresar URLs, CroxyProxy también te permite ingresar palabras de búsqueda, que es un extra en caso de que no conozcas la URL del sitio al que quieres acceder.

6- Whoer

Whoer Proxy es un poco diferente de los otros proxies web. A diferencia de los otros de los que hablamos y en los que solo tienes que ingresar la URL del sitio deseado y comenzar a navegar, para este servidor proxy, tienes que descargar una extensión.

7- Weboproxy

Weboproxy también es totalmente diferente de la mayoría de los proxies web porque, a diferencia de los otros, Weboproxy incluye la opción de usarlo con Tor.

Lo que significa que en Weboproxy puedes decidir deshabilitar o no Tor. 

8-HideMyAss

HMA Proxy es propiedad de Hide My Ass, un conocido proveedor de VPNs. Pero aparte de su servicio VPN, proporcionan un servicio de proxy web de forma gratuita.

9- ProxFree 

ProxFree es un proxy web gratis muy fácil de usar, igual que la mayoría de los otros en esta lista. 

Tienen servidores en los Estados Unidos, el Reino Unido, Canadá y Alemania. 

10-4Everproxy

Este realmente tiene muchas opciones. Con 4Everproxy puedes decidir si permites cookies, eliminar JavaScript, cifrar la página e incluso eliminar el título de la páginas que visitas.

Sus servidores están ubicados en los Estados Unidos y tienen algunas otras ubicaciones en Europa.

En conclusión, y para actividades sencillas, sin tantas complicaciones de  seguridad, puedes usar cualquiera de estos 10 servidores proxy disponibles actualmente.

El cargo TOP 10 SERVIDORES PROXY GRATUITOS apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

viernes, 29 de mayo de 2020

Nippon Telegraph & Telephone (NTT) hackeado: Datos de defensa, clientes y empleados de Japón filtrados

Un nuevo incidente de hacking ha azotado al gobierno japonés. Acorde a especialistas en seguridad lógica, recientemente se detectó un ciberataque contra NTT Communications Corp, afiliada a Nippon Telegraph and Telephone Corp, por lo que las redes de comunicación empleadas por las Fuerzas de Autodefensa de Japón podrían haber resultado expuestas.  

El Ministerio de Defensa ha ordenado una investigación en colaboración con la compañía afectada; una fuente anónima cercana al incidente menciona que las potenciales filtraciones podrían afectar de forma negativa e imprevista las operaciones del sistema central de la Defensa japonesa.

Acorde a los especialistas en seguridad lógica, las posibles filtraciones están relacionadas con información sobre el equipo de comunicaciones y el diseño de una instalación de la Fuerza de Autodefensa Marítima en Yokosuka, al sur de Tokio, así como la de las líneas de comunicación en aproximadamente 10 ubicaciones de las Fuerzas de Autodefensa.

Al parecer, los responsables del incidente accedieron a más de 100 archivos sin autorización, según el informante. Todos los datos estaban vinculados a los negocios que NTT Communications ha convenido con el Ministerio de Defensa. Si bien la información comprometida no es considerada como “confidencial”, el Ministerio señala que existe la posibilidad de que estos datos puedan ser empleados para comprometer redes de la Defensa.

Hace algunos días, NTT Communications dijo que la información sobre 621 de sus clientes podría haberse filtrado debido a un acceso no autorizado recientemente detectado en sus redes. Los expertos en seguridad lógica mencionan que la empresa se reservó el derecho a revelar el nombre de las compañías afectadas, pues la investigación está activa. La compañía tampoco se refirió a las potenciales filtraciones del ejército.

El informante anónimo también asegura, el pasado 7 de mayo, NTT decidió suspender sus comunicaciones con el exterior luego de detectar actividad anómala en sus servidores. Pocos días después, el equipo de TI de la compañía reveló que existieron fugas potenciales. En un reporte de seguridad interno, la compañía mencionó la detección de diversos accesos no autorizados a información relacionada con el Ministerio de Defensa del 4 al 5 de mayo; esta actividad fue realizada a través de un servidor localizado en Singapur. NTT Communications notificó el incidente al ministerio el 13 de mayo, pero dijo que las posibilidades de que se hubiera filtrado información confidencial son limitadas.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), este es el caso más reciente de ciberataque contra compañías japonesas que prestan servicios para la Defensa. En ocasiones pasadas, grupos de hackers han comprometido la infraestructura de TI de empresas como Mitsubishi, NEC Corp, Kobee Steel, entre otras. Estos incidentes han expuesto información confidencial, como planos sobre nuevos desarrollos militares, detalles de infraestructura y más información clasificada.

El cargo Nippon Telegraph & Telephone (NTT) hackeado: Datos de defensa, clientes y empleados de Japón filtrados apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Vulnerabilidades en Trend Micro InterScan Web Security permiten hackear su red y dispositivos

Especialistas en cómputo forense han revelado el hallazgo de múltiples vulnerabilidades en el software InterScan Web Security Virtual Appliance, de la firma Trend Micro. Este es un gateway de Internet seguro que combina el control de aplicaciones con la detección de vulnerabilidades día cero, explotación anti malware, entre otras funciones. 

Acorde al reporte, la explotación de estas vulnerabilidades permitiría a los actores de amenazas desplegar escenarios maliciosos como la ejecución de código arbitrario, ataques de scripts entre sitios (XSS), entre otros.

A continuación se presenta una breve reseña de cada una de las vulnerabilidades encontradas, además de sus respectivos puntajes y claves de identificación en el Common Vulnerability Scoring System (CVSS).

CVE-2020-8606: Esta vulnerabilidad existe debido a un error al procesar las solicitudes de autenticación dentro de la aplicación Apache Solr y permite a los hackers remotos evadir el proceso de autenticación en la aplicación afectada.

La falla recibió un puntaje de 8.5/10 en la escala CVSS, por lo que se le considera un error serio. Aunque la vulnerabilidad puede ser explotada de forma remota enviando solicitudes especialmente diseñadas, no existe un exploit para esta falla.

CVE-2020-8603: esta vulnerabilidad existe debido a una inapropiada desinfección de los datos proporcionados por el usuario y permitiría a los actores de amenazas desplegar ataques de scripts entre sitios (XSS). La explotación exitosa de esta vulnerabilidad podría permitir a los hackers extraer información potencialmente confidencial, modificar aspectos gráficos de un sitio web comprometido, desplegar ataques de phishing, entre otras actividades maliciosas.

La falla recibió un puntaje de 5.3/10 en la escala CVSS, por lo que se le considera un error de severidad reducida. Si bien esta vulnerabilidad puede ser explotada de forma remota con sólo enviar una solicitud especialmente diseñada, aún no se ha detectado algún exploit para comenzar el ataque.

CVE-2020-8604: esta vulnerabilidad existe debido a un error de validación de entrada al procesar secuencias transversales de directorio en el parámetro “archivo” dentro de la aplicación Apache Solr. Un atacante remoto puede enviar una solicitud HTTP especialmente diseñada y leer archivos arbitrarios en el sistema.

La vulnerabilidad recibió un puntaje de 6.5/10 en la escala CVSS, por lo que se le considera una falla de gravedad media. CVE-2020-8604 puede ser explotada de forma remota enviando solicitudes especialmente diseñadas a la aplicación objetivo, aunque no existe un exploit funcional para el ataque, señalan los expertos en cómputo forense.

CVE-2020-8605: Esta falla existe debido a una validación de entrada incorrecta en el parámetro “mount_device” dentro de “LogSettingHandler”. Un actor de amenazas podría ejecutar comandos arbitrarios en el sistema objetivo.

La falla recibió un puntaje de 7.7/10 en la escala CVSS, lo que la convierte en una falla de gravedad media. Esta vulnerabilidad también puede ser explotada de forma remota, aunque los expertos en cómputo forense desconocen si existe un malware para el ataque.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Vulnerabilidades en Trend Micro InterScan Web Security permiten hackear su red y dispositivos apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

5 vulnerabilidades críticas en GraphQL utilizadas para programar aplicaciones móviles y web modernas

Especialistas en servicios de seguridad informática han revelado el hallazgo de 5 vulnerabilidades críticas en GraphQL (GQL), un lenguaje de consulta de datos empleado en un número considerable de sitios web y aplicaciones móviles modernas como parte del stack de tecnología. Esta herramienta simplifica la obtención de datos de un servidor a un cliente a través de una llamada API.

Para analizar estas vulnerabilidad, un grupo de investigadores de la firma Carve creó una API de demostración. A continuación se presenta una breve reseña de las fallas reportadas. 

Verificaciones de autorización inconsistentes

Si bien GraphQL ayuda a implementar una validación de datos adecuada, los desarrolladores de API se quedan solos para implementar métodos de autenticación y autorización en la parte superior. Peor aún, las “capas” de una API GraphQL hacen que esto sea más complicado: las verificaciones de autorización deben estar presentes no solo en los resolvers de nivel de consulta, sino también para los resolvers que cargan datos adicionales.

Acorde a los expertos en servicios de seguridad informática que crearon la API, una vulnerabilidad expuesta en la API de demostración expone la oportunidad de recuperar una publicación por ID, donde no hay verificaciones de autorización.

Capas de proxy REST débiles

Una API subyacente adaptada para el uso de los clientes GraphQL con proxys REST puede implementarse en la capa proxy GraphQL con una solicitud a GET/api/users/1 en la API back-end. Si se implementa de forma incorrecta, los actores de amenazas podrían modificar la ruta o los parámetros pasados a la API de back-end.   

Los expertos mencionan que una adecuada codificación URL y los parámetros de validación pasados a otro servicio pueden mitigar el riesgo de explotación de esta falla.

Evasión de validación de Skalar personalizada

Los datos sin procesar con GQL se representan con un tipo Skalar, y finalmente se pasan como datos de entrada o se devuelven como salida. El conjunto básico de tipos Skalar es suficiente para muchas API simples, pero para escenarios en los que los tipos de datos sin procesar adicionales son útiles, GraphQL incluye soporte para que los desarrolladores de aplicaciones definan sus propios tipos escalares.

Si un desarrollador implementa su propio tipo Skalar, será responsable de mantenerse al día con la sanitización y la validación, mencionan los especialistas en servicios de seguridad informática.  

Limitación de velocidad desorganizada

El número de acciones que realiza la consulta GQL es mutable por naturaleza y, por lo tanto, requiere una cantidad errática de recursos del servidor. Esta es la razón por la cual las técnicas de limitación de velocidad utilizadas para las API REST no están destinadas a ser utilizadas para las API GQL. En otras palabras, las estrategias de la API REST son insuficientes para las API GQL.

Filtración de datos públicos por función de introspección

Agregar características veladas a los endpoints de la API es una perspectiva atractiva para los desarrolladores; estas características podrían protegerse de la vista pública con protección de acceso de administrador o con otro endpoint de API. Una característica de GraphQL llamada introspección hace que sea muy fácil descubrir endpoints ocultos.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo 5 vulnerabilidades críticas en GraphQL utilizadas para programar aplicaciones móviles y web modernas apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Cisco hackeado: Dos vulnerabilidades en equipos Cisco utilizados para el hackeo, podría afectar los clientes también

Otro día, otro incidente de seguridad reportado en Cisco. Especialistas en análisis de vulnerabilidades han revelado la detección de una violación de seguridad que afectó un sector de su infraestructura de back-end. En el anuncio, publicado hace unas horas, la compañía tecnológica reveló que los actores de amenazas detrás del ataque explotaron una vulnerabilidad en SaltStack, un software que Cisco incluye con otros productos para obtener acceso a los siguientes seis servidores:

  • us-1.virl.info
  • us-2.virl.info
  • us-3.virl.info
  • us-4.virl.info
  • vsm-us-1.virl.info
  • vsm-us-2.virl.info

Estos seis servidores proporcionan la infraestructura de back-end para VIRL-PE (Internet Routing Lab Personal Edition), un servicio de Cisco que los usuarios emplean para modelar y crear arquitecturas de red virtuales para probar las configuraciones de red antes de implementar equipos en escenarios reales.

Los expertos en análisis de vulnerabilidades mencionan que los servidores salt-master que servían a las versiones 1.2 y 1.3 de Cisco VIRL-PE habían sido comprometidos. Cisco menciona que los parches para corregir estas fallas ya habían sido lanzadas el pasado 7 de mayo, junto con las actualizaciones de rutina para el software SaltStack.

Cabe señalar que el problema de seguridad no se localiza solo en la infraestructura de back-end. En su informe, la compañía menciona que dos de sus productos más populares también incluyen el paquete SaltSack, como parte de su firmware. Los productos afectados son Cisco VIRL-PE y Cisco Modeling Labs Corporate Edition (CML).

Tanto VIRL-PE como CML pueden utilizadas en escenarios alojados en Cisco y locales. En caso de que las compañías usen los dos productos en el mismo lugar, Cisco dice que CML y VIRL-PE tendrán que ser corregidos, mencionan los expertos en análisis de vulnerabilidades. La compañía lanzó hoy actualizaciones de software para ambos productos que incorporan soluciones para las dos vulnerabilidades de SaltStack que se utilizaron para violar el back-end VIRL-PE de Cisco.

Las dos fallas, identificadas como CVE-2020-11651 (error de autenticación) y CVE-2020-11652 (escalada de directorio) fueron reveladas al público el pasado 30 de abril y fueron explotadas en múltiples ocasiones durante los últimos 30 días. Entre las compañías que han reportado casos de explotación activa se encuentran el proveedor de sistemas operativos móviles LineageOS, la plataforma de blog Ghost, la autoridad de certificación Digicert y el proveedor de búsqueda Algolia. 

En la mayoría de estos casos, las víctimas mencionaron que los hackers comprometieron los servidores SaltStack para instalar un malware de minado de criptomoneda; por el momento, Cisco no ha agregado más detalles sobre los ataques. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Cisco hackeado: Dos vulnerabilidades en equipos Cisco utilizados para el hackeo, podría afectar los clientes también apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

CÓMO EVADIR EL ANTIVIRUS CON PAYLOAD TOTALMENTE INDETECTABLE (FUD) PASO A PASO

Cuando un hacker envía un archivo malicioso a su víctima, la mayor parte de la herramienta no omite la protección antivirus (AV). Pero hoy hablaremos de una herramienta que puede eludir la protección antivirus y comprometer la máquina de la víctima. El investigador de hacking ético siempre encuentra formas fáciles de eludir la protección antivirus, sin embargo, hay muchas más formas de eludir la protección antivirus.

CatchYou es una herramienta de ingeniería social que se puede utilizar para comprometer cualquier máquina de Windows enviando un enlace a la víctima. En esta herramienta, estamos utilizando Metasploit Framework para explotar la máquina de la víctima y el servidor Ngrok como proxy inverso para acceder a máquinas privadas en la red. Esta herramienta CatchYou es fácil de instalar y demostraremos el funcionamiento de esta herramienta paso a paso explican experto de instituto internacional de seguridad cibernética.

ENTORNO

  • SO: Kali Linux 2019.3 64 bit
  • Versión de Kernel: 5.2.0

PASOS DE INSTALACIÓN

  • Use este comando para clonar el proyecto
    • git clone https://ift.tt/3cnyzu3
 root@kali:/home/iicybersecurity# git clone https://github.com/thelinuxchoice/catchyou
Cloning into 'catchyou'...
remote: Enumerating objects: 26, done.
remote: Counting objects: 100% (26/26), done.
remote: Compressing objects: 100% (25/25), done.
remote: Total 26 (delta 10), reused 0 (delta 0), pack-reused 0
Unpacking objects: 100% (26/26), 21.74 KiB | 53.00 KiB/s, done.
  • Use el comando cd para ingresar al directorio catchyou
root@kali:/home/iicybersecurity# cd catchyou/
root@kali:/home/iicybersecurity/catchyou#
  • Ahora, use este comando para iniciar esta herramienta
CatchYou
  • Aquí, elija la opción de carga útil para explotar la máquina de la víctima
Windows Payload
  • Aquí, generará dos archivos: catchyou.exe e index.php
Metasploit on hacker machine
  • Ahora seleccionamos el shell de Windows reverse_tcp e ingresamos LHOST y LPORT
  • Aquí podemos ver que la carga útil se guarda como catchyou.exe e inició Metasploit Listener seleccionando la opción Y
  • El archivo catchyou.exe se guardará en el directorio catchyou
  • Ahora envíe este archivo exe a la víctima usando Pendrive o enviando URL usando ingeniería social
  • Para enviar URL usando ingeniería social, también podemos utilizar la herramienta Pwndrop
  • La herramienta pwndrop se puede utilizar para alojar su propio servidor y enviar cualquier archivo de forma muy segura a otra persona, también puede ser un archivo malicioso
  • Haga clic aquí para seguir la configuración de pwndrop
  • Aquí, utilizamos la herramienta pwndrop para enviar la URL a la víctima. Una vez que la víctima hace clic en la URL, descarga la carga útil del FUD como se muestra abajo
Malicious link downloading Catchyou.exe on Victim
  • Si la víctima abre este archivo exe en su máquina, obtendremos el shell de la máquina de la víctima
Victim's Shell

CONCLUSIÓN

Vimos lo fácil que es comprometer la computadora de la víctima enviando la URL o el archivo malicioso a la víctima. NO SUBA LA CARGA GENERADA EN VIRUSTOTAL.

El cargo CÓMO EVADIR EL ANTIVIRUS CON PAYLOAD TOTALMENTE INDETECTABLE (FUD) PASO A PASO apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

jueves, 28 de mayo de 2020

Hacker que robó 15 millones de tarjetas y atacó 3 mil 600 empresas finalmente arrestado

Especialistas en servicios de seguridad informática reportan que el Buró Federal de Investigación (FBI) arrestó a un presunto miembro de FIN7, un reconocido grupo de hackers especializado en el robo de información financiera que ha robado millones de tarjetas de pago y otros detalles similares desde que fue detectado en 2015.

Acorde a los documentos presentados en el Tribunal de Distrito de E.U. para el Oeste de Seattle, E.U., Denys Iarmak, ciudadano ucraniano, fue arrestado en Tailandia y extraditado por la justicia americana el pasado viernes. Iarmak es el cuarto individuo vinculado a este grupo de hacking que es arrestado durante los últimos dos años.

Un elemento fundamental durante el periodo de actividad de FIN7 ha sido la creación de una compañía fantasma llamada Combi Security, la cual ofrecía supuestos servicios de ciberseguridad. Esta compañía “contrataba” a diversos programadores para presuntos proyectos de pentesting, que en realidad eran campañas de ciberataque. Iamark fue reclutado de esta forma por FIN7.   

Las agencias de la ley aseguran que Iamark logró extraer una gran cantidad de información robada a los líderes del grupo cibercriminal. Además, como evidencia, las autoridades presentaron múltiples comunicaciones entre el hacker y otros presuntos integrantes de FIN7 mediante el protocolo de mensajería Jabber.

Los especialistas en servicios de seguridad informática señalan que Iarmak enfrenta múltiples cargos, incluyendo fraude electrónico, conspiración para cometer fraude electrónico, conspiración para cometer fraude bancario, robo de identidad agravado, acceso no autorizado a equipo de cómputo protegido, daño intencional a equipo de cómputo protegido, entre otros.

Respecto a la organización criminal FIN7 (también conocida como Carbanak o Navigator), son hackers con motivaciones financieras que recurren mayoritariamente al envío de emails de phishing cargados de malware, oculto en documentos de Word o PDFs. El malware empleado por FIN7 cumplía con diversas funciones para extraer información de tarjetas de pago, mencionan los documentos de la corte. Uno de los principales vectores de ataque empleados por estos hackers es la obtención de datos de tarjetas a través de ataques a restaurantes, casinos y hoteles, entre otros negocios.

Según estimaciones de especialistas en servicios de seguridad informática, FIN7 ha robado la información de más de 15 millones de tarjetas de pago y atacado al menos 6 mil 500 terminales de puntos de venta en todo el mundo, resultando en pérdidas por millones de dólares para todos los afectados.

El Instituto Internacional de Seguridad Cibernética (IICS) señala que, los otros individuos arrestados vinculados a FIN7 son Dmytro Fedorov, Andrii Kolpakov y Fedir Hladyr.Fedorov fue arrestado en Polonia, mientras Hladyr y Kolpakov fueron detenidos en España a mediados de 2018. Por el momento su juicio se encuentra interrumpido, aunque es cuestión de tiempo para que los hackers conozcan sus sentencias.

El cargo Hacker que robó 15 millones de tarjetas y atacó 3 mil 600 empresas finalmente arrestado apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Vea cómo esta nueva estafa de WhatsApp roba sus códigos de verificación

Las herramientas de comunicación remota son especialmente útiles hoy en día y, aunque existen múltiples opciones atractivas, WhatsApp sigue siendo el servicio más popular a nivel mundial (con más de mil millones de usuarios activos). Esta enorme popularidad también representa una desventaja, mencionan los expertos de un curso para hackear celulares, pues los actores de amenazas siempre están tratando de aprovecharse de los millones de usuarios de esta plataforma con estafas y mensajes fraudulentos.

Recientemente fue detectada una nueva estafa en la que los hackers maliciosos tratan de falsificar los códigos de verificación que los usuarios de la plataforma reciben al crear una nueva cuenta o recuperar su información en un nuevo dispositivo, con el objetivo de ganar acceso a los teléfonos de las víctimas. Los usuarios deben permanecer alertas, pues la posibilidad de recibir un mensaje malicioso vía WhatsApp es considerablemente alta.

Como señalan especialistas del curso para hackear celulares, WhatsApp no envía mensajes a sus usuarios mediante la plataforma (salvo al enviar códigos de verificación vía SMS). En los casos en que la compañía desea compartir información con los usuarios, siempre se realiza mediante su cuenta oficial de Twitter o en su blog empresarial, que son muy fáciles de identificar. No obstante, muchos usuarios ignoran esto, por lo que a los hackers se les ocurrió usar un número telefónico para crear una cuenta de WhatsApp y enviar mensajes suplantando la identidad de algún empleado de la plataforma; los cibercriminales incluso emplean una imagen de WhatsApp como foto de perfil.

En el mensaje, redactado en español, los hackers mencionan a las víctimas que su cuenta requiere ser verificada: “Le informamos que alguien se registró recientemente en una cuenta de WhatsApp usando su número telefónico, no podemos determinar si el inicio de sesión es legítimo”; aunque a todas luces esta es una estafa, muchos usuarios podrían caer en la trampa.

Los expertos del curso para hackear celulares recomiendan a los usuarios de WhatsApp tratar de identificar cualquier indicio de actividad sospechosa, como la deficiente redacción del mensaje o el número no reconocido. WhatsApp es una plataforma cifrada, por lo que bajo ninguna circunstancia se solicitará a los usuarios compartir códigos de verificación o datos personales con supuestos empleados de soporte.

Para prevenir estos ataques, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda habilitar la verificación de dos factores (2FA) en la sección de Configuración de su cuenta de WhatsApp, lo que añadirá una capa de protección adicional en caso de robo de códigos de verificación. La autenticación multi factor es una medida esencial para prevenir ataques de phishing e inicios de sesión ilegítimos.

El cargo Vea cómo esta nueva estafa de WhatsApp roba sus códigos de verificación apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

¿Cómo funciona el ataque de phishing para robar credenciales de Amazon Web Services?

Miles de organizaciones públicas y compañías privadas siguen recurriendo al trabajo remoto para cumplir con las medidas de aislamiento por el combate al coronavirus, por lo que la demanda de servicios en la nube sigue incrementando. Los especialistas en seguridad perimetral aseguran que, a pesar de que el distanciamiento social es necesario, esta conducta también ha favorecido a los cibercriminales, que ahora cuentan con mayores recursos para desplegar campañas maliciosas. 

Un reporte de la firma de ciberseguridad Abnormal Security describe un ataque de phishing recientemente detectado en el que los actores de amenazas se hacen pasar por miembros del personal de Amazon con el objetivo de extraer credenciales de acceso a Amazon Web Services (AWS).

Este ataque comienza con un email, supuestamente enviado por el equipo de soporte de AWS, con un formato realmente idéntico al de las notificaciones legítimas de la compañía. No obstante, al analizar con detenimiento el contenido del mensaje puede verse que el enlace que se encuentra en el texto es diferente a la dirección de Amazon, aunque es probable que muchos usuarios no noten esto, mencionan los especialistas en seguridad perimetral.   

El enlace contenido en el mensaje redirige a los usuarios a un sitio web idéntico al inicio de sesión de AWS (los actores de amenazas incluso se tomaron el tiempo de incrustar imágenes extraídas del sitio oficial de la compañía). Al igual que en cualquier otra campaña de phishing, este falso inicio de sesión sólo servirá para recolectar las credenciales de usuarios desprevenidos.

Los especialistas en seguridad perimetral de Abnormal Security aseguran haber detectado múltiples versiones de este ataque, empleando diferentes direcciones de envío y una gran variedad de cargas útiles, aunque todos los ataques tenían como meta el robo de credenciales de inicio de sesión de AWS. Cabe señalar que todos los emails relacionados con esta campaña provienen de la misma dirección IP, alojada en una VPN francesa.  

Balaji Parimi, especialista en ciberseguridad, señala que esta información podría ser empleada por los actores de amenazas para acceder de forma fácil a los recursos más valiosos de las compañías, como propiedad intelectual, información de recursos humanos, detalles financieros, planes de crecimiento o expansión, entre otros: “Las compañías emplean el almacenamiento en la nube para la protección de recursos valiosos. La pérdida de credenciales de acceso representaría un severo problema”.  

Las medidas de distanciamiento social siguen vigentes en cientos de ciudades, y seguirán vigentes durante los siguientes meses, por lo que el Instituto Internacional de Seguridad Cibernética (IICS) prevé que las campañas de phishing apuntando contra empleados a distancia seguirán siendo un problema serio a mediano plazo.  

El cargo ¿Cómo funciona el ataque de phishing para robar credenciales de Amazon Web Services? apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Esta vulnerabilidad de ARMv7 permite hackear autos inteligentes de forma remota como en las películas

Los autos inteligentes se han convertido en uno de los principales objetivos de algunas pandillas cibercriminales. Los expertos en ingeniería inversa de software del Equipo de Evaluación y Penetración de Experiencia de Clientes de Cisco (CX APT) han revelado el hallazgo de una vulnerabilidad de corrupción de memoria en ARMv7 que, de ser explotada, haría muy fácil el compromiso de un auto inteligente.

Gracias a la inclusión de sistemas informáticos, muchos automóviles actuales son considerados máquinas complejas más allá de los aspectos mecánicos y de diseño, incluyendo sensores y otros dispositivos que ayudan a determinar su ubicación exacta, rendimiento del motor, protección anti robo y otras funciones.

En el informe, los expertos en ingeniería inversa de software señalan que estos sensores proporcionan a los propietarios de vehículos inteligentes diversos indicadores en tiempo real, fusionando componentes móviles e implementaciones en la nube para facilitar algunas funciones, como la apertura de las puertas o el arranque del auto. La implementación de estos sistemas también implica la introducción de múltiples vectores de ataque en vehículos que están conectados a través de redes móviles como WiFi, Bluetooth, DAB o USB.

El investigador Andrew Tierney menciona que la presencia de esta falla no se limita a los autos inteligentes, sino que podría afectar a múltiples implementaciones de Internet de las Cosas (IoT): “Si bien es cierto que más del 90% de los vehículos con sistema satelital están basados en ARM/Linux, lo que los hace vulnerables a estas fallas, el problema se extiende más allá de esta implementación, incluso algunos controladores industriales podrían ser afectados”.  

El experto en ingeniería inversa de software asegura que esta es una falla relevante que debe ser atendida a la brevedad; si bien los fabricantes de equipo original cuentan con la capacidad de corregir estas vulnerabilidades y lanzar actualizaciones en periodos cortos de tiempo, existen miles de entornos empresariales e industriales que no cuentan con la misma posibilidad de recibir parches de seguridad, por lo que los hackers podrían aprovechar estas fallas durante años antes de que el riesgo de explotación sea completamente mitigado.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), el equipo de investigación de Cisco notificó la vulnerabilidad a algunas compañías, que se han comprometido a lanzar las actualizaciones correspondientes antes del mes de agosto. Aunque son buenas noticias, los expertos creen que los propietarios de vehículos inteligentes no cuentan con ninguna protección contra estos ataques hasta que las actualizaciones sean lanzadas. La buena noticia es que la explotación de estas fallas es un proceso complejo, por lo que las posibilidades de explotación en escenarios reales se ven realmente reducidas.

El cargo Esta vulnerabilidad de ARMv7 permite hackear autos inteligentes de forma remota como en las películas apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Vulnerabilidad en PHP: Ataque de DOS a través de la carga de archivos con un nombre demasiado largo

CVE-ID: CVE-2019-11048

Disponibilidad de expliot: no

Descripción

La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).

La vulnerabilidad existe debido a la forma en que PHP maneja nombres largos de archivo o nombres de campo durante la carga de archivos. Un atacante remoto puede proporcionar un nombre de archivo demasiado largo a la aplicación que llevará al motor PHP a intentar asignar un almacenamiento de memoria de gran tamaño, alcanzar el límite de memoria y detener el procesamiento de la solicitud, sin limpiar los archivos temporales creados por la solicitud de carga. Esto conducirá a la acumulación de archivos temporales sin limpiar que agotan el espacio en disco en el servidor de destino.

Mitigación

Instalar actualizaciones del sitio web del proveedor.
Versiones de software vulnerables

PHP: 7.2.0, 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.2.5, 7.2.6, 7.2.7, 7.2.8, 7.2.9, 7.2.10, 7.2.11, 7.2.12, 7.2.13, 7.2.14, 7.2.15, 7.2.16, 7.2.17, 7.2.18, 7.2.19, 7.2.20, 7.2.21, 7.2.22, 7.2.23, 7.2. 24, 7.2.25, 7.2.26, 7.2.27, 7.2.28, 7.2.29, 7.2.30, 7.3.0, 7.3.0alpha1, 7.3.0alpha4, 7.3.0beta1, 7.3.0beta3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 7.3.6, 7.3.7, 7.3.8, 7.3.9, 7.3.10, 7.3.11, 7.3.12, 7.3.13, 7.3. 14, 7.3.15, 7.3.16, 7.3.17, 7.4.0, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.4.5

El cargo Vulnerabilidad en PHP: Ataque de DOS a través de la carga de archivos con un nombre demasiado largo apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

miércoles, 27 de mayo de 2020

Emerson OpenEnterprise SCADA: Vulnerabilidades de autenticación y cifrado en el software

Un equipo de especialistas en seguridad perimetral ha revelado el hallazgo de al menos tres vulnerabilidades en OpenEnterprise SCADA, de Emerson, un sistema empleado en múltiples entornos empresariales. Acorde al reporte, las fallas permitirían el despliegue de escenarios maliciosos como la ejecución remota de código. 

A continuación se presenta una breve reseña de las tres vulnerabilidades encontradas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2020-10640: Los componentes afectados podrían permitir a los actores de amenazas la ejecución de código arbitrario con privilegios elevados empleando servicios de comunicación específicos. La vulnerabilidad existe debido a la ausente autenticación faltante en funciones críticas y recibió un puntaje de 10/10 en la escala CVSS, por lo que se le considera una falla de severidad crítica.

CVE-2020-10632: Esta es una falla de administración incorrecta de propiedad; los permisos de seguridad de carpeta inadecuados permitirían la modificación de algunos archivos de configuración importantes, lo que podría conducir a severas fallas en el sistema, o bien respuestas no esperadas por los usuarios

Esta falla recibió un puntaje de 8.8/10 en la escala CVSS, lo que la convierte en una vulnerabilidad de alta gravedad, mencionaron los expertos en seguridad perimetral.

CVE-2020-10636: Esta es una vulnerabilidad de debilidad en el cifrado del software afectado y podría ser explotada por actores de amenazas para obtener las contraseñas de los usuarios de OpenEnterprise. La falla recibió un puntaje de 6.5/10 en la escala CVSS, por lo que se le considera una vulnerabilidad de gravedad media.

Al respecto, los expertos en seguridad perimetral recomiendan a los administradores de implementaciones afectadas actualizar a OpenEnterprise 3.3 Service Pack (3.3.5) para mitigar el riesgo de explotación. Los paquetes de servicios OpenEnterprise están disponibles para usuarios con acceso al sistema Emerson SupportNet. Los detalles se encontrarán en el área de descargas; se requiere iniciar sesión para descargar las actualizaciones.

Por otra parte, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda a los usuarios implementar las siguientes medidas para una mayor protección de sus sistemas:

  • Habilitar el Principio de Mínimos Privilegios
  • Reducir la exposición en la red para todos los dispositivos y sistemas del sistema de control
  • Identificar y aislar las redes del sistema de control y los dispositivos remotos detrás de los firewalls
  • Cuando sea necesario acceder de forma remota, emplear métodos seguros como VPN

Aunque estas medidas reducen el riesgo de explotación, los usuarios no deben olvidarse de instalar las actualizaciones pertinentes.  

El cargo Emerson OpenEnterprise SCADA: Vulnerabilidades de autenticación y cifrado en el software apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

25 vulnerabilidades críticas en Zephyr RTOS y MCUboot bootloader. Asegure sus dispositivos IoT

Los desarrolladores de Zephyr se han llevado una desagradable sorpresa. Una auditoría realizada por expertos en análisis de vulnerabilidades de NCC Group ha revelado 25 vulnerabilidades en este sistema operativo en tiempo real (RTOS) pensado para su uso en dispositivos de Internet de las Cosas (IoT).

Los expertos encontraron 6 vulnerabilidades en el stak de red, 5 en los controladores de llamadas del sistema, 5 en el subsistema USB, 4 en el kernel, 3 en el mecanismo de actualización de firmware y 2 fallas más en el shell de comandos. Dos de estas fallas son consideradas críticas, otras dos son consideradas de seriedad alta, mientras que el resto recibieron puntajes medianos y bajos. Las fallas críticas afectan el stack IPv4 y el analizador MQTT; las vulnerabilidades de severidad alta afectan los componentes para USB en el sistema.

Hasta el momento sólo han sido lanzadas correcciones para las 15 fallas más peligrosas, aunque los desarrolladores no han terminado de corregir todos los errores encontrados por los expertos en análisis de vulnerabilidades.

Una de las fallas más peligrosas reside en el stack de IPv4, y su explotación podría conducir a un escenario de corrupción de memoria durante el procesamiento de paquetes ICMP especialmente diseñados. Por otra parte, la vulnerabilidad en el analizador de protocolo MQTT, generada por una insuficiente verificación de longitud en los campos de encabezados, lo que podría conducir a la ejecución remota de código.

Entre los problemas derivados de la explotación del resto de las vulnerabilidades se encuentran los ataques de denegación de servicio (DoS), ejecución de código a nivel de kernel, entre otros. Los expertos en análisis de vulnerabilidades mencionan que la mayor parte de estas fallas están relacionadas con la falta de comprobaciones en diversas funciones del sistema, lo que podría conducir a problemas adicionales.

Otras fallas afectan el stack USB y los controladores individuales. Por ejemplo, un problema en el almacenamiento masivo USB le permite causar un desbordamiento del búfer y ejecutar código a nivel kernel cuando se conecta el dispositivo a un host atacante. Además, se estudió el código del cargador de arranque abierto MCUboot, en el que se encontró una vulnerabilidad de seriedad reducida, cuya explotación podría conducir a un desbordamiento de búfer al usar el protocolo de administración simple (SMP) mediante UART.

Los desarrolladores de Zephyr se han comprometido a lanzar las actualizaciones para las vulnerabilidades que no han sido corregidas. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo 25 vulnerabilidades críticas en Zephyr RTOS y MCUboot bootloader. Asegure sus dispositivos IoT apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Vulnerabilidad de día cero permite espiar las cámaras de seguridad y timbre: Ring, Nest, SimpliSafe y 8 más afectan a 40 millones de usuarios

A medida que crece el uso de dispositivos de Internet de las Cosas (IoT) en entornos domésticos también incrementan los reportes sobre riesgos de seguridad y privacidad. Blake Janes, un estudiante de informática de Florida Tech, reveló el hallazgo de lo que llamó “fallas sistemáticas de diseño” en las cámaras y timbres inteligentes de Nest, Ring, SimpliSafe y otras ocho compañías; estas fallas permitirían que una cuenta compartida supuestamente eliminada permanezca activa y con total acceso a las transmisiones de video.

Este hallazgo fue publicado por Janes y dos de sus colegas en el documento “Historia interminable: Fallas de diseño de autenticación y control de acceso en dispositivos IoT compartidos”.

El joven investigador descubrió que el mecanismo para remover las cuentas de usuario no funciona como debería en muchos de estos dispositivos, pues no se eliminan las cuentas de usuario activas. Esta condición permitiría que actores de amenazas exploten la falla y obtengan acceso al sistema con la posibilidad de grabar audio y video sin que los administradores de los dispositivos afectados puedan detectar esta actividad.

“Piense en esto: una pareja que compartía el mismo hogar se divorcia; ambos cuentan con acceso a su sistema de vigilancia. El sujeto A elimina el acceso del sujeto B, aunque esta acción no se replica en el smartphone del sujeto B. Esto quiere decir que, a pesar de que el sujeto A revoque otros accesos y restablezca la contraseña para acceder al dispositivo, el sujeto B aún contará con acceso a los datos de la cámara, incluyendo la transmisión de audio y video”, menciona Janes.

Los investigadores atribuyen este comportamiento al hecho de que el otorgamiento de acceso se realiza en la nube y no de forma local (usando las apps móviles de los sistemas de vigilancia o interfaces de administración web). Acorde al Instituto Internacional de Seguridad Cibernética (IICS), las compañías decidieron adoptar este enfoque debido a que permite que las cámaras transmitan datos sin necesidad de emplear forzosamente un smartphone. Además, estos dispositivos fueron diseñados para que los usuarios no tuvieran que responder a solicitudes de acceso de forma frecuente, pues esto incrementa el tiempo requerido para acceder a los datos transmitidos por la cámara, algo contraproducente al tratarse de un sistema de esta naturaleza.

Uno de los factores más inquietantes sobre este hallazgo es el hecho de que los actores de amenazas no requerirían emplear herramientas de hacking sofisticadas para acceder a las transmisiones de estas cámaras, pues sólo se necesita cualquier aplicación o interfaz de usuario.

Entre las compañías cuyos productos contienen este error se encuentran Blink, Canary, D-Link, Merkury, Momentum Axel, Nest, NightOwl, Samsung, SimpliSafe, TP-Link. Los usuarios de dispositivos comprometidos deben permanecer alertas para instalar las actualizaciones de firmware que lancen los fabricantes. Verificar las configuraciones de sus dispositivos también es una buena medida preliminar.

Los fabricantes cuyos productos se ven afectados por estas fallas ya han sido notificados y están trabajando en la implementación de las estrategias adecuadas para corregirlas. Además, Google entregó una recompensa de más de 3 mil dólares a los investigadores por la identificación de una falla adicional en Nest; por su parte, firmas como Samsung y Ring corregirán la falla en colaboración con los investigadores.

El cargo Vulnerabilidad de día cero permite espiar las cámaras de seguridad y timbre: Ring, Nest, SimpliSafe y 8 más afectan a 40 millones de usuarios apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

martes, 26 de mayo de 2020

La vulnerabilidad XSS en jQuery permite a los hackers desfigurar su sitio web fácilmente con una línea de código

Un equipo de especialistas de un curso de ingeniería inversa ha revelado el hallazgo de una vulnerabilidad en jQuery, la biblioteca multiplataforma de JavaScript que permite simplificar la manera de interactuar con documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a los sitios web.

Acorde al reporte, la explotación de esta vulnerabilidad permitiría a los actores de amenazas desplegar ataques de scripts entre sitios (XSS). A continuación se presenta una breve reseña de la vulnerabilidad reportada, además de su respectivo puntaje y clave de identificación según el Common Vulnerability Scoring System (CVSS).

La vulnerabilidad, identificada como CVE-2020-7656 existe debido a una insuficiente depuración de los datos proporcionados por el usuario dentro de la función load() y permitiría a los actores de amenazas desplegar ataques de scripts entre sitios.

Según los expertos del curso de ingeniería inversa, los hackers remotos podrían pasar código HTML especialmente diseñado a la aplicación objetivo y ejecutarlo en el navegador de la víctima en el contexto del sitio web afectado. Si la vulnerabilidad es explotada de forma remota, los actores de amenazas podrían extraer información potencialmente confidencial, modificar la apariencia del sitio web vulnerable, desplegar campañas de spear phishing, descargas arbitrarias, entre otros ataques. 

Si bien esta vulnerabilidad puede ser explotada por hackers maliciosos no autenticados, los expertos no han detectado la existencia de un exploit para desencadenar el ataque, aunque existe una prueba de concepto (disponible a continuación). 

index.html:

<html&gt;
<head&gt;
    <script src="https://cdnjs.cloudflare.com/ajax/libs/jquery/1.8.3/jquery.js"&gt;</script&gt;
</head&gt;
<body&gt;
    <div id="mydiv"&gt;</div&gt;
    <script&gt;
        $("#mydiv").load('inject.html #himom');
    </script&gt;
</body&gt;
</html&gt;
inject.html:

<div id="himom"&gt;<script&gt;alert('Arbitrary Code Execution');</script &gt;</div&gt;

La vulnerabilidad está presente en las siguientes versiones de jQuery: 1.0, 1.0.0, 1.0.1, 1.0.2, 1.0.3, 1.0.4, 1.1, 1.1.0, 1.1.1, 1.1.2, 1.1.3, 1.1.3.1, 1.1.4, 1.2, 1.2.0, 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.2.5, 1.2.6, 1.3, 1.3.0, 1.3.1, 1.3.2, 1.4, 1.4.0, 1.4.1, 1.4.2, 1.4.3, 1.4.4, 1.5, 1.5.0, 1.5.1, 1.5.2, 1.6, 1.6.0, 1.6.1, 1.6.2, 1.6.3, 1.6. 4, 1.7, 1.7.0, 1.7.1, 1.7.2, 1.8.0, 1.8.1, 1.8.2 y 1.8.3, mencionan los expertos del curso de ingeniería inversa.

Los desarrolladores de jQuery ya han lanzado un parche que corrige esta falla, disponible en sus plataformas oficiales. Por el momento no se  conocen soluciones alternativas, por lo que se recomienda a los administradores de implementaciones vulnerables actualizar lo antes posible. Mayores detalles sobre la vulnerabilidad podrían ser revelados cuando se considere que el riesgo de explotación ha sido mitigado.

Esta falla recibió un puntaje de 5.5/10 en la escala CVSS, lo que la convierte en una vulnerabilidad de severidad media, además de que la explotación es compleja. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo La vulnerabilidad XSS en jQuery permite a los hackers desfigurar su sitio web fácilmente con una línea de código apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

La nueva vulnerabilidad Strandhogg permite espiar cualquier dispositivo con Android 9.0 y versiones anteriores

Un equipo de especialistas en análisis de vulnerabilidades ha revelado el hallazgo de una seria falla de seguridad presente en la mayoría de las versiones de Android. Al parecer, la explotación de esta falla permitiría que una variante de malware suplante a algunas aplicaciones legítimas, lo que expondría a los usuarios a actividades maliciosas como espionaje, robo de contraseñas y otros detalles confidenciales.

La falla fue descubierta por los investigadores de la firma de ciberseguridad Promon, con sede en Noruega. Conocida como Strandhogg 2.0 (un término nórdico empleado para referirse a ataques violentos), esta vulnerabilidad es idéntica a otra falla encontrada anteriormente y está presente en cualquier dispositivo Android que ejecuta la versión 9.0 y anteriores.

Los expertos en análisis de vulnerabilidades mencionan que los hackers deben engañar a las víctimas con páginas de inicio de sesión falsas para explotar la vulnerabilidad. Empleando esta falla los actores de amenazas también podrían tomar control de los permisos de otras aplicaciones y desviar información confidencial de la víctima, incluyendo contactos, imágenes, datos de ubicación en tiempo real, entre otros detalles.

La vulnerabilidad funciona abusando del sistema multitarea del sistema Android, que controla todas las aplicaciones abiertas recientemente por el usuario de un dispositivo móvil. Para completar un ataque de forma exitosa, los hackers requieren que la víctima descargue una aplicación maliciosa que se haga pasar por un producto legítimo. Una vez instalada, la app maliciosa podría secuestrar el servicio legítimo para inyectar código malicioso.

FUENTE: Promon

Cuando una víctima ingresa su contraseña en la ventana de inicio de sesión falsa, sus contraseñas se desvían a los servidores controlados por los hackers. Finalmente, la aplicación legítima se inicia como si nada hubiese pasado.

FUENTE: Promon

Los investigadores creen que esta falla podría ser mucho más peligrosa que la primera versión, pues es casi indetectable para cualquier usuario de dispositivos móviles. Aunque la falla existe en millones de dispositivos, los expertos que revelaron el hallazgo afirman que hasta el momento no se han presentado casos de explotación en escenarios reales. El verdadero problema es la imposibilidad de detectar un ataque, pues ni siquiera los usuarios con mayores conocimientos técnicos podrían ser capaces de identificar la actividad maliciosa.

Al respecto, Google también afirma que no se han detectado intentos de explotación activa: “Lanzamos una solución para esta falla después de recibir el reporte, el cual agradecemos”, mencionó un portavoz de la compañía. El sistema Google Play Protect también es de gran ayuda en el combate a este tipo de fallas, pues bloquea las aplicaciones que podrían ser empleadas para la explotación de esta clase de errores, mencionan los expertos en análisis de vulnerabilidades.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo La nueva vulnerabilidad Strandhogg permite espiar cualquier dispositivo con Android 9.0 y versiones anteriores apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Código fuente del Pokemon Diamond, Pearl junto con Nintendo 3DS filtrado en línea

Los desarrolladores de videojuegos han sido golpeados por los hackers muy frecuentemente durante las últimas semanas, y en esta ocasión fue turno de Nintendo. Acorde a expertos en servicios de seguridad informática, el código fuente de la consola Nintendo 3DS y de los videojuegos Pokemon Diamond y Pearl fue filtrado en línea por  un hacker no identificado.

Por obvias razones, la compañía no está nada contenta, aunque los entusiastas de la franquicia japonesa se han encontrado con la oportunidad ideal para desentrañar dos de los más populares títulos para la consola portátil de Nintendo.

Los expertos en servicios de seguridad informática creen que este incidente está plenamente vinculado con las filtraciones que comenzaron en abril, después de que un grupo de actores de amenazas no identificados comprometió los servidores de Nintendo y expuso en línea la versión demo de Pokemon Gold y Silver, lo que resultó en la revelación de múltiples secretos sobre estos juegos.

Si bien las más recientes filtraciones no parecen haber traído nada nuevo sobre los títulos expuestos hasta el momento, aún quedan múltiples archivos por explorar, por lo que las próximas semanas podrían ser realmente interesantes para la comunidad gamer. Cuando se presenta una filtración similar, los entusiastas tienen la esperanza de descubrir secretos en los videojuegos que han permanecido ocultos por años.

Respecto a las filtraciones de la consola 3DS, los expertos en servicios de seguridad informática mencionan que la información expuesta incluye múltiples detalles sobre sus archivos de desarrollo. Al parecer, el código fuente del sistema operativo del juego fue inicialmente filtrado en 4Chan; los especialistas creen que la filtración de los videojuegos también ocurrió en esta plataforma.

Aún no está claro qué acciones tomará Nintendo al respecto, aunque es posible que la compañía no haga nada en absoluto, pues 3DS atraviesa por sus últimos momentos de vida útil, mientras que la compañía ha enfocado todos sus esfuerzos recientes en explotar el mercado de las consolas portátiles con Nintendo Switch. Lo que sí es seguro es que la seguridad de la compañía será reforzada después de sufrir dos ciberataques en menos de dos meses.   

Por otra parte, el Instituto Internacional de Seguridad Cibernética (IICS) considera que las cosas podrían ponerse peor para la compañía si los hackers logran acceder a desarrollos más recientes. La mayoría de los juegos expuestos hasta ahora fueron lanzados hace casi diez años, por lo que no representan pérdidas para Nintendo, aunque la firma sí podría sufrir pérdidas considerables si los videojuegos más recientes son expuestos también. Tanto Nintendo como Pokemon han experimentado incidentes de hacking en el pasado, por lo que ninguna de las compañías debería desestimar la posibilidad de que esto vuelva a ocurrir.  

El cargo Código fuente del Pokemon Diamond, Pearl junto con Nintendo 3DS filtrado en línea apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Vulnerabilidad de cross-site scripting en FortiGateCloud y de escalada de privilegios en Fortinet FortiClient

Especialistas en cómputo forense han reportado el hallazgo de dos vulnerabilidades en FortiClient y FortiGateCloud, de Fortinet Inc. Acorde al reporte, la explotación de estas fallas podría conducir a escenarios maliciosos como la escalada de privilegios o ataques de scripts entre sitios (XSS). FortiGateCloud es una plataforma de administración basada en la nube para firewalls de FortiGate, mientras que FortiClient es una suite de seguridad para la protección avanzada de equipos y sistemas.

A continuación se presenta una breve reseña de las vulnerabilidades encontradas, además de sus respectivos puntajes y claves de identificación en el Common Vulnerability Scoring System (CVSS).

La primera de las fallas encontradas, identificada como CVE-2020-9291, existe debido a que la suite FortiClient para el sistema operativo Windows permite a usuarios locales obtener altos privilegios al agotar el conjunto de nombres de archivos temporales, en combinación con un ataque de enlace simbólico, mencionan los expertos en cómputo forense.  

La explotación de esta vulnerabilidad permitiría a los actores de amenazas elevar sus privilegios en el sistema objetivo. Esta falla está presente en las siguientes versiones de FortiClient: 6.0.0, 6.0.1, 6.0.2, 6.0.3, 6.0.4, 6.0.5, 6.0.6, 6.0.7, 6.0.8, 6.2.0 y 6.2.1.

La falla sólo puede ser explotada de forma local por hackers autenticados en el sistema objetivo, lo que reduce considerablemente las posibilidades de explotación, además de que no se ha identificad la existencia de un exploit para desencadenar el ataque. La vulnerabilidad recibió un puntaje de 6.8/10, por lo que se le considera una falla de gravedad media.

Por otra parte, la segunda falla reportada (sin clave CVSS) existe debido a una insuficiente depuración de los datos enviados por el usuario a la página de inicio de sesión de FortiGateCloud y permitiría a los actores de amenazas desplegar ataques XSS.

Un hacker remoto podría engañar a la víctima para que haga clic en un enlace especialmente diseñado y desencadenar la ejecución de código HTML arbitrario en el contexto del sitio web vulnerable. Acorde a los especialistas en cómputo forense, la explotación exitosa de esta vulnerabilidad permitiría el robo de información confidencial, modificación del sitio web objetivo, ataques de phishing, entre otras actividades maliciosas.

La falla puede ser encontrada en la versión 4.4 de FortiGateCloud, y aunque puede ser explotada de forma remota por hackers no autenticados, no existe un exploit para el ataque. La falla recibió un puntaje de 5.3/10 en la escala CVSS, por lo que se le considera un error de gravedad baja.

Ambas fallas ya han sido corregidas, por lo que se recomienda a los administradores de implementaciones afectadas instalar los parches lanzados por la compañía. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Vulnerabilidad de cross-site scripting en FortiGateCloud y de escalada de privilegios en Fortinet FortiClient apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Hackear Parallels con CVE-2020-8871: la vulnerabilidad de escalada de privilegios permite el acceso al sistema operativo host

Los especialistas en ingeniería inversa de software de Zero Day Initiative han publicado un aviso sobre una vulnerabilidad de escalada de privilegios en Parallels Desktop, el software de máquina virtual más popular para el sistema macOS, diseñado para proporcionar servicios de máquina virtual de alto rendimiento para los usuarios de Apple.

Parallels Desktop tiene una vulnerabilidad de memoria fuera de los límites al implementar dispositivos VGA virtualizados. Los actores de amenazas pueden hacer que una máquina virtual se escape al ejecutar un programa especial dentro de la máquina virtual. Al explotar esta vulnerabilidad, los hackers pueden ejecutar código arbitrario en el host físico y obtener la autoridad de control del host. La falla fue identificada como CVE-2020-8871.

A pesar de que Parallels Desktop es uno de los programas de virtualización más populares para el sistema macOS, los expertos en ingeniería inversa de software mencionan que la vulnerabilidad no ha sido suficientemente investigada, por lo que se conocen pocos detalles al respecto, como explotación o potenciales consecuencias.

El pasado mes de noviembre, el investigador Reno Robert reportó múltiples errores en Parallels a Zero Day Initiative, una de estas fallas permitiría que un usuario local en el sistema operativo invitado pueda realizar una escalada de privilegios para ejecutar código en el host. La vulnerabilidad fue corregida en mayo pasado con el lanzamiento de la versión 15.1.3, y fue identificada como CVE-2020-8871, mencionan los especialistas en ingeniería inversa de software.

El Instituto Internacional de Seguridad Cibernética (IICS) considera que este reporte es de gran relevancia para los usuarios de Parallels Desktop, favoreciendo el análisis de fallas de seguridad en entornos de máquina virtual. Los desarrolladores aseguran que el Common Vulnerability Scoring System (CVSS) ha asignado puntajes bajos a esta falla de seguridad, los expertos mencionan que al tratarse de una falla de escalada de privilegios los desarrolladores deben lanzar un parxche de actualización a la brevedad.

Por ahora se desconoce la existencia de una solución alternativa para esta vulnerabilidad, por lo que se recomienda a los usuarios estar alertas sobre el lanzamiento de los parches de actualización oficiales. Más detalles sobre la vulnerabilidad podrían revelarse cuando la compañía decida que el riesgo de explotación ha sido mitigado por completo.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Hackear Parallels con CVE-2020-8871: la vulnerabilidad de escalada de privilegios permite el acceso al sistema operativo host apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

lunes, 25 de mayo de 2020

Ataque de phishing de LogMeIn: cómo roban credenciales de usuario

Los ataques de phishing son una de las principales amenazas para los usuarios de tecnología. Los hackers constantemente buscan engañar a las víctimas usurpando el nombre de reconocidas marcas, compañías o productos, desplegando campañas masivas para atraer la atención del mayor número posible de víctimas potenciales.

Recientemente se detectó una campaña de phishing en la que los actores de amenazas se hacen pasar por personal de LogMeIn, una popular herramienta de acceso remoto, para extraer las credenciales de los usuarios desprevenidos. Los especialistas de Abnormal Security publicaron un reporte detallando la actividad de este grupo de hackers.

La campaña fue detectada por primera vez a inicios de mayo, según el reporte de la firma de ciberseguridad. Acorde a los reportes, el que los cibercriminales hayan elegido suplantar la identidad de LogMeIn se debe a la necesidad de trabajar de forma remota, por lo que empleados de miles de compañías y organizaciones públicas deben emplear todos los recursos disponibles para realizar sus labores cotidianas desde casa.

El ataque comienza con un email supuestamente procedente del equipo de soporte de LogMeIn, que incluye un aviso dirigido a los clientes y que menciona el lanzamiento de una actualización para corregir una vulnerabilidad día cero detectada en LogMeIn Central y LogMeIn Pro

Los usuarios que quisieran instalar el supuesto parche de actualización deben hacer clic en un enlace adjunto, además, el email contiene una advertencia que asegura que, en caso de no instalarse el parche, la cuenta del usuario objetivo será suspendida con fines de prevención de la explotación. En realidad, el enlace dirige a los usuarios a una página falsa de inicio de sesión idéntica al sitio legítimo de LogMeIn; para dar mayor veracidad a este sitio fraudulento, los operadores de la campaña agregaron imágenes de LastPass, compañía matriz de LogMeIn.

Cuando las víctimas ingresan sus credenciales de inicio de sesión en la página falsa, estos datos son enviados a los cibercriminales. Debido a que LogMeIn emplea un método de inicio de sesión único con LastPass, los actores de amenazas podrían tratar de obtener acceso al administrador de contraseñas del usuario. En caso de acceder a esta información, los cibercriminales podrían tomar control de todas las contraseñas de las víctimas.

Los especialistas en ciberseguridad señalan que muchas campañas de ciberataque recientemente detectadas han empleado técnicas similares, pues muchos administradores de sistemas o usuarios de herramientas informáticos buscan mantener sus implementaciones siempre actualizadas. Para prevenir esta clase de ataques, los administradores deben siempre verificar la procedencia de cualquier email, así como buscar información sobre vulnerabilidades y actualizaciones en las plataformas oficiales de los desarrolladores, así como en los sitios web de organizaciones para la divulgación oficial de fallas de seguridad.

El cargo Ataque de phishing de LogMeIn: cómo roban credenciales de usuario apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Tres vulnerabilidades críticas encontradas en FreeRDP

Especialistas de un curso de ciberseguridad han revelado el hallazgo de al menos tres vulnerabilidades de seguridad críticas en FreeRDP, una biblioteca de protocolo de escritorio remoto gratuito. Según el reporte, la explotación exitosa de estas fallas de seguridad permitiría el despliegue de diversos escenarios maliciosos, como la lectura o escritura fuera de los límites.

A continuación se presenta una breve reseña de las tres fallas de seguridad reportadas, junto con su respectivo puntaje y clave de identificación en el Common Vulnerability Scoring System (CVSS).

CVE-2020-13398: Esta falla existe debido un error de límite al procesar entradas no confiables dentro de la función crypto_rsa_common() en libfreerdp/crypto/crypto.c. Los actores de amenazas remotos podrían enviar datos especialmente diseñados a la aplicación vulnerable, activar la escritura fuera de los límites y ejecutar código arbitrario en el sistema objetivo.

La falla puede ser explotada de forma remota, por lo que recibió un puntaje de 7.7/10 en la escala CVSS, lo que la convierte en una vulnerabilidad severa. La falla está presente en la versión 2.1.0 de FreeRDP.    

CVE-2020-13396: Esta vulnerabilidad permite a los actores de amenazas obtener acceso a información confidencial en el sistema comprometido. La falla existe debido a una condición límite en winpr/libwinpr/sspi/NTLM/ntlm_message.c. Los hackers remotos pueden desencadenar una falla de lectura fuera de límites usando un mensaje de autenticación especialmente diseñado para acceder al contenido de la memoria.

Acorde a los expertos del curso de ciberseguridad, la falla recibió un puntaje de 3.8/10 en la escala CVSS, por lo que se le considera una vulnerabilidad de gravedad baja; la falla está presente en la versión 2.1.0 de FreeRDP.

CVE-2020-13397: Esta falla existe debido a una condición de límite dentro de security_fips_decrypt en libfreerdp/core/security.c, y su explotación permitiría a los hackers maliciosos obtener acceso a información confidencial en el sistema objetivo.

La vulnerabilidad también está presente en la versión 2.1.0 de FreeRDP y recibió un puntaje de 3.8/10 en la escala CVSS, por lo que se le considera una falla de severidad baja, mencionan los expertos del curso de ciberseguridad.

Si bien estas vulnerabilidades pueden ser explotadas de forma remota por usuarios no autenticados, su explotación en escenarios reales es compleja, además de que no se ha reportado la existencia de un exploit útil para desplegar alguno de estos ataques, aunque esto no significa que las compañías deban ignorar tales riesgos, menciona el Instituto Internacional de Seguridad Cibernética (IICS).

En el caso de estas tres vulnerabilidades, los desarrolladores de FreeRDP aún no se han pronunciado al respecto, aunque ya han sido notificados. Aunque estas no son vulnerabilidades especialmente peligrosas, se espera que la próxima actualización del protocolo incluya algunas correcciones de seguridad.

El cargo Tres vulnerabilidades críticas encontradas en FreeRDP apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente