martes, 30 de junio de 2020

Fallas en los controladores usados por los cajeros automáticos y puntos de venta hacen que sea fácil robarles todo el dinero

El robo a cajeros automáticos es un problema cada vez más complejo debido a la evolución en los métodos empleados por los criminales y, acorde a especialistas en seguridad de la información, los controladores inseguros o maliciosos son uno de los principales factores de riesgo en estos ataques.

En un reporte elaborado por expertos de la firma Eclypsium, se menciona que el problema de estos controladores puede ser analizado enfocándose en dos factores principales:

  • Un controlador deficientemente diseñado podría ser empleado por hackers maliciosos para obtener control sobre el kernel de Windows y el firmware del dispositivo subyacente. Desde hace años los criminales han empleado malware para implantar backdoors en los sistemas vulnerables, lo que les permite generar persistencia y desplegar ataques posteriores
  • No hay un método universal para evitar que los sistemas Windows carguen controladores defectuosos cuando han sido identificados. La tecnología HVCI de Microsoft puede proteger a los dispositivos más recientes, aunque los dispositivos lanzados anteriormente deben confiar en las listas negras instaladas de forma manual por los administradores

Los especialistas en seguridad de la información mencionan que las vulnerabilidades explotadas se basan en un método integrado en el software de los controladores, que es casi un estándar en la industria. Los avances más recientes en la investigación de esta conducta criminal muestran que la explotación de estas fallas sigue presentándose incluso en entornos ampliamente controlados, como cajeros automáticos en instalaciones seguras e incluso contra dispositivos de puntos de venta (POS).

Como se ha mencionado antes, los criminales pasaron de irrumpir la integridad física de los cajeros automáticos para extraer todo el dinero posible a desplegar ataques basados en seguridad lógica, engañando al software en las máquinas para aprobar retiros de efectivo ilegítimos. Esta variante de ataque, conocida popularmente como “jackpotting“, involucra el uso de malware, herramientas de hacking y ataque directo contra los componentes del cajero automático.   

La investigación más reciente de Eclypsium se enfoca en un cajero automático de la firma Diebold Nixford, en el que los expertos detectaron un componente vulnerable; cabe aclarar que este cajero demostró ser mucho más seguro que versiones anteriores de la misma compañía e incluso que otras opciones de los competidores.

Acorde a los expertos en seguridad de la información, este cajero es especialmente sensible a una vulnerabilidad que aún no ha sido explotada en escenarios reales, pero que podría afectar a múltiples dispositivos, ya sean cajeros automáticos, puntos de venta, entre otros equipos. Para realizar la investigación, los expertos adquirieron una computadora interna idéntica a la utilizada por el cajero analizado (SWAP-PC 5G i5-4570 AMT TPMen).

FUENTE: Eclypsium

La computadora interna de un cajero automático se conecta con todos sus componentes, como el lector de tarjetas, el teclado, interfaces de red y los contenedores de efectivo. Al analizar la computadora a detalle, los expertos notaron que un controlador estaba proporcionando acceso arbitrario a los puertos x86 I/O del sistema; a pesar de que estas son funciones limitadas en el contexto del cajero automático, es posible emplearlos para obtener acceso PCI arbitrario, lo que conduciría a un ataque contra los dispositivos conectados a PCI. Además, los investigadores descubrieron que el fabricante usa este controlador para actualizar el firmware del BIOS en el cajero, lo que podría indicar una ruta para la modificación del firmware e instalación de un kit de hacking.

Aunque esta nueva investigación se centra sólo en un modelo de cajero automático, los expertos en seguridad de la información mencionan que es altamente probable que este controlador sea empleado por otros modelos fabricados por Diebold Nixdorf y otras compañías. Esto también afecta las soluciones de puntos de venta basadas en sistemas Windows.  

La compañía fue notificada en tiempo y forma y reconoció el reporte poco después. Las actualizaciones para corregir este problema ya fueron lanzadas y se insta a los administradores de máquinas afectadas a instalar las correcciones lo antes posible.  

En este caso las actualizaciones fueron lanzadas tan rápido como fue posible. No obstante, en muchos otros casos es muy difícil corregir las vulnerabilidades en cajeros automáticos, principalmente debido a que estos dispositivos están altamente regulados y esto retrasa el desarrollo de los parches de seguridad. En muchos casos, los cambios en el dispositivo requieren que el proveedor repita el proceso de certificación, un proceso que sin dudas demora mucho. En consecuencia, los fabricantes podrían demorar hasta un año en actualizar un dispositivo inseguro.

Está plenamente demostrada la posibilidad de que algún conductor vulnerable sea explotado para obtener acceso de bajo nivel al hardware y sistemas informáticos de un cajero automático, por lo que es necesario que todos los involucrados en este proceso establezcan los mecanismos necesarios para abordar de la mejor forma estos inconvenientes. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Fallas en los controladores usados por los cajeros automáticos y puntos de venta hacen que sea fácil robarles todo el dinero apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Falla en firewall y VPN de Palo Alto permite a los hackers infectar la red con virus

Hace unos días se reportó el hallazgo de una vulnerabilidad en PAN-OS, el sistema operativo empleado por las soluciones de firewall y red privada virtual (VPN) de Palo Alto Networks. Hoy, expertos en seguridad de aplicaciones y el Comando Cibernético de E.U. mencionaron que es altamente probable que los grupos de hackers patrocinados por actores estatales exploten esta falla como parte de campañas de ataque de alto perfil.

A través de Twitter, el Comando Cibernético instó a los usuarios de esta tecnología a instalar las actualizaciones: “Por favor, aplique los parches a todos los dispositivos afectados por CVE-2020-2021 de inmediato; grupos ATP podrían explotar esta vulnerabilidad”. Cabe recordar que Amenaza Persistente Avanzada (APT), es un término empleado por la comunidad de la ciberseguridad para referirse a los grupos de hacking auspiciados por otros gobiernos.    

Los expertos en seguridad de aplicaciones creen que este temor está completamente justificado, pues esta falla recibió un puntaje de 10/10 según el Common Vulnerability Scoring System (CVSS), lo que significa que es fácil de explotar y requiere mínima interacción de las víctimas. El atacante potencial ni siquiera requiere acceso previo al dispositivo afectado.   

Respecto a los aspectos técnicos de la vulnerabilidad, ésta consiste en esquivar los mecanismos de autenticación de los sistemas afectados, lo que permite a los actores de amenazas acceder a los dispositivos vulnerables sin necesidad de emplear credenciales de inicio de sesión legítimas.

Gracias a esta vulnerabilidad, los atacantes podrían modificar las configuraciones de PAN-OS, lo que permitiría inhabilitar el firewall o bien modificar los controles de VPN, exponiendo la información de los usuarios. Para que el ataque sea exitoso, PAN-OS debe contar con configuraciones específicas; por ejemplo, la falla sólo es explotable si la opción ‘Validar certificado de proveedor de identidad’ está deshabilitada y si la opción SAML (Security Assertion Markup Language) está habilitada, mencionan los especialistas en seguridad de aplicaciones.

Algunos de los productos potencialmente vulnerables son:

  • GlobalProtect Gateway
  • GlobalProtect Portal
  • GlobalProtect Clientless VPN
  • Authentication & Captive Portal
  • Firewall PAN-OS de última generación
  • Sistemas Prisma Access

Aunque las configuraciones que requiere el ataque no están habilitadas (o inhabilitadas, según sea el caso) por defecto, algunos manuales de proveedores instruyen a los propietarios de PAN-OS a modificar estas configuraciones en casos determinados, lo que podría incrementar el alcance del ataque.

Además del Comando Cibernético, múltiples miembros de la comunidad de la ciberseguridad han pedido a los usuarios de implementaciones afectadas instalar las actualizaciones para prevenir una potencial campaña de explotación masiva.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Falla en firewall y VPN de Palo Alto permite a los hackers infectar la red con virus apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Vulnerabilidades en YARA permiten comprometer la red en lugar de protegerla

Especialistas en pruebas de seguridad informática reportan el hallazgo de dos vulnerabilidades en YARA, una herramienta utilizada principalmente en la investigación y detección de malware. Acorde al reporte, la explotación exitosa de estas fallas permitiría escenarios como la ejecución remota de código.

A continuación se presenta una breve descripción de las fallas reportadas, además de sus respectivos puntajes según el Common Vulnerability Scoring System (CVSS); cabe mencionar que las fallas aún no tienen una clave CVSS asignada.

La primera de las vulnerabilidades reportadas existe debido a un error use-after-free en el módulo PE de YARA, lo que permitiría a los actores de amenazas atacar de forma remota el sistema objetivo.

La explotación exitosa de esta vulnerabilidad conduciría al compromiso total del sistema afectado, mencionan los especialistas en pruebas de seguridad informática.

Esta falla reside en las versiones 4.0.0 y 4.0.1 de YARA, y recibió un puntaje de 8.5/10, lo que la convierte en una vulnerabilidad crítica. A pesar de que la falla puede ser explotada por actores de amenazas remotos no autenticados, no se han detectado casos de explotación activa ni variantes de malware asociadas a este ataque.

Por otra parte, la segunda de las fallas reportadas existe debido a un desbordamiento de enteros que conduce a la ejecución de código arbitrario en el sistema objetivo y exposición de archivos de hasta 2 GB. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso total del sistema vulnerable.

Esta vulnerabilidad también recibió un puntaje de 8.5/10, por lo que los especialistas en pruebas de seguridad informática consideran que este es un error crítico. La falla reside en las versiones 4.0.0 y 4.0.1 de YARA, y aunque también podría ser explotada de forma remota por hackers no autenticados, no se han reportado casos de explotación en escenarios reales. Los investigadores tampoco han detectado alguna variante de malware asociada a este ataque.

Los desarrolladores de YARA reconocieron las fallas y comenzaron a trabajar en su corrección inmediatamente después de recibir el reporte. Las actualizaciones ya están listas, por lo que los usuarios de implementaciones afectadas sólo deben verificar su correcta instalación. Por ahora se desconoce la existencia de una solución alternativa, por lo que se recomienda encarecidamente a los usuarios verificar la correcta instalación de los parches.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Vulnerabilidades en YARA permiten comprometer la red en lugar de protegerla apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

lunes, 29 de junio de 2020

Falla en Apache Tomcat obliga al servidor a realizar ataques DoS contra sí mismo y contra la red

Especialistas de un diplomado de ciberseguridad reportan el hallazgo de una vulnerabilidad en Apache Tomcat, el contenedor de servlets desarrollado bajo el proyecto Jakarta de Apache Software Foundation. Acorde al reporte, la explotación exitosa de esta vulnerabilidad permitiría el despliegue de ataques de denegación de servicio (DoS) contra la implementación afectada.

A continuación se presenta una breve descripción de la falla reportada, además de su respectivo puntaje y clave de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2020-11996: La inadecuada gestión de los recursos internos en la aplicación al procesar solicitudes HTTP/2 permitiría a los hackers remotos realizar ataques de denegación de servicios (DoS). Los actores de amenazas podrían enviar una secuencia de solicitudes HTTP/2 especialmente diseñadas para desencadenar un alto consumo del CPU por varios segundos, lo que eventualmente generará la condición DoS.   

Según mencionan los especialistas del diplomado de ciberseguridad, la vulnerabilidad recibió un puntaje de 6.5/10 en la escala CVSS, por lo que se le considera un error de severidad media.

A continuación se presenta un listado de las versiones de Apache Tomcat afectadas por esta falla de seguridad: 8.5.0, 8.5.1, 8.5.2, 8.5.3, 8.5.4, 8.5.5, 8.5.6, 8.5.7, 8.5.8, 8.5.9, 8.5.10, 8.5.11, 8.5.12, 8.5.13, 8.5.14, 8.5.15, 8.5.16, 8.5.17, 8.5.18, 8.5.19, 8.5.20, 8.5.21, 8.5.22, 8.5.23, 8.5.24, 8.5.25, 8.5.26, 8.5.27, 8.5.28, 8.5.29, 8.5.30, 8.5.31, 8.5.32, 8.5.33, 8.5.34, 8.5.35, 8.5.36, 8.5.37, 8.5.38, 8.5.39, 8.5.40, 8.5.41, 8.5.42, 8.5.43, 8.5.44, 8.5.45, 8.5.46, 8.5.47, 8.5.48, 8.5.49, 8.5.50, 8.5.51, 8.5.52, 8.5.53, 8.5.54, 8.5.55, 9.0.0, 9.0.0-M1, 9.0.0-M2, 9.0.0-M3, 9.0.0-M4, 9.0.0-M5, 9.0.0-M6, 9.0.0-M7, 9.0.0-M8, 9.0.0-M9, 9.0.0-M10, 9.0.0-M11, 9.0.0-M12, 9.0.0-M13, 9.0.0-M14, 9.0.0-M15, 9.0.0-M16, 9.0.0-M17, 9.0.0-M18, 9.0.0-M19, 9.0.0-M20, 9.0.0-M21, 9.0.0-M22, 9.0.0-M23, 9.0.0-M24, 9.0.0-M25, 9.0.0-M26, 9.0.0-M27, 9.0.1, 9.0.2, 9.0.3, 9.0.4, 9.0.5, 9.0.6, 9.0.7, 9.0.8, 9.0.9, 9.0.10, 9.0.11, 9.0.12, 9.0.13, 9.0.14, 9.0.15, 9.0.16, 9.0.17, 9.0.18, 9.0.19, 9.0.20, 9.0.21, 9.0.22, 9.0.23, 9.0.24, 9.0.25, 9.0.26, 9.0.27, 9.0.28, 9.0.29, 9.0.30, 9.0.31, 9.0.32, 9.0.33, 9.0.34, 9.0.35, 10.0.0-M1, 10.0.0-M2, 10.0.0-M3, 10.0.0-M4, 10.0.0-M5, 10.0.0.0-M1.

A pesar de que los expertos del diplomado de ciberseguridad demostraron que la falla podría ser explotada de forma remota por actores de amenazas no autenticados a través de Internet, no se han detectado casos de explotación activa hasta el momento. Los investigadores también desconocen si existe alguna variante de malware asociada a la explotación de esta falla.

El equipo detrás de Apache Tomcat reconoció la falla y comenzó a trabajar en una corrección inmediatamente después de recibir el reporte. Las actualizaciones ya están disponibles, por lo que los administradores de implementaciones afectadas solo deben verificar su instalación.

 Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Falla en Apache Tomcat obliga al servidor a realizar ataques DoS contra sí mismo y contra la red apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Universidad de California en San Francisco pagó un rescate de $1.14 MDD a un grupo de hackers. (Proceso de negociación de rescate)

Acorde a un reporte de expertos en seguridad en base de datos, los sistemas de la Universidad de California en San Francisco (UCSF) fueron atacados por un grupo de hackers conocido como Netwalker el pasado 1 de junio. En respuesta al incidente, el equipo de TI desconectó las computadoras de toda un área con el fin de evitar la propagación del software malicioso.   

Gracias a un informante anónimo, múltiples miembros de la comunidad de la ciberseguridad tuvieron acceso a las negociaciones entre las víctimas y los atacantes, llevadas a cabo en una plataforma de dark web.

Si bien las agencias de la ley, como el FBI o Europol, recomiendan encarecidamente no negociar con los hackers, cada vez son más víctimas de malware de cifrado que recurren a pagar el rescate exigido por los atacantes. Acorde a especialistas en seguridad en base de datos, el grupo de hacking Netwalker ha sido relacionado con al menos otros dos incidentes de ransomware durante el último mes; estos ataques también se dirigieron contra destacadas universidades en E.U.

El sitio en dark web empleado por los hackers no parece nada extraordinario, pues incluso se asemeja al sitio de preguntas frecuentes de cualquier compañía tecnológica. No obstante, un vistazo con atención permite apreciar un reloj en cuenta regresiva que marca el tiempo que las víctimas tienen para pagar el rescate antes de que la situación empeore. Por lo general, los grupos operadores de ransomware amenazan con duplicar la cifra del rescate o eliminar definitivamente la información de los usuarios.

FUENTE: BBC

En el caso de UCSF, los hackers dejaron un medio de contacto en la nota de rescate después del ataque. Cuando la víctima contactó a los atacantes, éstos respondieron diciendo: “No sean tímidos, podemos trabajar juntos en el incidente actual”.

FUENTE: BBC

Algunas horas después, la universidad solicitó más tiempo, a la vez que pidieron a los criminales eliminar cualquier detalle sobre este incidente de su blog, a lo que los hackers de Netwalker accedieron.

FUENTE: BBC

El monto original exigido a UCSF era de 3 millones de dólares, aunque el negociador de la universidad aseguró a los hackers que los estragos económicos derivados de la pandemia impedían pagar un rescate tan alto, por lo que los atacantes aceptaron negociar otra cifra. Se cree que UCSF recibió la asesoría de expertos en seguridad en base de datos externos con experiencia en esta clase de negociaciones.

FUENTE: BBC

Después de un día de negociaciones, UCSF se comprometió a pagar un rescate de 1.02 millones, aunque los criminales fijaron su mejor oferta en 1.5 millones de dólares. Finalmente, la universidad ofreció un pago de poco más de 1 millón 140 mil dólares.

FUENTE: BBC

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), la universidad transfirió 116.4 Bitcoin a la billetera en línea de los hackers, con lo que recuperaron el acceso a sus sistemas. El incidente también fue notificado a las autoridades competentes.

El cargo Universidad de California en San Francisco pagó un rescate de $1.14 MDD a un grupo de hackers. (Proceso de negociación de rescate) apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Este hack de reproductor DVD permite usar videojuegos piratas en PlayStation 2 y otros modelos

Desde el lanzamiento del PlayStation 2, especialistas en seguridad de la información han dado decenas de muestras de las múltiples vulnerabilidades en el código de la consola que permiten el uso de juegos homebrew, otra forma de decir piratería. Ahora, más de 20 años después de que la consola fue lanzada, un investigador reveló un método para hackear el sistema a través del componente DVD integrado.

Por obvias razones, los usuarios interesados en explotar esta vulnerabilidad no pueden simplemente grabar un disco que contenga un archivo ELF y esperar que el sistema PlayStation 2 (PS2), por lo que se deberá explotar una falla relacionada con el análisis de datos controlados de la consola.

Acorde a los expertos en seguridad de la información, el PS2 admite la reproducción de DVDs quemados, ampliando la superficie de ataque para el uso de juegos homebrew; respecto al video DVD, existen múltiples componentes principales expuestos a la explotación de fallas de seguridad, por ejemplo:

  • Sistema de archivos UDF
  • Metadatos y subtítulos del DVD
  • Decodificación de audio y video
  • Máquina de interacción

La especificación completa del DVD se compone principalmente de formatos abiertos como MPEG agrupados en un formato contenedor propietario (VOB). Para los aspectos de propiedad hay algunas referencias no oficiales de libre acceso. El formato de archivo IFO es probablemente el formato más simple utilizado, y es responsable de almacenar los metadatos que vinculan los archivos de video.

En su investigación, el hacker menciona que es la máquina de interacción lo que permite el despliegue de menús interactivos y juegos en discos formato DVD. Este componente tiene 32 grupos de instrucciones y es posible usarlo para manipular el estado de la memoria interna, preparando un exploit. Esta condición también podría usarse para crear un DVD universal, con un menú para seleccionar una versión de firmware y activar el exploit adecuado.   

Durante las pruebas, el experto en seguridad de la información empleó un emulador con soporte de depuración, lo que en primera instancia presentó un obstáculo debido a que los emuladores de PS2 más populares no admiten la reproducción de DVD.   

Empleando un código especialmente diseñado, el hacker pude abusar de los componentes del reproductor DVD del sistema PS2 de forma exitosa, lo que permite ejecutar juegos pirateados del mismo modo en que funcionaría un juego oficial. La investigación completa está disponible en este enlace.  

Este hack sólo fue probado en PS2 v3.10E, ésta es la última versión de la consola lanzada de forma oficial, por lo que no debería haber problemas para explotar el componente DVD en versiones anteriores de la consola. El experto agrega que es probable que existan errores más comunes, como desbordamientos de búfer, suficientes para conseguir resultados similares, aunque esta es una alternativa completamente funcional para usar juegos homebrew en esta consola que ya se ha convertido en un clásico.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Este hack de reproductor DVD permite usar videojuegos piratas en PlayStation 2 y otros modelos apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

9 fallas críticas en FreeRDP permiten leer mensajes en celulares Android de forma remota

Especialistas en seguridad de aplicaciones reportan el hallazgo de al menos nueve vulnerabilidades de seguridad en FreeRDP, una implementación gratuita del Protocolo de Escritorio Remoto (RDP) lanzado bajo licencia de Apache. Acorde al reporte, la explotación exitosa de estas fallas permitiría lecturas fuera de límites, fallas use-after-free, entre otros escenarios.

A continuación, se presenta una breve descripción de las fallas reportadas, además de sus respectivos puntajes y claves de identificación según en Common Vulnerability Scoring System (CVSS).

CVE-2020-4030: Una condición límite en TrioParse permitiría a los hackers remotos obtener acceso a información potencialmente confidencial en los sistemas atacados. La falla recibió un puntaje de 6.5/10.

CVE-2020-11099: Una condición límite en “license_read_new_or_upgrade_license_packet” permitiría a los hackers remotos obtener acceso a información posiblemente confidencial en el sistema objetivo. La falla recibió un puntaje de 6.5/10.

CVE-2020-11098: Una condición límite en “glyph_cache_put” cuando la opción “+ glyph-cache” está habilitada permite a los hackers remotos obtener acceso a la información confidencial del sistema objetivo. Esta falla recibió un puntaje de 6.5/10.

CVE-2020-11097: Esta falla existe debido a una condición límite en “ntlm_av_pair_get”, lo que permite a los hackers remotos obtener acceso al sistema. La vulnerabilidad recibió un puntaje de 6.5/10.

CVE-2020-11096: Una condición límite en “update_read_cache_bitmap_v3_order” permite a los hackers obtener acceso remoto a la red objetivo. Los especialistas en seguridad de aplicaciones otorgaron un puntaje de 6.5/10 a esta vulnerabilidad.

CVE-2020-11095: Una condición límite en “update_recv_primary_order” permite a los hackers obtener acceso remoto a la información de los usuarios. La vulnerabilidad recibió un puntaje de 6.5/10.

CVE-2020-4033: La vulnerabilidad existe debido a una condición límite en RLEDECOMPRESS, lo que permite que un atacante remoto obtenga acceso a información potencialmente confidencial. La vulnerabilidad recibió un puntaje de 6.5/10.

CVE-2020-4032: Un problema de conversión de enteros en “update_recv_secondary_order” permite a los hackers remotos obtener información confidencial en el sistema objetivo. La falla recibió un puntaje de 6.5/10, mencionan los expertos en seguridad de aplicaciones.

CVE-2020-4031: La vulnerabilidad existe debido a una falla use-after-free en “gdi_SelectObject” al emplear el modo compatibilidad con /relax-order-checks. Un hacker remoto podría ejecutar código arbitrario en el sistema objetivo.

Si bien estas fallas pueden ser explotadas de forma remota por hackers no autenticados, hasta el momento no se han reportado intentos de explotación en escenarios reales. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), tampoco se ha detectado la existencia de una variante de malware vinculada a la explotación de estas vulnerabilidades.

Los desarrolladores de FreeRDP comenzaron a trabajar en la corrección de estas fallas inmediatamente después de recibir el reporte. Las actualizaciones ya están disponibles, por lo que los usuarios de implementaciones sólo deben verificar su instalación.

El cargo 9 fallas críticas en FreeRDP permiten leer mensajes en celulares Android de forma remota apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

domingo, 28 de junio de 2020

CÓMO HACKEAR UN DISPOSITIVO Y TOMAR SCREENSHOTS CADA DIEZ SEGUNDOS

INTRODUCCIÓN

Todos en algún momento hemos tenido la sensación de ser monitoreados por otra persona a través de nuestras computadoras o smartphones. Acorde a expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) es completamente posible hackear un dispositivo para ver lo que está haciendo el usuario e incluso tomar capturas de pantalla de sus actividades.

Hoy hablaremos sobre una herramienta llamada SpyEye; al usar esta herramienta podremos ver lo que la víctima está haciendo en su computadora. Posteriormente veremos una forma de protegerse de esta clase de ataques.

ENTORNO

  • Sistema Operativo: Kali Linux 2019.3 64 bit
  • Versión de Kernel: 5.2.0

PASOS DE INSTALACIÓN

  • Use este comando para clonar el proyecto.
  • git clone https://ift.tt/2MAoheT
root@kali:/home/iicybersecurity# git clone https://github.com/thelinuxchoice/spyeye
Cloning into 'spyeye'...
remote: Enumerating objects: 29, done.
remote: Total 29 (delta 0), reused 0 (delta 0), pack-reused 29
Receiving objects: 100% (29/29), 22.03 KiB | 490.00 KiB/s, done.
Resolving deltas: 100% (10/10), done.
  • Use el comando cd para ingresar al directorio SpyEye
root@kali:/home/iicybersecurity# cd spyeye/ root@kali:/home/iicybersecurity/spyeye# ls
  • Use este comando para descargar y actualizar las dependencias
root@kali:/home/iicybersecurity/spyeye# bash install.sh
[+] Updating and downloading Mingw-w64
0% [Working]
Ign:2 https://deb.globaleaks.org buster/ InRelease
Get:3 https://deb.globaleaks.org buster/ Release [744 B]
Err:3 https://deb.globaleaks.org buster/ Release
  Error writing to output file - write (28: No space left on device) [IP: 51.15.240.96 443]
Get:1 http://ftp.harukasan.org/kali kali-rolling InRelease [30.5 kB]
Err:1 http://ftp.harukasan.org/kali kali-rolling InRelease
  Error writing to output file - write (28: No space left on device) [IP: 14.49.100.116 80]
Reading package lists... Done
===========================================================================================================================SNIP================================================================================================================================
make[6]: Leaving directory '/opt/curl-7.61.1/docs/libcurl'
make[5]: Leaving directory '/opt/curl-7.61.1/docs/libcurl'
make[4]: Leaving directory '/opt/curl-7.61.1/docs/libcurl'
make[3]: Leaving directory '/opt/curl-7.61.1'
make[2]: Leaving directory '/opt/curl-7.61.1'
make[1]: Leaving directory '/opt/curl-7.61.1'
  • A continuación, use el comando chmod +x spyeye para proporcionar el permiso de archivo
root@kali:/home/iicybersecurity/spyeye# chmod +x spyeye
root@kali:/home/iicybersecurity/spyeye#
  • Ahora, use este comando para iniciar la herramienta
SPYEYE - Tool Launch
  • Después de iniciar la herramienta, tenemos que elegir un número de puerto y establecer el nombre de la carga útil o podemos dejar el valor predeterminado para la prueba
  • Luego proporcionará enlaces maliciosos e iniciará el servidor PHP
  • Ahora, envíe este enlace malicioso a las víctimas utilizando técnicas de ingeniería social
  • Si la víctima abre el enlace en su navegador, se descargará el archivo de carga útil
SPYEYE - Malicious Link on Victim machine
  • En la imagen de arriba, vemos que se descarga el archivo de carga útil
  • Si la víctima ejecuta el archivo malicioso en su máquina, esta herramienta generará el archivo PowerShell y tomará la captura de pantalla del dispositivo de la víctima. Las capturas de pantalla se guardarán en la máquina de la víctima y se enviarán a la máquina del hacker
SPYEYE - Screenshot Received on Hacker machine
  • El hacker obtuvo con éxito la captura de pantalla de la víctima
  • Ahora, abramos la captura de pantalla para ver qué está haciendo la víctima
SPYEYE - Victim computer Screen short
  • En la imagen de arriba podemos ver la captura de pantalla de la víctima que se guarda en la máquina hacker

CONCLUSIÓN

Vimos cómo tomar la captura de pantalla de la pantalla de la víctima simplemente abriendo un enlace. Siempre se recomienda no abrir ningún enlace en su computadora a menos que esté seguro sobre el enlace. Compruebe siempre el candado verde en el navegador, junto a la URL.

El cargo CÓMO HACKEAR UN DISPOSITIVO Y TOMAR SCREENSHOTS CADA DIEZ SEGUNDOS apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

viernes, 26 de junio de 2020

Falla en sistemas de Philips permite modificar un ultrasonido en tiempo real de forma remota

Un grupo de especialistas de un curso de ingeniería inversa reporta el hallazgo de una vulnerabilidad en múltiples sistemas de ultrasonido desarrollados por la firma tecnológica Philips. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas alterar el funcionamiento de estos dispositivos.

La vulnerabilidad, identificada como CVE-2020-14477,  permitiría a los actores de amenazas emplear una ruta o canal alternativo para eludir el mecanismo de inicio de sesión del sistema afectado. Una vez dentro del sistema, los hackers maliciosos podrían ver o modificar la información almacenada. Dado que estos sistemas son ampliamente utilizados por la industria de los servicios hospitalarios en todo el mundo, este es un riesgo considerable.

Esta falla recibió un puntaje de 3.6/10 según el Common Vulnerability Scoring System (CVSS), por lo que se le considera un error de baja gravedad, mencionan los expertos del curso de ingeniería inversa.

La vulnerabilidad fue identificada en los siguientes sistemas de ultrasonido Philips:

  • Ultrasound ClearVue, versiones 3.2 y anteriores
  • Ultrasound CX, versiones 5.0.2 y anteriores
  • Ultrasound EPIQ/Affiniti versiones VM5.0 y anteriores
  • Ultrasound Sparq, versión 3.0.2 y anteriores
  • Ultrasound Xperius, todas las versiones

Para mitigar el riesgo de explotación de forma provisional, los expertos del curso de ingeniería inversa recomiendan a los usuarios emplear sistemas cuya integridad sea garantizada por el fabricante o proveedores de servicios. Los administradores de sistemas vulnerables con dudas sobre las formas de mitigación de estas fallas pueden consultar directamente a la compañía.

Además, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda a los usuarios implementar algunas medidas adicionales mientras la compañía lanza las actualizaciones correspondientes. Entre las recomendaciones se encuentran:

  • Implementar medidas de seguridad física para limitar o controlar el acceso a sistemas críticos
  • Restringir el acceso al sistema solo al personal autorizado y adaptarse a un enfoque de privilegios mínimos
  • Aplicar estrategias de defensa en profundidad
  • Deshabilitar cuentas y servicios innecesario.
  • Cuando se requiere de información adicional, consultar los lineamientos de seguridad cibernética emitidos por autoridades como la FDA

Hasta el momento no se han detectado intentos de explotación en escenarios reales, o bien la existencia de alguna variante de malware para desencadenar el ataque, aunque esto podría cambiar en las próximas semanas si el fabricante no lanza las actualizaciones requeridas.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.  

El cargo Falla en sistemas de Philips permite modificar un ultrasonido en tiempo real de forma remota apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

14 fallas día cero en CentOS permiten instalar ransomware en la red; no hay parches disponibles

Especialistas en análisis de vulnerabilidades reportan el hallazgo de al menos 14 vulnerabilidades de seguridad en CentOS, un panel de gestión de hosting gratuito pensado para facilitar la administración de servidores dedicados y VPS. Acorde al reporte, la explotación exitosa de estas vulnerabilidades podría permitir escenarios como inyección SQL o escaladas de directorios.

A continuación se presentan algunos detalles sobre las fallas reportadas, además de sus respectivos puntajes. Cabe señalar que estas vulnerabilidades no han recibido una clave de identificación según el Common Vulnerability Scoring System (CVSS).

  1. La insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “user” de “ajax_mail_autoreply.php” permite a los hackers remotos ejecutar consultas SQL arbitrarias en la base de datos objetivo. La falla recibió un puntaje de 6.9/10.
  2. La validación de entrada incorrecta dentro de “ajax_ftp_manager.php” permite a los hackers remotos ejecutar comandos arbitrarios en el sistema objetivo. Esta falla es considerada crítica, pues recibió un puntaje de 9/10. 
  3. La desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “package” en “ajax_list_accounts.php” permite a los actores de amenazas remotos ejecutar consultas SQL arbitrarias en la base de datos objetivo. Esta vulnerabilidad recibió un puntaje de 6.9/10.
  4. Una desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “status” en “ajax_list_accounts.php” permite a los usuarios remotos ejecutar consultas SQL arbitrarias en la base de datos objetivo, mencionan los especialistas en análisis de vulnerabilidades.
  5. Esta falla existe debido a una insuficiente desinfección insuficiente de datos enviados por el usuario en el parámetro “username” de “ajax_list_accounts.php”, lo que permitiría a los actores de amenazas remotos ejecutar consultas SQL arbitrarias. La falla recibió un puntaje de 6.9/10.
  6. Una insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “type” de “ajax_list_accounts.php” permitiría a los hackers remotos ejecutar consultas SQL arbitrarias. La vulnerabilidad recibió un puntaje de 6.9/10.
  7. Esta falla existe debido a la inadecuada depuración de los datos proporcionados por los usuarios, mencionan los expertos en análisis de vulnerabilidades. La falla permitiría obtener información confidencial ejecutando consultas SQL arbitrarias.
  8. Una insuficiente depuración de los datos proporcionados por el usuario en el parámetro “email” en “ajax_mail_autoreply.php” permitiría a los hackers maliciosos ejecutar consultas SQL arbitrarias en la base de datos. La vulnerabilidad recibió un puntaje de 6.9/10.
  9. La falla existe debido a la insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “search” de “ajax_mail_autoreply.php”. Los hackers remotos podrían enviar una solicitud especialmente diseñada para ejecutar consultas SQL arbitrarias. La falla recibió un puntaje de 6.9/10.
  10. Un error de validación de entrada al procesar secuencias transversales dentro del parámetro “ajax_mod_security.php” en “file” permitiría a los atacantes ejecutar ataques de escalada de directorios. Esta es una falla crítica que recibió un puntaje de 9/10, mencionan los especialistas en análisis de vulnerabilidades.
  11. Una insuficiente depuración de los datos proporcionados por el usuario en el parámetro “domain” de “ajax_new_account.php” permitiría a los actores de amenazas ejecutar consultas SQL arbitrarias y obtener información potencialmente confidencial. La falla recibió un puntaje de 6.9/10.
  12. La falla existe por la incorrecta depuración de los datos proporcionados por el usuario en el parámetro “username” en “ajax_add_mailbox.php”. Un hacker remoto no autenticado podría permitir a los hackers remotos ejecutar consultas SQL arbitrarias. La falla recibió un puntaje de 6.9/10.
  13. La desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “term” en “ajax_dashboard.php” permitiría a los hackers ejecutar consultas SQL arbitrarias en la base de datos objetivo. Esta vulnerabilidad recibió un puntaje de 6.9/10.
  14. La vulnerabilidad existe debido a la desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “account” en “ajax_mail_autoreply.php”, lo que podría conducir a la ejecución de consultas SQL arbitrarias en el sistema objetivo. La falla recibió un puntaje de 6.9/10.

Los desarrolladores recibieron el reporte y reconocieron las fallas. Por desgracia, hasta ahora no hay parches de seguridad disponibles para corregir estas vulnerabilidades o soluciones alternativas para mitigar el riesgo de explotación. La buena noticia es que hasta el momento no se han reportado intentos de explotación en escenarios reales o algún malware vinculado a este ataque.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo 14 fallas día cero en CentOS permiten instalar ransomware en la red; no hay parches disponibles apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

jueves, 25 de junio de 2020

Falla de Apache Spark permite desfigurar sitio web y crear backdoors en el servidor

Acorde a especialistas en seguridad perimetral, los desarrolladores de Apache Spark acaban de lanzar de forma oficial una alerta de riesgo de ejecución remota de código que afecta a su software. La vulnerabilidad fue identificada como CVE-2020-9480 y recibió un alto puntaje en el Common Vulnerability Scoring System (CVSS).

Cabe recordar que Apache Spark es un framework de código abierto para la computación en clúster de propósito general distribuido. Spark proporciona una interfaz para programar grupos completos con paralelismo de datos implícito y tolerancia a las fallas.

Los especialistas en seguridad perimetral señalan que, en Apache Spark 2.4.5 y versiones anteriores, el servidor principal del administrador de recursos independiente puede configurarse para requerir autenticación a través de una clave compartida (spark.authenticate).

A causa de algunas fallas en el mecanismo de autenticación de Spark, la autenticación de la clave compartida falla. Los actores de amenazas podrían abusar de esta vulnerabilidad para la ejecución de comandos en el host sin autorización del administrador, lo que derivaría en la ejecución remota de código.

“En Apache Spark 2.4.5 y versiones anteriores, el master de un administrador de recursos independiente puede configurarse para requerir autenticación (spark.authenticate) a través de un secreto compartido. Sin embargo, cuando está habilitado, un RPC especialmente diseñado para el master puede tener éxito al iniciar los recursos de una aplicación en el clúster Spark, incluso sin la clave compartida. Esto puede ser explotado para aprovechar comandos de shell en la máquina host”, menciona la alerta de Apache.

La vulnerabilidad reside en todas las versiones de Apache Stark posteriores a 4.2.5, mencionan los expertos en seguridad perimetral.

Por fortuna, los desarrolladores ya han lanzado las correcciones para estas fallas, por lo que los usuarios de Apache Stark sólo deben actualizar a la versión 2.4.6, o bien a 3.0.0. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Falla de Apache Spark permite desfigurar sitio web y crear backdoors en el servidor apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

El mayor ataque DDOS de 809 millones de paquetes por segundo (Mpps) sobre un banco

Hace apenas unos días, los expertos en ingeniería inversa de software de la firma Akamai lograron mitigar el mayor ataque de denegación de servicios (DDoS). Acorde al reporte, este ataque generó un promedio de 809 millones de paquetes por segundo (mpps) y estaba dirigido contra un importante banco de Europa.

Los investigadores que detectaron el ciberataque mencionaron que este es un nuevo récord para la industria según el enfoque de medición de paquetes por millón, señalando que incluso dobla el alcance del ataque récord registrado anteriormente.

FUENTE: Akamai

Además, los expertos en ingeniería inversa de software mencionan que estos ataques siguen siendo uno de los principales vectores de hacking, lo que representa un riesgo para cualquier compañía privada, institución pública u organización no gubernamental.  

Como se ha mencionado en ocasiones anteriores, el objetivo del atacante DDoS basado en bits por segundo (bps) es abrumar el tráfico de red enviando una cantidad de datos mucho más grande de lo que la red puede soportar. Por otra parte, un ataque basado en paquetes por segundo (pps) se enfocan en el ataque contra equipos y aplicaciones de red en centros de datos o entornos en la nube.

Una forma de ver esta diferencia es haciendo una comparación con una caja de supermercado; un ataque medido en bps se asemeja a miles de personas formadas en la caja con sus carritos de supermercado completamente llenos. Un ataque basado en PPS se parecería más a un millón de personas formadas en la misma caja para pagar sólo un paquete de cigarrillos. A pesar de las diferencias, el objetivo de los hackers es el mismo, mencionan los expertos en ingeniería inversa de software.

Este último ataque fue claramente optimizado para abrumar a los sistemas de mitigación DDoS a través de una alta carga de PPS. Como puede verse a continuación, los paquetes enviados llevaban una carga útil de 1 byte (para un tamaño de paquete total de 29 con encabezados IPv4), haciéndolo parecer como cualquier otro de sus varios miles de millones de pares.

FUENTE: Akamai

El número de IP de origen que registró el tráfico hacia el usuario objetivo aumentó sustancialmente durante el ataque, lo que indica que estaba altamente distribuido. Los expertos detectaron más de 600 veces el número de IP de origen por minuto, en comparación con lo que se observa normalmente.

Este ataque se dirigió a un gran banco europeo y, como se ve en las burbujas rosadas en el gráfico a continuación, los servicios financieros son una parte esencial para cualquier industria, por lo que se ve múltiples veces bajo amenazas informáticas. El gráfico muestra los ataques de Gbps y Mpp a lo largo del tiempo en cada industria atacada.

FUENTE: Akamai

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo El mayor ataque DDOS de 809 millones de paquetes por segundo (Mpps) sobre un banco apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Publican jailbreak de iOS 14 sólo unas horas después de su lanzamiento

Apple acaba de presentar iOS 14, además de iPadOS 14, anunciando también el lanzamiento de la versión beta para que los desarrolladores puedan probar nuevas funciones y preparar sus aplicaciones para cuando la actualización sea lanzada al público en general, mencionan los especialistas de un curso para hackear celulares.

Apenas unas horas después, el desarrollador del equipo checkra1n, Dany Lisiansky, publicó en Twitter una captura de pantalla del jailbreak checkra1n en la primera versión beta de iOS 14: “Como en los buenos y viejos días, es bueno estar de vuelta. Aún falta trabajo por hacer así que por favor sean pacientes”, menciona el tweet del desarrollador.

En la captura de pantalla puede verse la nueva interfaz de la biblioteca de aplicaciones de iOS 14, con uno de los organizadores etiquetado como “Otro” fungiendo como host de la aplicación del cargador checkra1n y el administrador de paquetes Cydia, mencionan los especialistas en un curso para hackear celulares.

Aunque es increíble que el equipo de checkra1n haya conseguido el jailbreak tan rápido, cabe señalar que checkra1n se creó con un exploit de bootrom basado en hardware llamado checkm8, lo que significa que el jailbreak no puede ser corregido vía el lanzamiento de actualizaciones de software, a diferencia de los métodos de jailbreak convencionales basados en exploits tfp0 (unc0ver, por ejemplo).

Los desarrolladores mencionaron que el jailbreak sí requiere de algunos ajustes para operar en la versión beta de iOS 14, pues la compañía implementó múltiples mecanismos de ofuscación en los sistemas iOS e iPadOS para dificultar la ejecución del hack. No obstante, después de comenzar a colaborar con el desarrollador Sam Bingner, los creadores del jailbreak concretaron el lanzamiento.

Acorde a especialistas del curso para hackear celulares, este jailbreak depende de ciertos dispositivos con los chips de hardware A9-A11 admitidos en dispositivos tan antiguos como el iPhone 5s y tan nuevos como el iPhone X. Por desgracia, el iPhone 5s y el iPhone 6/6 Plus no compatible con iOS 14, por lo que solo se admitirán teléfonos más nuevos hasta el iPhone X.

Aún está por verse hasta cuándo se actualizará el jailbreak, aunque los expertos mencionan que esta actualización podría llegar cuando se lance el sistema iOS14 al público en general. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Publican jailbreak de iOS 14 sólo unas horas después de su lanzamiento apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

17 fallas en los enrutadores de Cisco Small Business permiten crear backdoors permanentes

Especialistas en cómputo forense reportan el hallazgo de múltiples vulnerabilidades en múltiples enrutadores Series RV, de Cisco. La explotación exitosa de estas fallas permitiría el despliegue de múltiples escenarios maliciosos como la inyección de comandos y desbordamientos de búfer.

Según el reporte, las fallas residen en la mayoría de las versiones de los siguientes modelos de enrutadores:

  • Cisco RV016 Multi-WAN VPN
  • Cisco RV042 Dual WAN VPN
  • Cisco RV042G Dual Gigabit WAN VPN
  • Cisco RV082 Dual WAN VPN
  • Small Business RV320 Dual Gigabit WAN VPN
  • Small Business RV325 Dual Gigabit WAN VPN

A continuación se presentan breves descripciones de las vulnerabilidades reportadas, con sus respectivas claves y puntajes acorde al Common Vulnerability Scoring System (CVSS).

CVE-2020-3274: Una validación de entrada incorrecta en la interfaz de administración basada en la web permitiría a un actor de amenazas ejecutar comandos arbitrarios en el sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3275: Una validación de entrada incorrecta en la interfaz de administración basada en la web permitiría la inyección de comandos arbitrarios en el sistema objetivo. La falla recibió un puntaje de 6.3/10 en el CVSS.

CVE-2020-3276: Una validación de entrada incorrecta en la interfaz web de los dispositivos vulnerables permitiría a los hackers remotos ejecutar comandos arbitrarios en el sistema. Esta vulnerabilidad recibió un puntaje de 6.3/10.

CVE-2020-3277: La insuficiente validación de entrada incorrecta en la interfaz de administración web permitiría a usuarios remotos ejecutar comandos remotos en el sistema enviando una solicitud especialmente diseñada. La falla recibió un puntaje de 6.3/10.

CVE-2020-3278: Una validación de entrada incorrecta en la interfaz web permite a actores de amenazas remotos enviar solicitudes especialmente diseñadas para ejecutar comandos remotos en el sistema. La falla recibió un puntaje de 6.3/10, mencionan los expertos en cómputo forense.

CVE-2020-3279: Una validación de entrada incorrecta en la interfaz web permite a actores de amenazas remotos enviar solicitudes especialmente diseñadas para ejecutar comandos remotos en el sistema. La falla recibió un puntaje de 6.3/10.

CVE-2020-3296: Un error de límite en la interfaz de administración web permitiría a los actores de amenazas desencadenar daños en la memoria y ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de 6.310 en la escala CVSS.

CVE-2020-3295: Un error de límite en la interfaz de administración web del sistema podría permitir a los hackers remotos ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3294: Un error de límite en la interfaz de administración web de los enrutadores afectados permitiría a los hackers remotos ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad recibió un puntaje de 6.3/10.

CVE-2020-3293: Un error de límite en la interfaz web permite a los usuarios remotos ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3292: Un error de límite en la interfaz web permitiría a los actores de amenazas ejecutar código arbitrario en los enrutadores vulnerables. Esta falla también recibió un puntaje de 6.3/10.

CVE-2020-3291: Esta falla existe debido a un error de límite en la interfaz web del usuario, mencionan los expertos en cómputo forense. Un hacker remoto podría enviar solicitudes especialmente diseñadas para ejecutar código arbitrario en el sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3290: Un error de límite en la interfaz de administración web permitiría a los hackers remotos desencadenar daños en la memoria y ejecutar código arbitrario. La falla recibió un puntaje de 6.3/10.

CVE-2020-3289: Una falla de límite en la interfaz web de los dispositivos afectados permitiría a los hackers remotos ejecutar código arbitrario en el sistema objetivo. La falla tiene una puntuación CVSS de 6.3/10.

CVE-2020-3288: Un error de límite en la interfaz de administración web permite a los usuarios enviar solicitudes especialmente diseñadas para ejecutar código arbitrario en el sistema objetivo.

CVE-2020-3287: Esta falla permitiría la ejecución de código arbitrario en el sistema objetivo debido a una falla de límite en la interfaz web del sistema objetivo. La falla recibió un puntaje de 6.3/10.

CVE-2020-3286: Un error de límite en la interfaz de administración web permite a los hackers enviar solicitudes especialmente diseñadas para ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad recibió un puntaje de 6.3/10.

Si bien las vulnerabilidades reportadas podrían ser explotadas de forma remota por hackers no autenticados, no se han detectado intentos de explotación en escenarios reales o algún exploit asociado a estos ataques, mencionan los expertos en cómputo forense.

Cisco reconoció los reportes y comenzó a trabajar en la corrección de estas fallas de inmediato. Los usuarios de enrutadores afectados sólo deben verificar la correcta instalación de las actualizaciones. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo 17 fallas en los enrutadores de Cisco Small Business permiten crear backdoors permanentes apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

CÓMO ROBAR EL PIN DE ANDROID Y EL CÓDIGO DE IPHONE DE SU AMIGO CON UN ENLACE ÚNICO

Le sorprendería lo fácil que es obtener el PIN del teléfono de su amigo y su contraseña de Windows con un solo enlace. Hoy hablaremos de una herramienta llamada Lockphish, con la que es posible obtener esta información con unos pocos pasos.

Esta herramienta utiliza el servidor Ngrok para la recolección de tráfico. El objetivo de Ngrok es capturar el PIN o la contraseña y enviarlos al atacante en una red privada. Al igual que Ngrok, hay muchos otros proveedores como LocalHost, Serveo, LocalXpose, LocalHostRun que son utilizados por investigadores del Instituto Internacional de Seguridad Cibernética (IICS) con fines de investigación.

ENTORNO

  • Sistema Operativo: Kali Linux 2019.3 64 bit
  • Versión de Kernel: 5.2.0

PASOS DE INSTALACIÓN

  • Use el siguiente comando para clonar el proyecto
  • git clone https://ift.tt/2WDxGIK
root@kali:/home/iicybersecurity# git clone https://github.com/thelinuxchoice/lockphish
Cloning into 'lockphish'…
remote: Enumerating objects: 32, done.
remote: Counting objects: 100% (32/32), done.
remote: Compressing objects: 100% (32/32), done.
remote: Total 32 (delta 11), reused 0 (delta 0), pack-reused 0
Receiving objects: 100% (32/32), 28.39 KiB | 215.00 KiB/s, done.
Resolving deltas: 100% (11/11), done.
  • Use el comando cd para ingresar al directorio lockphish
root@kali:/home/iicybersecurity# cd lockphish/
root@kali:/home/iicybersecurity/lockphish#
  • Ahora, use este comando para iniciar la herramienta
    • bash lockphish.sh
LockPhish - Tool Launch
  • Cuando lanzamos la herramienta, debemos ingresar al enlace de phishing para redireccionamiento
  • Luego descargará el servidor Ngrok automáticamente, iniciará el servidor Ngrok y PHP y proporcionará un enlace de phishing HTTPS
  • Ahora, envíe esta URL a la víctima o su amigo. Si la víctima abre la URL en el móvil y haga clic en este enlace
Lockphish - Phishing Link
  • La víctima será dirigida a la página de bloqueo de pantalla. Donde él / ella pensará que su teléfono móvil se bloqueó y se le pedirá que ingrese el PIN de Android, el código de acceso del iPhone e incluso la contraseña de Windows si se abre en la máquina Windows
Lockphish - Phishing Lock Page
  • Si la víctima ingresa la contraseña y hace clic en Aceptar. El servidor Ngrok recopila el PIN o la contraseña y los envía de vuelta a la máquina de los hackers
LockPhish - Victim Credentials
  • Aquí, hemos obteniendo con éxito el PIN del teléfono de la víctima, se identifica la dirección IP y los detalles del dispositivo de la víctima
  • De la misma manera, podemos realizar para cualquier teléfono y máquina de Windows

CONCLUSIÓN

Hemos demostrado lo fácil que es robar el PIN o la contraseña de la víctima usando el enlace único en el menor tiempo posible. Recuerde que siempre debe tener cuidado al abrir cualquier URL desconocida en sus dispositivos móviles y computadora.

El cargo CÓMO ROBAR EL PIN DE ANDROID Y EL CÓDIGO DE IPHONE DE SU AMIGO CON UN ENLACE ÚNICO apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

miércoles, 24 de junio de 2020

Brasil prohíbe pagos vía WhatsApp por privacidad y seguridad apenas siete días después de su lanzamiento

Acorde a especialistas en cómputo forense, el banco central de Brasil ha ordenado la suspensión de un nuevo sistema de pagos recientemente implementado por el que los usuarios de los sistemas Visa y Mastercard podían hacer transferencias vía WhatsApp. En un comunicado, la institución bancaria mencionó que la implementación de este servicio sin estudios previos podría impactar de forma negativa el sistema financiero brasileño.

Los usuarios podían autorizar operaciones bancarias por medio de un chat en la aplicación de mensajería y realizar pagos a otros individuos o a empresas locales, adjuntando evidencia como fotos o videos. Dicho sistema apenas había sido lanzado la semana pasada. Dado que Brasil es el segundo mercado más importante para WhatsApp, Facebook decidió comenzar aquí este proyecto, aunque no parece que le aguarde gran éxito.

Este es un nuevo contratiempo para Facebook y su apuesta por ingresar en el mundo de las finanzas; el año pasado la compañía anunció el lanzamiento de Libra, su propia criptomoneda que recibiría el impulso del gigante de las redes sociales, además de contar con una gran cantidad de socios avalando este proyecto. No obstante, entidades reguladoras de todo el mundo han mostrado su preocupación respecto al uso a gran escala de este activo virtual, mencionan especialistas en cómputo forense.

Si Visa y Mastercard no cumplen con esta medida, podrían enfrentar severas sanciones.

Al respecto, un representante de WhatsApp mencionó que seguirán colaborando con compañías y autoridades locales para dotar a este sistema de las medidas de seguridad pertinentes para que su uso pueda ser aprobado por las entidades reguladoras.

La principal razón podría ser que WhatsApp implementó este sistema sin autorización previa del banco central de Brasil, que ya ha anunciado su intención de colaborar en el mejoramiento de esta plataforma mediante la emisión de un reglamento. Los involucrados también requerirían de la aprobación de las compañías privadas.

Aunque algunas personas creen que esta decisión es algo exagerado, especialistas en cómputo forense consideran que la intervención de WhatsApp como intermediario de transacciones bancarias representa un riesgo de seguridad y privacidad considerable.

Otro factor que ha influido es el futuro lanzamiento de Pix, el sistema de pagos desarrollado por el banco central de Brasil, para el que cuentan con la participación de más de 900 socios. Mientras este sistema se alista, WhatsApp también anunció su intención de integrarse de la mejor forma posible a los planes del banco central.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Brasil prohíbe pagos vía WhatsApp por privacidad y seguridad apenas siete días después de su lanzamiento apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Facebook demanda a empresas por vender seguidores, likes y comentarios para FB e IG

Para las grandes compañías tecnológicas, las demandas se han vuelto algo frecuente, y aunque la mayoría de las veces son los usuarios quienes presentan las demandas, en ocasiones estas compañías también pueden demandar a individuos u otras empresas. Acorde a expertos en auditorías de sistemas, Facebook está tomando medidas legales contra algunas compañías que producen likes y comentarios falsos en las plataformas de Facebook e Instagram.

Se han presentado demandas por separado en los Estados Unidos y Europa, lo que marca una de las primeras veces que una compañía de redes sociales ha utilizado litigios coordinados en diversas jurisdicciones; según la demanda, Facebook busca que se implementen medidas para reforzar una prohibición permanente contra el uso de sus plataformas de redes sociales por parte de algunas empresas que prestan servicios específicos para el aumento artificial de interacciones en las publicaciones de los usuarios.

Los expertos en auditorías de sistemas mencionan que la demanda presentada en Estados Unidos es un caso en contra de una compañía de recolección de datos llamada Massroot8. Esta compañía obtuvo los datos de millones de usuarios empleando una botnet disfrazadas como dispositivos Android conectados a la aplicación de la red social.

Cabe señalar que Massroot8 actuó con consentimiento de los usuarios, pues pensaban que en realidad estaban empleando un servicio para administrar múltiples cuentas de Facebook a la vez.

La demanda fue presentada específicamente contra Mohammad Zaghar, fundador de la compañía, en un tribunal federal en San Francisco. Aparentemente, Zaghar operaba sitios que vendían likes y seguidores falsos antes de comenzar Massroot8.

Respecto al proceso legal en Europa, la demanda se presentó contra una compañía española llamada llamada MGP25 Cyberint Services, que opera un servicio de falsos likes y comentarios. Hay menos detalles disponibles sobre esta compañía, pero parece ser bastante pequeña en comparación con Massroot8.

Los especialistas en auditorías de sistemas mencionan que, en semanas recientes, Facebook ha estado presentando una cantidad excesiva de demandas como parte de un esfuerzo para demostrar a los usuarios que pueden confiar en que la compañía protegerá su información personal y hará cumplir sus propios Términos y Servicios.

En un comunicado de prensa sobre estas demandas Jessica Romero, directora de cumplimiento y litigio de plataformas de Facebook, declaró: “Al presentar estas demanda, estamos enviando un mensaje de que este tipo de actividad fraudulenta no se tolera en nuestros servicios”.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Facebook demanda a empresas por vender seguidores, likes y comentarios para FB e IG apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Fallas de día cero en Honeywell ControlEdge PLC, RTU para infraestructura crítica: No hay parches disponibles

Especialistas en análisis de vulnerabilidades reportan el hallazgo de múltiples vulnerabilidades en ControlEdge y RTU, productos de seguridad desarrollados por la firma Honeywell. La explotación exitosa de estas vulnerabilidades podría permitir a los actores de amenazas obtener contraseñas y tokens de sesión.

Honeywell es una empresa estadounidense que produce una amplia variedad de productos de consumo, servicios de ingeniería y sistemas aeroespaciales para una amplia variedad de clientes, desde compradores particulares hasta grandes corporaciones y gobiernos. Las soluciones de la compañía se emplean en áreas como la producción, energía, sistemas de aguas residuales, industria química, entre otras.

A continuación se presenta una breve reseña de las fallas reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).

CVE-2020-10628: Esta es una vulnerabilidad de transmisión de información confidencial en texto sin formato. El dispositivo afectado expone contraseñas sin cifrar en la red, lo que podría dejarlas al alcance de los hackers, mencionan los expertos en análisis de vulnerabilidades.  

Esta vulnerabilidad recibió un puntaje CVSS de 5.9/10, lo que la convierte en un problema de severidad media.

CVE-2020-10624: Esta también es una vulnerabilidad de exposición de información confidencial en texto sin formato; la explotación de esta falla permitiría a los actores de amenazas obtener un token de sesión en la red.

Esta falla también recibió un puntaje de 5.9/10 en la escala CVSS.

Las vulnerabilidades se encuentran en las siguientes versiones de ControlEdge PLC y RTU:

  • ControlEdge PLC R130.2, R140, R150 y R151
  • ControlEdge RTU R101, R110, R140, R150 y R151

Las fallas fueron reportadas por Nikolay Sklyarenko, especialista en análisis de vulnerabilidades de Kaspersky.

Por su parte, la compañía lanzó una guía para mitigar el riesgo de explotación, pues por el momento no hay parches de seguridad disponibles. Los usuarios de implementaciones afectadas pueden encontrar esta guía de mitigación completa en las plataformas oficiales de Honeywell.

El Instituto Internacional de Seguridad Cibernética (IICS) también recomienda a los usuarios habilitar algunas medidas de protección adicionales, por ejemplo:

  • Minimizar la exposición de la red para todos los dispositivos o sistemas del sistema de control
  • Identificar las redes y dispositivos remotos detrás de los firewalls y aislarlos de la red empresarial
  • Cuando se requiere acceso remoto, utilice métodos seguros, como las redes privadas virtuales (VPN). No debe olvidar que las VPN pueden tener vulnerabilidades y deben mantenerse siempre actualizadas a sus versiones más recientes.

Estas medidas pueden ayudar a los administradores de sistemas a reducir los riesgos de explotación de forma considerable.

El cargo Fallas de día cero en Honeywell ControlEdge PLC, RTU para infraestructura crítica: No hay parches disponibles apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

Datos de 40 millones usuarios de Telegram filtrados en darknet; base de datos de 900 MB

Especialistas en seguridad perimetral revelaron el hallazgo de una base de datos (de casi 900 MB) con millones de registros de usuarios de Telegram. Esta información fue encontrada en un foro de dark web y aún no se detecta la fuente de esta filtración.

Los investigadores de la plataforma KOD.RU encontraron números de teléfono vinculados a cuentas de Telegram, identificados por nicknames; los investigadores incluso encontraron sus propios números de teléfono expuestos. Además, el archivo también contiene un identificador de usuario único en la aplicación. Por ahora los investigadores no han identificado el número exacto de usuarios afectados por este incidente.

FUENTE: KOD.RU

Al respecto, los responsables de Relaciones Públicas de la compañía reconocieron el reporte, señalando que esta información fue recopilada mediante la función de importación de contactos incorporada en el servicio.

Los especialistas en seguridad perimetral mencionaron que estas bases de datos contienen detalles como número de teléfono e identificador de usuario, confirmando que la información fue recopilada empleando un mecanismo de Telegram: “Los responsables de la filtración abusaron de la función de importación de contactos; por desgracia, los usuarios no pueden inhabilitar por completo esta clasificación”, mencionan.

FUENTE: KOD.RU

Los representantes de Telegram también informaron que la mayoría de las cuentas expuestas se encuentran inactivas. Además, las medidas implementadas por la compañía ayudan a proteger los teléfonos de los usuarios: “Un análisis de la base de datos muestra que las medidas adicionales tomadas a fines del verano de 2019 fueron efectivas; más del 80% de esta información fue recopilada hace más de un año”.

Acorde a los especialistas en seguridad perimetral, después de las manifestaciones en Hong Kong de hace algunos meses, Telegram habilitó algunas funciones de seguridad, incluyendo la función “Quién puede agregarme usando mi número de teléfono”, que dificulta la detección de un usuario, ocultando por completo en vínculo entre su número y sus cuentas de Telegram. Esta función es ampliamente utilizada por disidentes, activistas políticos e incluso funcionarios públicos.

Telegram agregó que casi el 70% de las cuentas en la base de datos son de usuarios en Irán, mientras que el 30% restante pertenecen a usuarios de Rusia. Anteriormente, se descubrieron bots en la app de mensajería que, por medio del número de teléfono, proporcionaban datos personales y financieros de algunos ciudadanos ucranianos. Aún está por verse el daño real que estas filtraciones pudieran provocar.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

El cargo Datos de 40 millones usuarios de Telegram filtrados en darknet; base de datos de 900 MB apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente

martes, 23 de junio de 2020

Violación de privacidad: 7-Eleven usa reconocimiento facial para recopilar información de sus clientes

Especialistas en cómputo forense reportan que la cadena de tiendas de conveniencia 7-Eleven está implementando tecnología de reconocimiento facial en sus 700 tiendas ubicadas en Australia como parte de un nuevo programa de retroalimentación. La compañía afirma que esta información no será empleada con ningún otro fin.

Algunos clientes reportan que la compañía ya ha colocado algunos anuncios muy poco claros respecto a esta tecnología en la entrada de algunas tiendas: “Este sitio está bajo constante video vigilancia. Al ingresar a la tienda, usted acepta que las cámaras de reconocimiento facial capturen y almacenen su imagen”, menciona el letrero.

Al respecto, un portavoz de 7-Eleven Australia aseguró que esta tecnología fue implementada para operar con Rate It, una herramienta de evaluación de la experiencia de los usuarios, vinculada a una tableta electrónica colocada en cada una de sus tiendas.

 Acorde a los expertos en cómputo forense, 7-Eleven lleva algún tiempo empleando otras variantes de tecnología de reconocimiento facial en otros mercados (Tailandia, por ejemplo), aunque esta tecnología no había sido implementada en el continente oceánico.

En posteriores ocasiones, el representante de la compañía también fue muy enfático sobre el uso de esta tecnología: “El reconocimiento facial en Rate It garantiza que la retroalimentación sea precisa y válida; nuestros clientes son lo más importante para nosotros y no deseamos que este sistema se use en su perjuicio”.

A grandes rasgos, este sistema funciona así: Los clientes activan la tableta y registran sus comentarios respecto a su experiencia en la tienda. La cámara sólo se activa si el usuario así lo desea, por lo que si un usuario no usa el sistema Rate It, su imagen no será registrada.

Posteriormente, la información capturada en la tableta es convertida en una representación algorítmica de la imagen del usuario; la compañía afirma que los rostros de sus clientes no se exponen en ningún momento de este proceso. Finalmente, dicha representación algorítmica se almacena en el sistema Rate It por siete días para realizar la retroalimentación; una vez cumplido este plazo, el registro se elimina de forma permanente. Acorde a expertos en cómputo forense, este software está pensado para que la compañía no tenga acceso a los datos cifrados.

Al anunciar el lanzamiento de Rate It, la compañía mencionó que este sistema reemplazaría un formulario manual de comentarios del cliente en la tienda, por lo que sería más fácil para los usuarios enviar sus quejas, dudas y sugerencias a la compañía.

A pesar de que esta clase de tecnología es cada vez más común, los especialistas temen que su uso se convierta en una nueva amenaza de seguridad para los usuarios. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), compañías como Google han mostrado su intención de interrumpir esta clase de proyectos al menos hasta que exista una legislación clara y que anteponga la seguridad de los usuarios.

El cargo Violación de privacidad: 7-Eleven usa reconocimiento facial para recopilar información de sus clientes apareció primero en Noticias de seguridad informática | Ciberseguridad | Hacking.



Ver Fuente