Después de que el outlet de moda estadounidense anunciara que había sufrido una filtración de datos en algunas de sus tiendas, la empresa de ropa Forever 21 aconseja a los consumidores que controlen atentamente las facturas de sus tarjetas de crédito. El consejo llega después de que Forever 21 advirtiera que algunas de sus tiendas habían sido afectadas.
Forever 21 reveló, en un breve comunicado publicado en el sitio web de la empresa, que había obtenido información de un tercero que indicaba que la seguridad de la empresa podría haber sido violada. Hay alrededor de 500 sitios físicos de Forever 21, además de una tienda online. Después de un robo a gran escala de datos de tarjetas de crédito en el equipo de su punto de venta en 2017, esta es la segunda violación de datos que se produce en los últimos años para la empresa.
Después de un examen más detallado, se descubrió que a pesar de que la empresa había implementado encriptación y medidas de seguridad mejoradas en 2015 en respuesta a una serie de ataques contra otras tiendas, “ciertos dispositivos de punto de venta en algunas tiendas Forever 21 se vieron afectados” debido a la encriptación. “no estaba en funcionamiento”.
Según la empresa, actualmente se encuentra en el proceso de recopilación de pruebas y es demasiado pronto para revelar cualquier otra información en este momento, incluidas qué ubicaciones específicas pueden haber sido comprometidas y los períodos de tiempo durante los cuales los consumidores pueden haber estado en peligro. .En 2008, el Departamento de Justicia de los Estados Unidos presentó cargos contra un grupo de personas responsables de robar la información de las tarjetas de crédito de cientos de millones de clientes de grandes tiendas como TJ Maxx, Barnes & Noble, Boston Market y Forever 21. .
Forever 21 alertó a 539,207 personas, según la notificación, que la violación de datos incluía su nombre, fecha de nacimiento, número de cuenta bancaria y número de Seguro Social, así como información sobre el plan de salud Forever21 de los trabajadores, incluida la inscripción y las primas pagadas.
Forever 21 no proporcionó más detalles sobre el problema más allá del hecho de que uno de sus sistemas informáticos había sido comprometido, pero la compañía sí dijo que “Forever 21 ha tomado medidas para ayudar a garantizar que el tercero no autorizado ya no tenga acceso al datos.” No es del todo obvio cómo llegó Forever 21 a declarar que tienen seguridad. Debido a la redacción poco clara del aviso, es posible inferir que la corporación pagó al hacker a cambio de que borrara los datos.
Juniper Networks, una empresa que fabrica equipos de red ampliamente utilizados y soluciones de seguridad, ha emitido una advertencia sobre las vulnerabilidades que están presentes en los sistemas operativos de muchos de sus dispositivos.
La empresa ha reconocido no en una sino en dos alertas de seguridad distintas que se publicaron o revisaron esta semana que los sistemas operativos Junos OS y Junos OS Evolved pueden ser susceptibles a ataques. Además, la corporación emitió una advertencia actualizada sobre las vulnerabilidades presentes en los firewalls SRX y conmutadores EX utilizados por la empresa.
En una nueva advertencia, dijo que las versiones anteriores de los sistemas operativos podrían bloquearse debido al procesamiento de mensajes erróneos en el código conocido como Border Gateway Protocol (BGP), que es responsable de dirigir todo el tráfico en Internet.
Para ser más específicos, un mensaje de “ACTUALIZACIÓN” que tenga un formato particular “con el tiempo creará una condición de denegación de servicio (DoS) sostenida para los dispositivos afectados”, lo que impediría que dichos dispositivos lleven a cabo sus funciones.
La empresa también actualizó el miércoles un aviso de seguridad que se había emitido en junio y estaba conectado a BGP. Este problema también abordó la posibilidad de ataques que negaran el servicio a los usuarios.
En ambos casos, la corporación estaba proporcionando soluciones alternativas como medio para resolver los problemas “fuera de ciclo” de sus versiones típicas de actualización del sistema operativo.
Una tercera advertencia, emitida el 17 de agosto y actualizada más recientemente el miércoles, se refiere a vulnerabilidades en J-Web, que es una interfaz para los cortafuegos SRX y los conmutadores EX utilizados por la empresa, que investigadores en el campo de la seguridad de Watchtower Labs investigaron.
En tal escenario, “un atacante no autenticado basado en la red” tiene la capacidad de vincular la explotación de las vulnerabilidades “para ejecutar código de forma remota en los dispositivos”.
Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó el miércoles un breve aviso sobre las vulnerabilidades en el sistema operativo.
Además de eso, los investigadores llevaron a cabo un estudio extenso, cuyos resultados ofrecieron una comprensión integral sobre la explotación de esta debilidad, así como las vulnerabilidades asociadas a ella.
En el curso de su investigación, los investigadores se centraron en dos vulnerabilidades particulares en Juniper (CVE-2023-36846 y CVE-2023-36845), ambas descritas en el aviso de seguridad de la compañía. Ambas vulnerabilidades, Falta de autenticación para funciones clave y Modificación de variables externas de PHP, tienen algo en común: ambas afectan a PHP.
Después de una mayor investigación, se descubrió que J-Web fue desarrollado totalmente en PHP y que el proceso de autenticación es manejado por una clase de usuario. Además, se encontró un archivo PHP llamado webauth_operation.php.
Además, se encontró que estaban en uso un total de 150 funciones distintas, que servían para una variedad de propósitos que iban desde ayudas básicas hasta el formateo de direcciones IP. Estas funciones variaban en complejidad, desde simples hasta complicadas. Cada una de estas tareas requirió interacción con la interfaz de línea de comandos (CLI) del dispositivo.
Los investigadores de Watchtwr han elaborado un análisis exhaustivo, que puede consultarse en su sitio web. El informe contiene información detallada sobre estas vulnerabilidades, así como las técnicas utilizadas para atacarlas.
Se ha anunciado que se ha puesto a disposición un repositorio en GitHub que contiene la prueba de concepto para esta vulnerabilidad. Los profesionales de la seguridad pueden utilizar este repositorio para probar y reparar sus entornos susceptibles mediante la prueba de concepto.
El gobierno de Estados Unidos dijo hoy que una operación policial multinacional ha destruido Qakbot, también conocido como QBot, una infame botnet y cargador de malware que fue responsable de pérdidas que ascendieron a cientos de millones de dólares en todo el mundo, y que han confiscado más de 8,6 millones de dólares en criptomonedas ilegales.
Durante una conferencia de prensa celebrada el martes para anunciar la eliminación de la botnet, el fiscal federal Martín Estrada se refirió a la investigación como “la operación tecnológica y financiera más importante jamás dirigida por el Departamento de Justicia contra una botnet”. Duck Hunt estaba dirigido por el FBI. Por un lado, el gobierno federal desarrolló algún software que, cuando se instalaba en computadoras infectadas con Qbot, inutilizaba el virus.
Las agencias policiales de Estados Unidos y otros países han trabajado juntas durante los últimos tres días para confiscar 52 servidores que se utilizaban para sostener la red QBot. Con la ayuda de Francia, Alemania, los Países Bajos, el Reino Unido, Rumania y Letonia, estas agencias lograron “evitar que Qakbot resucitara y causara más daños adicionales”, como se indica en el informe.
El malware conocido como Qakbot es un ejemplo clásico de botnet basada en Windows. Sus operadores engañan a las personas (generalmente mediante archivos adjuntos de correo electrónico o documentos maliciosos de Microsoft Office) para que descarguen y ejecuten el software. Una vez instalado, el software tiene la capacidad de recuperar y ejecutar cargas útiles adicionales desde servidores remotos. Además, el software se comunica con servidores remotos para recibir sus órdenes a ejecutar. Puede usarse para hacer puertas traseras a las máquinas afectadas, robar sus contraseñas y registrar sus pulsaciones de teclas, drenar pagos de cuentas bancarias en línea y más. Es una navaja suiza de programas maliciosos.
Según una solicitud de incautación que hizo pública el Departamento de Justicia, el FBI pudo obtener acceso a las computadoras de administración de Qakbot. Este acceso ayudó a las autoridades a trazar la arquitectura del servidor que se empleó en el funcionamiento de la botnet.
La Oficina Federal de Estudios (FBI) llegó a la conclusión, basándose en su estudio, de que la botnet Qakbot utilizaba servidores de comando y control de nivel 1, 2 y 3. Estos servidores se emplean para enviar órdenes a dispositivos para que las ejecuten, instalar actualizaciones de malware y descargar más cargas útiles de socios.
Los servidores de nivel 1 son dispositivos infectados que tienen cargado un módulo de “supernodo”. Estos servidores son un componente de la infraestructura de comando y control de la botnet y algunas de las víctimas se encuentran en los Estados Unidos de América. Los servidores de nivel 2 también son servidores de comando y control; sin embargo, son operados por operadores de Qakbot, a menudo desde servidores arrendados ubicados fuera de los Estados Unidos de América.
Según la información proporcionada por el FBI, los servidores de Nivel 1 y 2 se utilizan para transmitir contactos cifrados con los servidores de Nivel 3.
Estos servidores de nivel 3 sirven como principales servidores de comando y control para la botnet, lo que les permite proporcionar nuevas órdenes para que las ejecuten las computadoras infectadas, nuevos módulos de software malicioso para que las computadoras infectadas descarguen y malware para que las computadoras infectadas lo instalen desde el socios de botnets, como bandas de ransomware.
Los dispositivos infectados que transportan el malware Qakbot interactuarían, en promedio, con una lista incorporada de servidores de Nivel 1 una vez cada uno a cuatro minutos para establecer contacto cifrado con un servidor de Nivel 3 y recibir órdenes cifradas para llevar a cabo o nuevas. cargas útiles para descargar e instalar.
Pese a ello, el FBI logró obtener las claves de cifrado que se utilizaron para interactuar con estos servidores cuando comprometieron la infraestructura del Qakbot y los dispositivos utilizados por sus administradores.
Utilizando estas claves, el FBI se puso en contacto con cada servidor de nivel 1 y le ordenó que reemplazara el módulo “supernodo” previamente instalado por Qakbot por uno desarrollado por las fuerzas del orden. Esto lo hacían utilizando un dispositivo infectado que estaba bajo su control y que habían infectado.
El nuevo módulo de supernodo controlado por el FBI empleó nuevas claves de cifrado a las que los operadores de Qakbot no tenían acceso. Como resultado, los operadores de Qakbot esencialmente quedaron excluidos de su propia infraestructura de comando y control, ya que no podían interactuar de ninguna manera con los servidores de Nivel 1.
Después de esto, el FBI desarrolló una DLL de Windows (f) personalizada que sirvió como herramienta de eliminación y se envió a los dispositivos afectados a través de los servidores de nivel 1 comprometidos.
Este archivo DLL personalizado, según un análisis del módulo FBI realizado por SecureWorks, entregó el comando QPCMD_BOT_SHUTDOWN al malware Qakbot que se ejecutaba en los dispositivos comprometidos. Esto hace que el proceso de malware deje de funcionar.
Según la Oficina Federal de Investigaciones (FBI), un tribunal dio permiso para que este programa de eliminación de Qakbot desarrollarse con el propósito expreso de desinstalar únicamente el virus de las máquinas que ya estaban infectadas. Además, dado que el virus sólo puede funcionar cuando está cargado en la memoria, la aplicación antimalware no leyó ni escribió nada en el disco duro durante su funcionamiento.
Actualmente, el FBI desconoce la cantidad total de dispositivos que se han limpiado de esta manera; sin embargo, dado que el proceso comenzó durante el fin de semana, anticipan que se limpiarán más dispositivos cuando se vuelvan a conectar a la infraestructura Qakbot secuestrada.
Tras la revelación de una falla grave en Microsoft Power Platform, los investigadores en el campo de la seguridad de la información recomiendan a los usuarios de Azure Active Directory (AD) que estén atentos a las URL de respuesta abandonadas. Para ser más precisos, los investigadores descubrieron una dirección URL de respuesta no utilizada dentro de una aplicación Azure Active Directory que estaba asociada con Power Platform de código bajo.
Los atacantes tienen el potencial de utilizar la URL para redirigir códigos de autorización a ellos mismos y luego intercambiarlos por tokens de acceso. Después de eso, el actor de la amenaza podría obtener un mayor acceso utilizando la API de Power Platform a través de un servicio de nivel medio.
El término “URL de respuesta”, que es sinónimo del término “URI de redireccionamiento”, describe el sitio al que el servidor de autorización envía al usuario después de que la aplicación se haya aprobado exitosamente y se le haya proporcionado un código de autorización o un token de acceso. . Era factible ponerse en contacto con la API de Power Platform a través de un servicio de nivel medio y alterar los parámetros del entorno, según Secureworks CTU, que descubrió una URL de respuesta de la aplicación Dynamics Data Integration abandonada conectada con el perfil de Azure Traffic Manager.
Los usuarios tienen la capacidad de administrar entornos, modificar los parámetros del entorno y consultar el uso de la capacidad mediante la API de Power Platform. Debido a esto, los actores de amenazas que buscan acceso privilegiado centrarán su atención en él como objetivo principal.
Esto podría haberse utilizado en un escenario de ataque hipotético para obtener el rol de administrador del sistema para una entidad de servicio existente, enviar solicitudes para destruir un entorno y hacer un uso indebido de Azure AD Graph API para recopilar información sobre el objetivo con el fin de realizar el seguimiento. sobre operaciones.
Sin embargo, esto depende de la posibilidad de que una víctima haga clic en un enlace malicioso. Si esto ocurre, el código de autorización que genera Microsoft Entra ID al iniciar sesión se enviará a una URL de redireccionamiento que ha sido asumida por el actor de la amenaza.
Secureworks emitió una advertencia de que los atacantes potenciales que conocen el funcionamiento interno de la API de administración de Power Platform probablemente podrían diseñar más escenarios de ataque.
Al final, Microsoft solucionó rápidamente el problema eliminando la URL de respuesta abandonada problemática de la aplicación Azure AD.
Sin embargo, Secureworks recomendó a los administradores de seguridad que controlen minuciosamente las URL de respuesta utilizadas por sus aplicaciones de Azure AD para evitar un escenario de ataque similar al que se mostró anteriormente.
Después de que la vulnerabilidad se revelara responsablemente el 5 de abril de 2023, Microsoft proporcionó una actualización al día siguiente que la solucionó, resolviendo así el problema. La empresa también lanzó una aplicación de código abierto que otras empresas pueden utilizar para buscar URL de respuesta abandonadas.
“Las organizaciones no pueden mitigar directamente este problema ya que la aplicación identificada es administrada por el proveedor”, llega a la conclusión del informe. “La única opción disponible para usted es eliminar el principal del servicio, lo que le impedirá hacer cualquier uso legal de la aplicación. Recomendamos encarecidamente estar atento a las URL de respuesta obsoletas.
La red es una combinación de muchos sistemas diferentes conectados entre sí. En la serie de tutoriales de Azure: Capítulo 1 [Cuenta de Azure] hablamos de que la red virtual es un espacio privado en una red donde puede jugar dentro de los sistemas de esa red virtual. Es una forma más segura de poner su propia red dentro de una red. La red virtual también se denomina VNet en la nube de Azure o en la nube de Microsoft.
CREAR RED VIRTUAL PASO A PASO
Para crear una red virtual paso a paso, iniciaremos sesión en https://portal.azure.com y luego iremos a Todos los servicios > Redes > Redes virtuales.
Pase el mouse sobre él y verá el signo +. Haga clic + signo
Una vez que haga clic en Crear red virtual, verá la siguiente pantalla:
Suscripción – Seleccione Prueba gratuita
Grupo de recursos : para comprender el grupo de recursos, imagine cómo administra los archivos en su computadora. Creas una carpeta y ellos colocan archivos similares en esa carpeta. De manera similar, el grupo de recursos en Azure le ayuda a administrar y organizar recursos similares mediante el grupo de recursos.
Mantenga la pestaña Seguridad con los valores predeterminados
En Direcciones IP agregue dos subredes como se muestra a continuación.
Mantener las etiquetas por defecto
Ahora vaya a Revisar + crear o haga clic en Siguiente
Después de crear, aparecerá la siguiente pantalla:
Ahora agregaremos recursos a VNet y subredes en la próxima publicación.
CVE-2023-36874 no es una vulnerabilidad cualquiera; más bien, se trata de un día cero que se está explotando activamente. Esto indica que la vulnerabilidad estaba siendo explotada en la naturaleza incluso antes de que se proporcionara cualquier solución y, en algunos casos, incluso antes de que se reconociera públicamente. Debido a que brindan una ventana de oportunidad antes de que se envíen las actualizaciones, las vulnerabilidades de este tipo suelen estar entre los principales objetivos de los ciberdelincuentes.
Sin embargo, aprovechar esta vulnerabilidad no es tan sencillo como uno podría creer en un principio. Según las notas de aviso publicadas por Microsoft, “un atacante debe tener acceso local a la máquina objetivo y debe poder crear carpetas y seguimientos de rendimiento en la máquina, con privilegios restringidos que los usuarios normales tienen de forma predeterminada”.
Esto reduce significativamente el vector de peligro, pero no lo elimina por completo. Debido a que Windows es tan frecuente en todo el mundo, incluso una falla de seguridad mínima puede poner en peligro a millones de máquinas.
Los investigadores de seguridad emitieron ayer una advertencia a los usuarios de Windows, informándoles que ha desarrollado un ataque de prueba de concepto ( PoC ) para la vulnerabilidad CVE-2023-36874.. El Servicio de informe de errores de Windows (WER), un componente que recopila y transmite informes de errores a Microsoft, es susceptible a la vulnerabilidad, a la que se le ha asignado una puntuación CVSS de 7,8. Debido a un problema en la forma en que WER procesa solicitudes diseñadas específicamente, el sistema es susceptible a esta vulnerabilidad. Un adversario podría aprovechar esta vulnerabilidad desarrollando un software malicioso destinado específicamente a aprovechar el agujero en el sistema. Una vez que la aplicación maliciosa se ha ejecutado en el sistema, el atacante puede obtener mayores derechos en la máquina. Según Microsoft, la vulnerabilidad fue descubierta por dos miembros del Grupo de Análisis de Amenazas (TAG) de Google, a saber, Vlad Stolyarov y Maddie Stone.
El Internet de las cosas (IoT) está experimentando ahora su cenit y está aumentando rápidamente sus capacidades. Esto se está logrando mediante la transformación de bienes comunes, como bombillas y enchufes, en dispositivos inteligentes que pueden controlarse mediante un teléfono inteligente.
La cantidad de dispositivos de Internet de las cosas superó los 13.800 millones en 2021; para 2025, se espera que esa cifra se cuadruplique. Sin embargo, este aumento masivo también ofrece una gran cantidad de oportunidades de ataque para los actores de amenazas, lo que plantea una serie de problemas a los expertos en seguridad.
Recientemente, especialistas en ciberseguridad de diferentes universidades descubrieron que los ciberdelincuentes pueden piratear bombillas inteligentes para recopilar credenciales de Wi-Fi. Los investigadores eligieron la bombilla multicolor Tp-Link Tapo Smart Wi-Fi (L530E) para realizar la evaluación de vulnerabilidad y pruebas de penetración (VAPT) en bombillas inteligentes. Para hacerlo, utilizaron PETIoT, una novedosa Kill Chain (KC) centrada en IoT que identifica vulnerabilidades de la red.
Debido a que es una bombilla inteligente multicolor habilitada para la nube, el Tapo L530E se puede operar usando la aplicación Tapo en un dispositivo Android o iOS sin necesidad de un concentrador. En cambio, se conecta directamente a la red Wi-Fi doméstica. Según los hallazgos de los investigadores, este tipo particular de bombilla inteligente es susceptible a cada una de las siguientes cuatro vulnerabilidades:
FALTA DE AUTENTICACIÓN DE LA BOMBILLA INTELIGENTE CON LA APLICACIÓN TAPO (PUNTUACIÓN CVSS DE 8,8, GRAVEDAD ALTA)
SECRETO COMPARTIDO CORTO Y CODIFICADO (PUNTUACIÓN CVSS DE 7,6, GRAVEDAD ALTA)
FALTA DE ALEATORIEDAD DURANTE EL CIFRADO SIMÉTRICO (PUNTUACIÓN CVSS DE 4,6, GRAVEDAD MEDIA)
ACTUALIZACIÓN INSUFICIENTE DEL MENSAJE (PUNTUACIÓN CVSS DE 5,7, GRAVEDAD MEDIA)
El examen y las pruebas realizadas por los expertos en seguridad indican que los ataques basados en proximidad se llevaron a cabo en la bombilla inteligente que era el objetivo. El escenario de ataque que causa mayor preocupación es aquel en el que un atacante se hace pasar por una bombilla y recupera información sobre una cuenta de usuario de Tapo explotando vulnerabilidades.
Después de eso, el atacante puede extraer el SSID y la contraseña de WiFi de la víctima utilizando la aplicación Tapo, lo que le permite obtener acceso a todos y cada uno de los demás dispositivos que estén conectados a la red de la víctima.
Para que el ataque tenga éxito, el dispositivo en cuestión primero debe ponerse en modo de configuración. Sin embargo, el atacante tiene la capacidad de anular la autenticación de la bombilla, lo que requerirá que el usuario la reconfigure para que la luz vuelva a funcionar. Los investigadores también investigaron un ataque MITM (Man-In-The-Middle) utilizando un dispositivo Tapo L530E configurado. Esta forma de ataque aprovecha una vulnerabilidad para interceptar y controlar la conexión entre la aplicación y la bombilla, así como para capturar las claves de cifrado RSA que se utilizan para una mayor transmisión de datos.
Los ataques MITM también son posibles con dispositivos Tapo no configurados aprovechando una vulnerabilidad una vez más conectándose a WiFi durante el proceso de configuración, uniendo dos redes y enrutando mensajes de descubrimiento. Esto eventualmente permitirá al atacante recuperar contraseñas de Tapo, SSID y contraseñas de WiFi en un formato codificado en base64 fácilmente descifrable. Por último, pero no menos importante, otra falla permite a los atacantes realizar lo que se conoce como “ataques de repetición”. Estos ataques implican recrear comunicaciones que han sido detectadas en el pasado para provocar cambios funcionales en el dispositivo.
Además, el analista de seguridad alertó previamente a TP-Link sobre estos descubrimientos en relación con su producto la “Bombilla Tapo Smart Wi-Fi Multicolor (L530E)”.
En respuesta, TP-Link aseguró a los investigadores que los problemas encontrados en su software y en el firmware de la bombilla se solucionarán.
Azure es la nube más utilizada en las organizaciones de TI. Antes de que existiera la nube, muchas empresas u organizaciones usaban productos de Microsoft en su organización, como el sistema operativo Windows, MS Office e incluso el sistema operativo de servidor de Microsoft en sus servidores para ejecutar un servidor de autenticación interno llamado AD y otros. Por lo tanto, es fácil para todas las organizaciones migrar a la nube también de Microsoft, ya que los administradores de TI de la organización ya tenían en sus manos los productos de Microsoft. Entonces, después de que existiera la nube, muchas organizaciones migraron a la nube de Microsoft llamada Azure. Hay algunos términos para entender antes de seguir adelante:
Azure : es un nombre que se le da a la nube de Microsoft.
Suscripción de Azure : ya que tenemos un boleto para el parque temático. Una vez que tengamos la entrada podremos jugar con todas las atracciones de ese parque temático. Al igual que un boleto de suscripción a Azure, es un boleto para ingresar a Azure y jugar o podemos decir utilizar diferentes recursos disponibles allí. Estos recursos pueden ser máquinas virtuales, almacenamiento, base de datos.
VNet : la nube de Azure es muy amplia y tiene miles de sistemas, bases de datos y otros dispositivos conectados entre sí. VNet proporciona un aislamiento lógico de la nube de Azure dedicada a su suscripción de Azure. Con VNet puede conectar sus recursos de Azure con su red local.
Subredes : es un subconjunto de Azure VNet. Con la ayuda de la subred, puede segmentar sus recursos de Azure dentro de la red virtual en un espacio de direcciones más pequeño.
Espacio de direcciones : para comprender qué es el espacio de direcciones, piense en una red en la que a cada dispositivo se le asigna una dirección IP entre 192.168.1.0 y 192.168.1.255. Entonces, para la red 192.168.1.0-192.168.1.255 es el espacio de direcciones.
Máquina virtual : para comprender los conceptos de la máquina virtual, piense que Microsoft compró una computadora grande y la conectó a la nube. Ahora, para ganar dinero con esta gran computadora en la nube, Microsoft decidió crear pequeñas computadoras a partir de esta gran computadora y alquilará estas pequeñas o puede decir computadoras virtuales al mundo. Cuanta más gente use estas computadoras virtuales, más ganará Microsoft.
Ahora para entender Azure de una manera práctica. Comenzaremos creando una VNet en los tutoriales de Azure y bajo esta VNet crearemos 2 subredes. Debajo de cada subred agregaremos una máquina virtual.
Siga los pasos a continuación para crear una cuenta en Azure Portal y una suscripción.
Vaya a https://azure.com
Vaya a Probar Azure gratis
Y luego ve a empezar gratis
Le pedirá que inicie sesión en el portal de microsoftonline.com , si no tiene credenciales, cree una nueva.
Una vez que haya iniciado sesión, deberá completar el siguiente formulario:
A continuación te pedirá información de la tarjeta de crédito o débito. Se le cobrará cuando migre del servicio de pago por uso. Como hemos optado por la cuenta Gratis obtendremos $200 de crédito.
Se debitará unos centavos de su tarjeta y una vez que se confirme el pago, será redirigido a la página Ir a Azure Portal.
Ahora vaya al botón de Azure Portal o vaya a https://portal.azure.com inicie sesión con el correo electrónico y la contraseña que proporcionó para iniciar sesión en microsoftonline.com . Una vez que haya iniciado sesión, aterrizará en el panel de Azure.
Este verano, cientos de miles de personas se prepararán para despegar mientras se sientan, se relajan y usan la configuración del modo avión en sus iPhones. Cuando se activa esta configuración, la tecnología de transmisión de radiofrecuencia (RF) del dispositivo se apaga, lo que interrumpe la conexión del usuario a su red móvil durante el vuelo. Esta función, que se implementó por primera vez hace muchos años como medida de seguridad preventiva para proteger a las aeronaves de lo que se creía que estaba manipulando sus sistemas de comunicaciones o navegación, también se conoce como modo de vuelo o modo de vuelo seguro. De hecho, muchas personas han exagerado la gravedad de este riesgo percibido para la seguridad de las aeronaves. Como resultado, las regulaciones no son tan estrictas como lo eran antes, y la calidad del Wi-Fi en vueloservicios ha aumentado hasta el punto en que ahora son utilizables. A pesar de ello, la activación del modo avión sigue siendo una parte fundamental del procedimiento previo al vuelo.
Sin embargo, los investigadores de Jamf Threat Labs descubrieron recientemente y demostraron con éxito un enfoque de explotación que permite a un atacante mantener la persistencia en el dispositivo de su víctima incluso cuando el usuario cree que está desconectado. Esta técnica se desarrolló en respuesta a una vulnerabilidad que se reveló en un exploit anterior. El enfoque, que no se ha visto que se use en la naturaleza, se basa en el desarrollo exitoso de una “experiencia” de modo de avión falso por parte de un actor de amenazas hipotético. Esta “experiencia” hace que el dispositivo parezca estar desconectado cuando en realidad sigue funcionando con normalidad.
La cadena de exploits creada por Jamf finalmente da como resultado un escenario en el que los procesos controlados por un atacante pueden operar en segundo plano sin ser detectados ni vistos, mientras que el propietario del dispositivo ignora felizmente que algo anda mal.
SpringBoard, que maneja cambios visibles en la interfaz de usuario (UI), y CommCentre, que controla la interfaz de red subyacente y mantiene una función que permite a los usuarios limitar el acceso a datos móviles para ciertas aplicaciones, son los dos demonios que se asignan con el proceso de convertir dispositivos iOS al modo avión. SpringBoard maneja los cambios visibles en la interfaz de usuario, mientras que CommCentre administra la funcionalidad. Cuando se activa el modo avión en circunstancias típicas, la interfaz de datos móviles ya no mostrará direcciones IP IPv4 o 6. Además, la red móvil se desconectará y será inaccesible para el usuario al nivel del espacio del usuario.
El equipo de Jamf, por otro lado, pudo identificar el área pertinente del registro de la consola del dispositivo de destino y, a partir de ese momento, utilizar una determinada cadena: “#N La preferencia del modo avión del usuario cambia de kFalse a KTrue” para localizar el código que hacía referencia a él. A partir de ahí, pudieron acceder con éxito al código del dispositivo, momento en el que conectaron la función y la reemplazaron con una función vacía o inactiva. Pudieron hacer esto para construir un modo de avión falso, en el que el dispositivo realmente no se desconecta de Internet y todavía tienen acceso a él.
Después de eso, buscaron la interfaz de usuario conectando dos métodos Objective-C únicos para inyectar un pequeño código que cambiaba el indicador de conexión móvil para que pareciera oscuro, lo que hacía creer al usuario que estaba apagado y resaltaba el icono del modo avión, que está representado por la imagen de un avión. Si la víctima hipotética abriera Safari en este punto, tendría una buena razón para creer que se le pediría que desactive el modo avión o que se conecte a una red Wi-Fi red para acceder a los datos. Esta sería una suposición razonable dado que parece que el modo avión está habilitado en su dispositivo.
Recibirían un mensaje separado pidiéndoles que autoricen a Safari a utilizar datos inalámbricos a través de WLAN o móvil, o WLAN solo, lo que sería un indicio de que algo andaba mal. Sin embargo, dado que todavía están realmente conectados a Internet, verían este mensaje. El equipo de Jamf sabía que este problema debía solucionarse para que la cadena de exploits tuviera éxito. Como resultado, idearon una estrategia que les permitía dar la impresión al usuario de que había sido desconectado de los servicios de datos móviles. Esto se logró aprovechando la función CommCenter, que bloquea el acceso a datos móviles para aplicaciones específicas, y luego disfrazando esta acción como modo avión conectando otra función más.
Lo lograron creando un entorno en el que al usuario se le presentaba un aviso para desactivar el modo avión, en lugar del aviso que debería haber visto. El equipo utilizó una función de SpringBoard que solicita la notificación de “desactivar el modo avión”. después de que CommCenter le notifique que lo haga. CommCenter, a su vez, recibe esta notificación del núcleo del dispositivo a través de una función de devolución de llamada/observador registrada. Esto permitió al equipo desactivar la conexión a Internet de Safari sin activar el modo avión.
Luego, el grupo descubrió que CommCenter también maneja un archivo de base de datos SQL que registra el estado de acceso a datos móviles de cada programa. Si se impide que una aplicación acceda a los datos móviles, esa aplicación se marca con una bandera particular. Luego, podrían prohibir o habilitar selectivamente el acceso de una aplicación a datos móviles o Wi-Fi al leer una lista de ID de paquetes de aplicaciones y obtener su configuración predeterminada a partir de esta información.
Cadena de explotación
Después de reunir toda esta información, el equipo básicamente había desarrollado una cadena de ataque en la que su modo de avión falso le parece a la víctima que se ejecuta exactamente como lo hace el genuino, con la excepción de que los programas que no son de aplicación pueden acceder a los datos móviles. “Este truco de la interfaz de usuario disfraza el movimiento del atacante colocando el dispositivo en un estado que es contrario a lo que espera el usuario”, agregó. “El usuario espera una cosa, pero el dispositivo se comporta de una manera que traiciona sus expectativas”. “Un adversario podría usar esto para vigilar al usuario y su entorno en un momento en el que nadie sospecharía que hay una grabación de video o un micrófono en vivo que captura audio”, dice un investigador. “Esto podría darle a un adversario una ventaja en una pelea.
Según Covington, el descubrimiento no entra dentro del proceso normal de divulgación responsable porque la cadena de explotación no constituye una vulnerabilidad en el sentido tradicional. Más bien, es una técnica que permite a un atacante mantener la conectividad una vez que tiene el control del dispositivo a través de otra serie de vulnerabilidades. Los investigadores notificaron a Apple sobre la investigación, pero nadie respondió a la solicitud de comentarios”.
El nuevo enfoque de ataque representa un peligro, pero si se usara con ira, sería más probable que se usara en un escenario de ataque dirigido por un actor de amenazas con objetivos muy particulares en mente que en un evento de explotación masiva dirigido al público en general. . Sin embargo, si se usara con ira, sería más probable que lo usara un actor de amenazas con objetivos muy específicos. Por ejemplo, la explotación con fines de espionaje o vigilancia por parte de actores adversarios apoyados por el el gobierno contra personas de interés es un escenario que es más probable que la explotación por parte de ladrones cibernéticos impulsados financieramente.
A pesar de que es más probable que la técnica se utilice en un ataque dirigido, sigue siendo importante generar conciencia sobre cómo las interfaces de usuario de los dispositivos, en particular las creadas por proveedores confiables como Apple, pueden volverse contra sus usuarios. Esto se debe a la confianza inherente que las personas depositan en sus dispositivos móviles. Lo más importante, según él, es que los consumidores y los equipos de seguridad comprendan mejor los métodos de ataque contemporáneos como los que muestra el estudio del modo avión falso. En cierto sentido, esta es la próxima generación de ingeniería social, y no es muy diferente a cómo se usa la inteligencia artificial para producir testimonios falsos que parecen ser de celebridades conocidas.
En el pasado, se descubrió que Citrix tenía una vulnerabilidad de día cero en su controlador de entrega de aplicaciones (ADC) Citrix NetScaler, lo que hizo posible que actores maliciosos llevaran a cabo la ejecución remota de código.
Se descubrió que la vulnerabilidad de día cero se estaba utilizando de forma salvaje, por lo que se le asignó el CVE ID 2023-3519 y la clasificación de gravedad de 9,8 (crítica). Citrix proporcionó soluciones para abordar la vulnerabilidad, pero no había forma de determinar si un dispositivo Citrix en particular se había visto comprometido o no.
Un nuevo informe afirma que se ha descubierto que más de 1900 NetScalers todavía están infectados con una puerta trasera. Esta información se obtuvo durante una investigación reciente.
Mandiant ha lanzado una herramienta para ayudar a los defensores de las empresas a determinar si los dispositivos de red de Citrix han sido pirateados debido al hecho de que miles de productos de red de Citrix aún son susceptibles a una vulnerabilidad importante que no ha sido parcheada y a la que se puede acceder en Internet.
Citrix ADC y Citrix Gateway versión 13.1, Citrix ADC y Citrix Gateway versión 13.0, Citrix ADC y Citrix Gateway versión 12.1, Citrix ADC y Citrix Gateway versión 12.0 son todas versiones compatibles con las que se puede utilizar IoC Scanner.
El 18 de julio, Citrix lanzó un parche para la vulnerabilidad crítica de día cero (CVE-2023-3519) en sus productos de puerta de enlace y controlador de entrega de aplicaciones NetScaler. La compañía también recomendó que las empresas que usan los productos vulnerables implementen la solución de inmediato. La vulnerabilidad podría explotarse para permitir la ejecución de código remoto no autenticado. La vulnerabilidad ya está siendo explotada agresivamente por varias organizaciones de amenazas, que lo hacen mediante el establecimiento de shells web dentro de las redes corporativas y llevando a cabo cientos de ataques.
Según los hallazgos de los investigadores, todavía hay cerca de 7.000 ejemplos disponibles en la web. Alrededor de 460 de ellos tenían Web shells instalados, muy probablemente como resultado de estar comprometidos.
Esta aplicación, que se puede encontrar en GitHub, fue desarrollada por Mandiant y tiene la capacidad de determinar las rutas del sistema de archivos de malware conocido, actividades posteriores a la explotación en el historial de shell, etc. El script Bash independiente se puede ejecutar directamente en un dispositivo Citrix ADC para buscar indicaciones conocidas en archivos, procesos y puertos. (La utilidad debe ejecutarse en el dispositivo en modo en vivo mientras está conectado como raíz). Según Mandiant, también puede examinar una imagen forense que se ha montado para usar en una investigación.
Esta aplicación tiene una amplia variedad de funciones, como escanear,
Ruta del sistema de archivos que podría ser un malware
Historial de shell para comandos sospechosos
Directorios y archivos de NetScaler que coinciden con IOC
Permisos o propiedad de archivos sospechosos
Instancias de Crontab
Procesos maliciosos que se ejecutan en el sistema
Esta solución, que fue creada en asociación con Citrix y Mandiant, tiene el único propósito de ayudar a las empresas a prevenir sistemas comprometidos y buscar evidencia de su presencia.
Según Mandiant, el IoC Scanner hará un “trabajo de mejor esfuerzo” para detectar elementos comprometidos; sin embargo, es posible que no pueda localizar todos los dispositivos infectados o determinar si el dispositivo es susceptible o no de ser explotado. Según la empresa, “no se garantiza que esta herramienta encuentre todas las pruebas de compromiso o todas las pruebas de compromiso relacionadas con CVE 2023-3519”, que es una vulnerabilidad.
La ingeniería de sistemas es una disciplina apasionante que se centra en diseñar, analizar y mejorar sistemas complejos. Pero ¿qué se estudia exactamente en un pregrado de ingeniería de sistemas? ¡Vamos a descubrir que necesitas para dedicarte profesionalmente a ello!
Historia y fundamentos
Antes de adentrarnos en los detalles, es esencial comprender la historia y los cimientos de la ingeniería de sistemas. Esta disciplina surgió en la era moderna como respuesta a la necesidad de desarrollar sistemas tecnológicos más eficientes. La revolución industrial y, posteriormente, la era digital, han impulsado su evolución.
Matemáticas avanzadas
Para cualquier ingeniero, las matemáticas son una herramienta fundamental. Un ingeniero de sistemas estudiará temas avanzados como cálculo diferencial e integral, álgebra lineal y ecuaciones diferenciales.
Estas herramientas matemáticas son esenciales para analizar y modelar sistemas complejos.
Programación y lenguajes de computación
Dada la naturaleza tecnológica de la disciplina, es fundamental aprender diversos lenguajes de programación como Python, Java y C++. Además, los estudiantes se sumergen en estructuras de datos, algoritmos y diseño de software.
Sistemas operativos
Entender cómo funcionan los sistemas operativos es crucial. Los futuros ingenieros se familiarizan con sistemas como Windows, Linux y macOS, aprendiendo sobre su arquitectura, gestión de procesos y sistemas de archivos.
Redes y comunicaciones
En un mundo interconectado, comprender las redes es esencial. Se estudian temas como protocolos de comunicación, arquitectura de redes y seguridad en la transmisión de datos.
Gestión de proyectos
No solo basta con tener habilidades técnicas. Un ingeniero de sistemas debe saber cómo gestionar equipos y proyectos, garantizando que los sistemas desarrollados se entreguen a tiempo y cumplan con los requisitos establecidos.
Sistemas de bases de datos
El manejo de grandes volúmenes de información requiere un profundo conocimiento de bases de datos. Temas como SQL, gestión de bases de datos relacionales y no relacionales, y seguridad de la información son esenciales en la formación.
Seguridad informática
Con el auge de las ciberamenazas, la seguridad informática se ha vuelto un pilar en la educación de un ingeniero de sistemas.
Se abordan temas como criptografía, defensa contra ciberataques y políticas de seguridad.
Inteligencia artificial y machine learning
Con la evolución tecnológica, la inteligencia artificial (IA) y el machine learning son campos en constante crecimiento. Los ingenieros de sistemas deben familiarizarse con algoritmos, redes neuronales y otras técnicas de IA.
Beneficios de ser un ingeniero de sistemas
Ser ingeniero de sistemas tiene una variedad de beneficios, sin embargo, a continuación, te mostraremos algunos de los más destacados:
Demanda laboral alta. En un mundo cada vez más digitalizado, la necesidad de profesionales capacitados en sistemas es constantemente creciente. Las empresas, sin importar su tamaño o industria, necesitan de sistemas eficientes y seguros.
Salarios competitivos. Debido a la alta demanda y la especialización requerida, los ingenieros de sistemas suelen gozar de salarios atractivos en comparación con otras profesiones.
Flexibilidad geográfica. Con la creciente aceptación del trabajo remoto, muchos ingenieros de sistemas tienen la opción de trabajar desde cualquier parte del mundo.
Desarrollo profesional constante. El mundo de la tecnología evoluciona rápidamente, lo que significa que siempre hay algo nuevo que aprender. Esto puede ser un desafío, pero también es una oportunidad para crecer y mantenerse actualizado.
Impacto en la sociedad. Los sistemas informáticos están en el corazón de muchas soluciones modernas, desde aplicaciones médicas hasta avances en energías limpias. Como ingeniero de sistemas, tienes el poder de influir positivamente en la sociedad.
Variedad de sectores. Los ingenieros de sistemas pueden trabajar en una amplia variedad de industrias: salud, finanzas, entretenimiento, defensa, educación, entre otras.
Trabajo en equipo. A menudo, los ingenieros de sistemas trabajan en equipos multidisciplinarios. Esto les permite interactuar y aprender de profesionales con diferentes habilidades y perspectivas.
Resolución de problemas. Si eres una persona a la que le gusta enfrentarse a desafíos y encontrar soluciones, esta carrera es ideal. Cada proyecto presenta sus propios problemas que necesitan soluciones creativas y técnicas.
Estabilidad laboral. Aunque no se puede generalizar para todos los países o situaciones, en muchos lugares la ingeniería de sistemas es considerada una carrera con baja tasa de desempleo.
Creatividad. Aunque a veces se piensa que es una profesión estrictamente técnica, la ingeniería de sistemas requiere mucha creatividad para innovar y diseñar soluciones a medida.
Como ves, la ingeniería de sistemas es una disciplina amplia y en constante evolución. La formación en este campo es diversa y abarca desde fundamentos matemáticos hasta las últimas tendencias en tecnología y gestión.
Por ello, ser un ingeniero de sistemas significa estar a la vanguardia de la revolución tecnológica, y, por suerte, la educación en esta área prepara a los profesionales para enfrentar los desafíos del futuro.
Es posible piratear cajeros automáticos de forma remota aprovechando una serie de vulnerabilidades que se han encontrado en el software de monitoreo de flotas de cajeros automáticos ScrutisWeb desarrollado por la empresa. Los miembros del Synack Red Team fueron los que descubrieron las vulnerabilidades en el sistema, y el el proveedor los abordó en julio de 2023 con el lanzamiento de ScrutisWeb versión 2.1.38. ScrutisWeb permite a las empresas monitorear sus cajeros automáticos bancarios desde un navegador web, dándoles la capacidad de reaccionar de inmediato ante cualquier problema que pueda surgir. La solución permite a los usuarios monitorear hardware de forma remota, reiniciar o apagar una terminal, enviar y recibir archivos y modificar datos. También permite a los usuarios transmitir y recibir archivos. Es importante tener en cuenta que la flota de cajeros automáticos de una cadena de restaurantes también puede contener máquinas de depósito de cheques y terminales de pago en ciertos casos.
Los investigadores de Synack descubrieron cuatro clases distintas de vulnerabilidades, cada una de las cuales recibió una identificación CVE y los números CVE-2023-33871 , CVE-2023-38257, CVE-2023-35763 y CVE-2023-35189 respectivamente.
La siguiente es una explicación de cada uno de los cuatro defectos:
CVE-2023-33871 es una vulnerabilidad transversal de directorio que tiene una puntuación CVSS de 7,5. Esta vulnerabilidad podría permitir que un usuario no autenticado acceda directamente a cualquier archivo que se encuentre fuera del directorio webroot del servidor.
CVE-2023-35189 es una vulnerabilidad en la ejecución remota de código que tiene una puntuación CVSS de 10.0. Esta vulnerabilidad podría permitir que un usuario no autenticado envíe una carga útil maliciosa y luego la ejecute.
CVE-2023-35763 es una vulnerabilidad criptográfica que tiene una puntuación CVSS de 5,5. Es posible que un usuario no autenticado decodifique contraseñas cifradas en texto sin formato utilizando este problema.
CVE-2023-38257 es una vulnerabilidad de referencia de objeto directo no segura que tiene una puntuación CVSS de 7,5. Esta vulnerabilidad podría permitir que un usuario no autenticado acceda a la información del perfil, como nombres de inicio de sesión de usuario y contraseñas cifradas.
La vulnerabilidad CVE-2023-35189 es el más grave de los problemas, ya que permite que un usuario no autenticado cargue cualquier archivo y luego lo lea nuevamente desde un navegador web, lo que finalmente conduce a la inyección de comandos.
Los actores de amenazas pueden usar los problemas para acceder a los datos del servidor (configuraciones, registros y bases de datos), ejecutar comandos arbitrarios y obtener contraseñas de administrador encriptadas y decodificarlas usando una clave codificada. Según los investigadores, un adversario puede aprovechar el vulnerabilidades para iniciar sesión en el panel de administración de ScrutisWeb como administrador, observar las acciones de los cajeros automáticos vinculados, activar el modo de administración en los dispositivos, cargar archivos y reiniciar o apagar las máquinas.
Los piratas informáticos podrían aprovechar potencialmente la vulnerabilidad que permitía la ejecución de comandos remotos para cubrir sus rastros eliminando datos cruciales. Recientemente, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió una advertencia con el fin de informar a las empresas sobre estas vulnerabilidades. CISA informa que el producto en cuestión se usa en todo el mundo.
Aquellos que trabajan con bases de datos de forma habitual sabrán que PostgreSQL es más que un nombre. Tiene una historia impresionante que abarca más de 30 años, y ahora sirve como un sistema de base de datos relacional de objetos efectivo que es de código abierto. Debido a su capacidad para almacenar y hacer crecer incluso las cargas de trabajo de datos más complejas, se ha convertido en la base de datos preferida para una amplia variedad de aplicaciones, que van desde sitios web hasta sistemas móviles y analíticos. Se ha descubierto que el objeto de código abierto ampliamente utilizado -El sistema de base de datos relacional PostgreSQL tiene una importante falla de seguridad. La vulnerabilidad, identificada como CVE-2023-39417, tiene una puntuación CVSS significativa de 7,5 y otorga al atacante la capacidad de ejecutar código arbitrario como superusuario de arranque si el atacante también tiene la capacidad de crear bases de datos a nivel de base de datos. La vulnerabilidad puede explotarse en el script de extensión de PostgreSQL si un administrador ha instalado archivos de una extensión vulnerable, confiable y no incluida. La vulnerabilidad está presente en el script de extensión de PostgreSQL. Cuando se utilizan las funciones @extowner@, @extschema@ o @extschema:…@, existe una falla de seguridad porque la entrada del usuario no se sanea adecuadamente. Esta falla es la fuente raíz de la vulnerabilidad.
Un adversario puede aprovechar esta falla enviando datos maliciosos a una base de datos PostgreSQL que ejecuta una versión del programa que es susceptible de ser explotada. Es posible que la entrada maliciosa tenga la forma de una consulta SQL, o puede ser un parámetro para una función. Tan pronto como el atacante envía la entrada maliciosa, puede ejecutar código arbitrario en el contexto del superusuario de arranque.
El superusuario de arranque es una cuenta de usuario única que tiene plena autoridad sobre una base de datos PostgreSQL. Solo se puede acceder a esta cuenta a través del script de arranque. Esto indica que un adversario que puede ejecutar código arbitrario como superusuario de arranque tiene la capacidad de hacer lo que quiera con la base de datos. Esto incluye el robo de datos, la eliminación de datos o la alteración de datos.
Todas las versiones 11, 12, 13, 14 y 15 de PostgreSQL son susceptibles al problema CVE-2023-39417. Las versiones fijas son 11.21, 12.16, 13.12, 14.9 y 15.4. PostgreSQL ha puesto a disposición un parche que evita que este ataque se produzca a nivel fundamental del servidor. El proceso de remediación se hace más sencillo por el hecho de que los usuarios no tienen que editar extensiones individuales. Es imperativo que instale esta actualización necesaria lo antes posible, ya que la seguridad de sus datos depende de ella.
Investigadores en el campo de la seguridad de la información en Horizon3 han hecho público el código de prueba de concepto (PoC) para una importante vulnerabilidad de escalada de privilegios (CVE-2023-26067) encontrada en las impresoras Lexmark . En un dispositivo que no ha sido parcheado, esta vulnerabilidad, que tiene un puntaje CVSS de 8.0, podría permitir que un atacante obtenga un acceso elevado si el dispositivo no está actualizado.
La validación incorrecta de la información proporcionada por el usuario es lo que condujo a la vulnerabilidad en el sistema. El atacante podría aprovechar esta vulnerabilidad al hacer que el atacante realice una solicitud especialmente diseñada a la impresora. Una vez que se ha explotado la vulnerabilidad, el atacante tiene el potencial de obtener derechos escalados en el dispositivo, lo que podría darle la capacidad de ejecutar código arbitrario, filtrar credenciales u obtener un shell inverso.
Configuraciones propensas a la vulnerabilidad Se muestra un Asistente de configuración inicial en la pantalla de la impresora Lexmark del usuario la primera vez que el usuario la enciende. Este asistente guía al usuario a través del proceso de configuración de varias configuraciones del sistema, como el idioma, además de brindarle la oportunidad de configurar un usuario administrativo.
Si el usuario selecciona “Configurar más tarde”, la impresora proporcionará a los usuarios “invitados” acceso a todas las funciones y páginas disponibles a través de la interfaz web de la impresora. Si el usuario selecciona “Configurar ahora”, la impresora evitará que acceda a una parte significativa de su capacidad accesible hasta que se haya autenticado.
Incluso si el usuario elige “Configurar más tarde”, todavía tiene la opción de configurar sus credenciales usando la interfaz web si así lo desea. Por otro lado, una credencial configurada de esta manera no impondrá, de forma predeterminada, ningún límite en la cuenta “Invitado”. Esto indica que varias funciones críticas, como el acceso al extremo vulnerable /cgi-bin/fax_change_faxtrace_settings, todavía están disponibles para el público.
Examinó los dispositivos que se enumeraron en Shodan, así como los que estaban en nuestra base de clientes cuando intentábamos determinar qué configuración era la que más se usaba en el mundo real. Cuando busque “Lexmark 3224” en Shodan, se mostrarán todas las impresoras que tienen accesible la interfaz en línea. La gran mayoría de estas impresoras accesibles se configuraron de una manera que las hizo susceptibles a ataques. Se observó un patrón similar con cada uno de los clientes que integran impresoras Lexmark en sus propias redes corporativas.
Horizon3 ha llevado a cabo una extensa investigación sobre esta vulnerabilidad y ha descubierto muchas formas diferentes en las que puede ser encadenada por adversarios astutos e inteligentes. Un artículo en el blog de Horizon3 que se escribió el viernes y se publicó el viernes da una idea de la complejidad en capas de esta vulnerabilidad. Eche un vistazo a lo siguiente para tener una idea de lo que pueden hacer los posibles atacantes:
Volcado de credenciales: al explotar esta debilidad, los atacantes pueden obtener credenciales confidenciales, que es el primer paso que podría conducir a infracciones más extensas y destructivas.
Obtener acceso a shells inversos Los atacantes pueden construir un shell inverso después de haber obtenido el control de un dispositivo. Esto les permite ampliar aún más el alcance de su control y acceso dentro de una red.
Sorprendentemente, esta vulnerabilidad incluso brinda a los atacantes la capacidad de reproducir música en los dispositivos afectados por el problema. A pesar de que esto pueda parecer poco, sirve para resaltar el grado de poder que se podría lograr explotando esta vulnerabilidad.
Horizon3 ha ido un paso más allá al publicar un código de prueba de concepto (PoC) en su sitio web, que ilustra cómo se puede explotar maliciosamente la vulnerabilidad CVE-2023-26067. La divulgación del código de prueba de concepto es un arma de doble filo, a pesar de que no se han hecho públicos o informados esfuerzos para explotar esto en la naturaleza.
Lexmark ha puesto a disposición actualizaciones de firmware para solucionar este problema. Si posee una impresora Lexmark, debe verificar la versión del firmware y asegurarse de que se actualice a la versión más reciente tan pronto como pueda. En el sitio web de Lexmark, podrá descubrir la actualización de firmware más reciente para su impresora. La vulnerabilidad que plantea este problema supone un riesgo importante para las impresoras Lexmark. Es muy posible que los actores de amenazas que son ingeniosos y motivados se muevan rápidamente para explotar esta vulnerabilidad. Si desea mantener sus impresoras a salvo de daños, es esencial mantener actualizado el firmware lo más rápido posible.
El término “red privada virtual” o VPN para abreviar, se ha convertido casi en sinónimo de “privacidad y seguridad en línea”. Las VPN funcionan mediante la creación de un túnel encriptado a través del cual sus datos pueden transitar a medida que se mueven por Internet. Están diseñados para proteger su privacidad y hacer que sea imposible que alguien controle o acceda a su actividad mientras está en línea. Pero, ¿qué sucede si el mismo instrumento que se suponía que debía mantener segura su privacidad resulta ser un conducto para los ataques? Preséntate a “TunnelCrack”, un descubrimiento aterrador que ha causado conmoción en todo el mundo de la ciberseguridad. Nian Xue de la Universidad de Nueva York, Yashaswi Malla y Zihang Xia de la Universidad de Nueva York Abu Dhabi, Christina Popper de la Universidad de Nueva York y Mathy Vanhoef de la Universidad KU Leuven fueron los que llevaron a cabo el estudio .
Un equipo de investigación ha descubierto dos vulnerabilidades graves en las redes privadas virtuales (VPN). Estas vulnerabilidades habían estado inactivas desde 1996. Es posible filtrar y leer el tráfico de los usuarios, robar información o incluso realizar ataques a los dispositivos de los usuarios al explotar estas vulnerabilidades, que están presentes en prácticamente todos los productos VPN en todas las plataformas. TunnelCrack es una combinación de dos fallas de seguridad comunes que se encuentran en las redes privadas virtuales (VPN). Aunque una red privada virtual (VPN) está diseñada para salvaguardar todos los datos que envía un usuario, estos ataques pueden eludir esta seguridad. Un enemigo, por ejemplo, puede aprovechar las fallas de seguridad para robar información de los usuarios, leer sus comunicaciones, atacar sus dispositivos o simplemente divulgarla por completo. Independientemente del protocolo de seguridad que utilice la VPN, las fallas descubiertas pueden explotarse y usarse de manera maliciosa. En otras palabras, incluso las redes privadas virtuales (VPN) que afirman utilizar “cifrado de grado militar” o que usan métodos de cifrado que ellos mismos inventaron son vulnerables a los ataques. Cuando un usuario se une a una red Wi-Fi no segura, el conjunto inicial de vulnerabilidades, a las que se refieren como ataques de LocalNet, es susceptible de ser explotado. El segundo grupo de vulnerabilidades, que se conocen como ataques ServerIP, son susceptibles de ser explotados por proveedores de servicios de Internet sospechosos, así como por redes inalámbricas no seguras. Ambos ataques implican manipular la tabla de enrutamiento de la víctima para engañarla y enviar tráfico fuera del túnel VPN seguro.
El video que se puede ver a continuación muestra tres formas diferentes en las que un atacante podría aprovechar las vulnerabilidades reveladas. En el primer paso del ataque, se explota la vulnerabilidad de LocalNet para obligar al objetivo a filtrar las comunicaciones. Esto se utiliza para interceptar información confidencial que se transfiere a sitios web que no tienen suficiente seguridad, como la exposición de la cuenta y la contraseña de la víctima. También demuestran cómo un adversario puede determinar a qué sitios web está accediendo un usuario, algo que generalmente no se puede lograr cuando se utiliza una red privada virtual (VPN). Por último, pero no menos importante, se utiliza una modificación del ataque LocalNet para evitar que una cámara de vigilancia alerte a su usuario de cualquier movimiento inesperado.
Como indica la demostración, las vulnerabilidades en la VPN pueden explotarse para filtrar tráfico de forma trivial e identificar los sitios web a los que accede una persona. Además, cualquier dato que se transfiera a sitios web con configuraciones inadecuadas o que sea suministrado por aplicaciones que no sean seguras puede ser interceptado.
Los usuarios pueden protegerse manteniendo actualizado el software de sus VPN. Además, cualquier dato que se transfiera no puede ser robado si un sitio web está configurado correctamente utilizando la protección de transporte estricto HTTP (HSTS) para utilizar siempre HTTPS como una capa adicional de protección. En estos días, alrededor del 25 por ciento de los sitios web se construyen de esta manera. Además, algunos navegadores ahora mostrarán una advertencia al usuario si no se utiliza HTTPS. Por último, pero no menos importante, aunque no siempre están libres de errores, la mayoría de las aplicaciones móviles actuales emplean HTTPS de forma predeterminada y, como resultado, también utilizan esta seguridad adicional.
Además de ser explotadas para atacar sitios web, las redes privadas virtuales (VPN) a veces defienden protocolos obsoletos o menos seguros, lo que presenta un peligro adicional. Estos ataques ahora hacen posible que un adversario eluda la seguridad proporcionada por una red privada virtual (VPN), lo que significa que los atacantes pueden apuntar a cualquier protocolo más antiguo o menos seguro que utilice la víctima, como RDP, POP, FTP, telnet, etc.
Ataques de red local
El adversario en un ataque de LocalNet finge ser una red Wi-Fi o Ethernet hostil y engaña a la víctima para que se una a su red mediante el uso de técnicas de ingeniería social. La clonación de un punto de acceso Wi-Fi conocido, como el que ofrece “Starbucks”, es un método sencillo para lograr este objetivo. Tan pronto como una víctima establece una conexión a esta red maliciosa, el atacante le asigna una dirección IP pública y una subred. Una ilustración de esto se puede ver en el siguiente gráfico; el objetivo del oponente en este caso es evitar que el tráfico llegue al sitio web target.com:
El sitio web target.com, que se puede ver en la imagen de la derecha, utiliza la dirección IP 1.2.3.4. El adversario convencerá a la víctima de que la red local está utilizando la subred 1.2.3.0/24 para interceptar el tráfico que se dirige hacia este sitio web. En otras palabras, se le dice a la víctima que las direcciones IP en el rango 1.2.3.1-254 son inmediatamente accesibles dentro de la red local. Se enviará una solicitud web a la dirección IP 1.2.3.4 si la víctima navega a target.com en este momento. La víctima enviará la solicitud web fuera del túnel VPN seguro porque cree que esta dirección IP está disponible de inmediato dentro de la red local.
Un adversario puede potencialmente filtrar prácticamente todo el tráfico de la víctima asignando subredes más grandes a la red local a la que tiene acceso. Además, aunque el objetivo principal del ataque LocalNet es enviar datos fuera del túnel VPN, también puede explotarse de tal manera que evite que pase parte del tráfico mientras la VPN está en funcionamiento.
Ataques de servidor IP
Para ejecutar un ataque ServerIP, el atacante debe tener la capacidad de suplantar las respuestas DNS antes de que se active la VPN, y también debe poder monitorear el tráfico que va al servidor VPN. Actuar como una red Wi-Fi o Ethernet hostil es una forma de lograr este objetivo; de manera similar a los ataques de LocalNet, esto también se puede hacer. Los ataques también pueden llevarse a cabo a través de un proveedor de servicios de Internet (ISP) que sea hostil o mediante un enrutador central de Internet que haya sido pirateado.
La premisa fundamental es que el atacante intentará hacerse pasar por el servidor VPN falsificando su dirección IP. Un atacante puede falsificar la respuesta DNS para tener una dirección IP diferente si, por ejemplo, el servidor VPN es reconocido por el nombre de host vpn.com pero su dirección IP real es 2.2.2.2. Una ilustración de esto se puede ver en la siguiente imagen, en la que el objetivo del adversario es interceptar la comunicación enviada hacia target.com, que tiene la dirección IP 1.2.3.4:
El atacante comienza falsificando la respuesta de DNS para vpn.com de modo que devuelva la dirección IP 1.2.3.4. Esta dirección IP es idéntica a la dirección IP de target.com. Para decirlo de otra manera, si desea filtrar tráfico hacia una determinada dirección IP, falsifica esa dirección. Después de eso, la víctima se conectará al servidor VPN que se encuentra en 1.2.3.4. Este tráfico luego es redirigido al servidor VPN real de la víctima por el adversario, quien hace esto para asegurarse de que la víctima aún pueda construir con éxito una conexión VPN. Como consecuencia de esto, la víctima aún puede construir con éxito el túnel VPN incluso si está utilizando la dirección IP incorrecta mientras se conecta al servidor VPN. Además de esto, la víctima implementará una regla de enrutamiento que dirigirá todo el tráfico destinado a 1.2.3.4 para que se enrute fuera del túnel VPN.
Ahora se realiza una solicitud web a 1.2.3.4 cada vez que la víctima navega a target.com en su navegador web. Esta solicitud se enruta fuera del túnel VPN seguro debido a la regla de enrutamiento que evita que los paquetes se vuelvan a cifrar cuando se envían al servidor VPN. Como consecuencia directa de ello, la solicitud web queda expuesta.
Este estudio descubrió que los clientes VPN integrados de Windows, macOS e iOS tenían fallas de seguridad. Las versiones de Android 12 y superiores no se ven afectadas por este problema. Una parte importante de las redes privadas virtuales (VPN) basadas en Linux también son susceptibles. Además, descubrieron que la mayoría de los perfiles de OpenVPN, cuando se usan con un cliente VPN que es susceptible a vulnerabilidades, utilizan un nombre de host para identificar el servidor VPN, lo que puede conducir a un comportamiento susceptible a vulnerabilidades.
Para mantener a los clientes seguros, trabajaron junto con CERT/CC y varios otros proveedores de VPN para desarrollar y lanzar actualizaciones de seguridad en el transcurso de un período de divulgación coordinado de noventa días. Mozilla VPN, Surfshark, Malwarebytes, Windscribe (que puede importar perfiles de OpenVPN) y WARP de Cloudflare son algunos ejemplos de VPN que se han actualizado con parches. Puede protegerse contra el ataque de LocalNet incluso si las actualizaciones para su VPN no están disponibles actualmente al apagar la conexión a su red local. Puede reducir aún más el riesgo de ataques asegurándose de que los sitios web utilicen HTTPS, un protocolo que es compatible con la mayoría de los sitios web en la actualidad.