Tag Archives: Actualización

Shellshock una crítica vulnerabilidad en sistemas Unix, Linux y MacOS

Desde hace un par de días hemos tenido entre nosotros (administradores de sistemas Unix, Linux y MacOS) una vulnerabilidad CRÍTICA, se ha conocido como Shellshock.  Consiste La vulnerabilidad permite la ejecución de código arbitrario en el bash al establecer variables de entorno específicos.

El Shellshock es aún más crítico que el Heartbleed, según algunos expertos se estiman que hay alrededor de 500 millones de servidores vulnerables globalmente, según indicó el Prof. británico Alan Woodward en la entrevista realizada por Dave Lee de la BBC.

Aunque la debilidad es catalogada menos grave que el heartbleed la cantidad de potenciales víctimas lo hacen muy grave.

bash2

¿Qué hacer?

1. Revisar qué equipos están vulnerables en tu entorno (hay que tomar en cuenta que es una herramienta experimental debido a lo reciente de la vulnerablilidad http://shellshock.brandonpotter.com/ )

2. Actualizar los sistemas de los equipos vulnerables (instrucciones paso a paso en inglés: http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an)

3. Permanecer alerta a cualquier información, ayer se pensaba que el problema había quedado solucionado y no fue así!

Mas información:

https://www.us-cert.gov/ncas/alerts/TA14-268A

http://blog.segu-info.com.ar/2014/09/faq-de-shellshock-exploit-rce-ddos-y.html

http://seguridad.ticbeat.com/shellshock-nuevo-fallo-seguridad-mas-grave-heartbleed/

http://www.bbc.com/news/technology-29361794

http://lcamtuf.blogspot.com.es/2014/09/quick-notes-about-bash-bug-its-impact.html

(53)

¿Qué salió mal en las actualizaciones de Microsoft?

microsoftHacia mucho tiempo que no veíamos un martes de actualizaciones que saliera tan mal para Microsoft el viernes de esa misma semana se liberó un grupo de paquetes reparando las actualizaciones del martes, no sólo eliminaron los 4 paquetes de actualizaciones sino que recomendaron a los usuarios desinstalar uno de ellos!

Ayer sacaron de nuevo la actualización,  pero anunciaron que tiene algunos errores, uno de ellos puede hacer que windows que inaccesible o desaparezca! 3 de los 4 parches siguen si arreglarse y 2 tienen la posibilidad de que windows se desaparezca 🙁

Pero ¿Qué puede estar detrás de estas actualizaciones erráticas e información incompleta y desactualizada? para algunos es que Windows 9 está en camino y quizás más rápido de lo esperado (http://www.gizmodo.com.au/2014/09/microsoft-just-accidentally-teased-windows-9/) y por ello han liberado parches que no fueron revisados con cuidado, sobretodo si tomamos en cuenta que una de las recomendaciones es actualiza a tiempo, mantén actualizado tus equipos!

Esperamos que este grupo de actualizaciones que aún siguen pendientes se liberen lo antes posible! Nuestra recomendación prueben los parches en un ambiente de pruebas!

Más información:

http://www.zdnet.com/what-went-wrong-with-microsofts-august-updates-7000033089/#ftag=RSSc6e0c33

http://www.infoworld.com/t/microsoft-windows/microsoft-re-releases-botched-windows-81-update-2-patch-kb-2975719-249663

http://www.gizmodo.com.au/2014/09/microsoft-just-accidentally-teased-windows-9/

http://www.networkworld.com/article/2464031/microsoft-subnet/microsoft-patches-2-critical-7-important-flaws-on-august-2014-update-tuesday.html

http://www.theregister.co.uk/2014/08/17/remond_cries_uninstall_in_the_wake_of_blue_screens_of_death/

http://www.theregister.co.uk/2014/08/18/microsoft_security_sanity_buster/

(75)

Alerta de vulnerabilidad en Microsoft Explorer

Microsotf ha publicado una vulnerabilidad en su navegador de Internet, el Microsoft Explorer, esta debilidad afecta a todas las versiones superiores a la 6 y permite la ejecución remota de código, un atacante podría acceder a un objeto eliminado en la memoria o que no ha sido asignado correctamente con lo que podría ejecutar el código dentro del contexto del navegador.Por ejemplo, un atacante podría construir una página ficticia, explotar la vulnerabilidad y llevar al usuario a esta página.

Microsoft ha indicado que está investigando la vulnerabilidad para indicar las acciones apropiadas para proteger a sus clientes, esta podría ser la aplicación de una parche en su boletín mensual de seguridad, o si lo amerita emitiendo un parche fuera de ciclo.

También se publicaron algunas medidas de mitigación de riesgo ante esta vulnerabilidad:

  • Por omisión, el Internet Explorer en el Windows 2003, 2008, 2008 R2, 2012, 2012 R2 server ejecutan un modo restringido llamado “Enhanced Security Configuration” Este modo baja el nivel de riesgo a esta vulnerabilidad
  • Por omisión, todas las versiones de Microsoft Outlook, Microsoft Outlook Express, y Windows Mail open HTML restrigen la zona que deshabilita los scripts y los controles ActiveX, esta medidas ayudan a reducir el riesgo de un atacante que intente ejecutar código malicioso.
  • Un atacante que logre explotar la vulnerabilidad tendrá los mismos permisos que el usuario que está utilizando el Explorer, por lo que si se aplica la regla de que sus usuarios sólo tengas los permsisos que necesitan el impacto será más bajo si el usuario no es administrador del equipo.

Para mayor información sobre la vulnerabilidad puedes ir al sitio de soporte técnico de Microsoft: https://technet.microsoft.com/en-us/library/security/2963983.aspx

Cabe destacar que Microsoft no actualizará las versiones de Explorer para Windows XP! quizás esta sea la primera de las consecuencias graves a nivel de seguridad para este sistema operativo sin soporte  aún ampliamente utilizado en computadoras a nivel mundial.

 

(33)

Por fiiin! D-Link cierra puerta trasera

d-linkEn Octubre de este año publicamos una entrada sobre el descubrimiento de una puerta trasera que afectaba a enrutadores D-link! una muy popular marca en nuestro país.

Ese post dejaba a nuestros usuarios pendientes de una actualización ya que no había para ese momento solución. Pero ya llegó!

D-Link ha publicado la actualización que cierra la posibilidad de un “user-agent” en el navegador colocaba la cadena: “xmlset_roodkcableoj28840ybtide” el sistema daba por autenticado a cualquiera!!! abriendo paso a cualquier interfaz de configuración del equipo.

Los enrutadores afectados son los siguientes: DIR-100, DIR-120, DI-524, DI-524UP, DI-604UP, DI-604+, DI-624S y TM-G5240.

Pueden revisar la entrada en nuestro blog que daba más detalles sobre la vulnerabilidad: http://blogs.ula.ve/seguridadtic/2013/10/17/tienes-enrutadores-d-link-revisa-si-debes-actualizarte/

Si tienes un enrutador de los mencionados anteriormente actualiza su firmware para que ya no sea vulnerable!!!

Aquí está el enlace oficial de D-Link: http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10001

Más info en:

http://www.pcworld.com/article/2068560/dlink-issues-fixes-for-firmware-backdoor-in-routers.html

http://nakedsecurity.sophos.com/2013/12/03/d-link-patches-joels-backdoor-security-hole-in-its-soho-routers/


(34)

Darlloz un gusano para Linux

gusano  DarllozKaoru Hayashi un investigador de Symantec escribió en su blog que descubrieron un nuevo gusano para dispositivos con sistema operativo Linux. Darlloz aprovecha una antigua vulnerabilidad en el lenguaje PHP que fue reparada en mayo de 2012.

Todo indica que  Darlloz está diseñado para apuntar al ‘Internet de las cosas’ atacando a un gran número de dispositivos como enrutadores, set-top-boxes, cámaras de seguridad o sistemas de control industrial.

Darlloz está basado en una prueba de concepto de octubre de 2013 y aunque de momento está limitado a equipos x86, ya alberga variantes para atacar arquitecturas ARM, PPC, MIPS y MIPSEL. Todavía no han sido confirmados ataques sobre PCs.

Aunque la cuota de Linux en el escritorio es limitado frente al dominio de Windows y los Mac OS X de Apple, se cuentan por centenares de millones otros dispositivos electrónicos que usan Linux fuera de ordenadores personales, lo que es desconocido generalmente por los usuarios. Sin embargo, es importante mantener al día todas las actualizaciones de PHP.

Una problema con este gusano es que al encontrarse en dispositivos y chips a los cuales el usuario o dueño del dispositivo no tiene acceso se imposibilita la actualización de las vulnerabilidades de PHP que ataca Darlloz!!! por lo tanto, Symantec recomendó:

  1. Verifica que todos tus dispositivos estén conectados a la red
  2. Actualízalos a su última versión
  3. Si es posible realiza las actualizaciones de seguridad disponibles
  4. Colocales contraseñas más fuertes
  5. Bloquea todas las peticiones HTTP POST a los siguientes enlaces para cada dispositivo sino son requeridos para el servicio que brindan:
  • /cgi-bin/php
  • /cgi-bin/php5
  • /cgi-bin/php-cgi
  • /cgi-bin/php.cgi
  • /cgi-bin/php4

 

Más información en:

http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices

http://thehackernews.com/2013/11/Linux-ELF-malware-php-cgi-vulnerability.html

http://www.muylinux.com/2013/12/03/darlloz-gusano-linux

http://muyseguridad.net/2013/12/02/gusano-darlloz-para-linux/

http://www.genbeta.com/seguridad/darlloz-el-gusano-para-linux-que-afecta-a-dispositivos-domesticos

http://ht.ly/rpAD4

(57)