Tag Archives: vulnerabilidad

Conficker otra vez!!!

Hace 8 años, el 21 de noviembre de 2008 Conficker dió un duro golpe y desde entonces anda suelto y no ha habido forma de eliminarlo completamente!.

Recordemos que Conficker se dirige a los equipos con sistema operativo Windows y compromete sus carpetas “home”. Alrededor de 190 países reportaron infecciones tanto en el entorno público cómo el privado. Conficker además de vulnerar diferentes versiones de windows se ha propagado utilizando diferentes métodos, inyecciones de código malicioso, phishing con adjuntos infectados y vulnerabilidades de parcheo que craquean las contraseñas de windows y las incluye en redes de embotellamiento. Se estima que hay alrededor de 11 millones de equipos infectados en la actualidad. En la Universidad las formas más comunes de infección han sido por el phishing y a través de las carpetas compartidas en la red.

Desde la DTES hemos indicado en varias ocasiones de los riesgos que se tienen al momento de compartir archivos de windows entre diferentes dependencias ya que una máquina infectada puede propagar el gusano de forma simultánea a muchas áreas de la Institución por lo que instamos a revisar esas carpetas compartidas y tratar en lo posible de no usar esta práctica de forma diaria.

Recientemente desde VenCERT hemos recibido notificaciones de equipos en la Universidad infectados con este molesto gusano por lo que les recomendamos descargar esta herramienta de ESET para eliminarlo.

 

(12)

Shellshock una crítica vulnerabilidad en sistemas Unix, Linux y MacOS

Desde hace un par de días hemos tenido entre nosotros (administradores de sistemas Unix, Linux y MacOS) una vulnerabilidad CRÍTICA, se ha conocido como Shellshock.  Consiste La vulnerabilidad permite la ejecución de código arbitrario en el bash al establecer variables de entorno específicos.

El Shellshock es aún más crítico que el Heartbleed, según algunos expertos se estiman que hay alrededor de 500 millones de servidores vulnerables globalmente, según indicó el Prof. británico Alan Woodward en la entrevista realizada por Dave Lee de la BBC.

Aunque la debilidad es catalogada menos grave que el heartbleed la cantidad de potenciales víctimas lo hacen muy grave.

bash2

¿Qué hacer?

1. Revisar qué equipos están vulnerables en tu entorno (hay que tomar en cuenta que es una herramienta experimental debido a lo reciente de la vulnerablilidad http://shellshock.brandonpotter.com/ )

2. Actualizar los sistemas de los equipos vulnerables (instrucciones paso a paso en inglés: http://apple.stackexchange.com/questions/146849/how-do-i-recompile-bash-to-avoid-shellshock-the-remote-exploit-cve-2014-6271-an)

3. Permanecer alerta a cualquier información, ayer se pensaba que el problema había quedado solucionado y no fue así!

Mas información:

https://www.us-cert.gov/ncas/alerts/TA14-268A

http://blog.segu-info.com.ar/2014/09/faq-de-shellshock-exploit-rce-ddos-y.html

http://seguridad.ticbeat.com/shellshock-nuevo-fallo-seguridad-mas-grave-heartbleed/

http://www.bbc.com/news/technology-29361794

http://lcamtuf.blogspot.com.es/2014/09/quick-notes-about-bash-bug-its-impact.html

(53)

Fallo en OAuth y OpenID

Luego del fallo de corazón sangrante o HeartBleed, nos llega un nuevo fallo grave, esta vez en las herramientas del proceso de login OAuth y OpenID las cuales son utilizadas por muchos grandes cómo: Google, Facebook, Microsoft, and LinkedIn, entre otros.

 

oauth

El estudiante de doctorado Wang Jing, del Instituto de Tecnologías Nanyang de Singapur descubrió esta seria vulnerabilidad de Redirección encubierta (Covert redirect) basado un parámetro de explotación muy conocido.

Por ejemplo, alguien realizando un click en un enlace de phishing será dirigido a un enlace o pop-up en Facebook preguntándole si desea aprobar el uso de esta aplicación. En lugar de usar un dominio falso usarán un sitio de real! Si el usuarioelige autorizar el login los datos serán enviados al atacante en lugar del sitio legítimo, estos datos varían entre: dirección de correo, lista de contactos, fecha de nacimiento y hasta datos de cuenta como contraseña.

Independientemente de la elección de la víctima en cuanto a la autorización de la app serán re-dirigidos al sitio web que el atacante escoge, por lo que podría exponer más aún al usuario.

Wang indicó que ya ha contactado a Facebook, Google, LinkedIn y Microsoft, quienes han respondido sobre las diferentes estrategias que utilizarán para minimizar el daño del fallo y buscar lo más pronto posible una solución.

openID

 

 

 

 

Fuente: http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/#ftag=CAD590a51e

(64)

Por fiiin! D-Link cierra puerta trasera

d-linkEn Octubre de este año publicamos una entrada sobre el descubrimiento de una puerta trasera que afectaba a enrutadores D-link! una muy popular marca en nuestro país.

Ese post dejaba a nuestros usuarios pendientes de una actualización ya que no había para ese momento solución. Pero ya llegó!

D-Link ha publicado la actualización que cierra la posibilidad de un “user-agent” en el navegador colocaba la cadena: “xmlset_roodkcableoj28840ybtide” el sistema daba por autenticado a cualquiera!!! abriendo paso a cualquier interfaz de configuración del equipo.

Los enrutadores afectados son los siguientes: DIR-100, DIR-120, DI-524, DI-524UP, DI-604UP, DI-604+, DI-624S y TM-G5240.

Pueden revisar la entrada en nuestro blog que daba más detalles sobre la vulnerabilidad: http://blogs.ula.ve/seguridadtic/2013/10/17/tienes-enrutadores-d-link-revisa-si-debes-actualizarte/

Si tienes un enrutador de los mencionados anteriormente actualiza su firmware para que ya no sea vulnerable!!!

Aquí está el enlace oficial de D-Link: http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10001

Más info en:

http://www.pcworld.com/article/2068560/dlink-issues-fixes-for-firmware-backdoor-in-routers.html

http://nakedsecurity.sophos.com/2013/12/03/d-link-patches-joels-backdoor-security-hole-in-its-soho-routers/


(34)

Darlloz un gusano para Linux

gusano  DarllozKaoru Hayashi un investigador de Symantec escribió en su blog que descubrieron un nuevo gusano para dispositivos con sistema operativo Linux. Darlloz aprovecha una antigua vulnerabilidad en el lenguaje PHP que fue reparada en mayo de 2012.

Todo indica que  Darlloz está diseñado para apuntar al ‘Internet de las cosas’ atacando a un gran número de dispositivos como enrutadores, set-top-boxes, cámaras de seguridad o sistemas de control industrial.

Darlloz está basado en una prueba de concepto de octubre de 2013 y aunque de momento está limitado a equipos x86, ya alberga variantes para atacar arquitecturas ARM, PPC, MIPS y MIPSEL. Todavía no han sido confirmados ataques sobre PCs.

Aunque la cuota de Linux en el escritorio es limitado frente al dominio de Windows y los Mac OS X de Apple, se cuentan por centenares de millones otros dispositivos electrónicos que usan Linux fuera de ordenadores personales, lo que es desconocido generalmente por los usuarios. Sin embargo, es importante mantener al día todas las actualizaciones de PHP.

Una problema con este gusano es que al encontrarse en dispositivos y chips a los cuales el usuario o dueño del dispositivo no tiene acceso se imposibilita la actualización de las vulnerabilidades de PHP que ataca Darlloz!!! por lo tanto, Symantec recomendó:

  1. Verifica que todos tus dispositivos estén conectados a la red
  2. Actualízalos a su última versión
  3. Si es posible realiza las actualizaciones de seguridad disponibles
  4. Colocales contraseñas más fuertes
  5. Bloquea todas las peticiones HTTP POST a los siguientes enlaces para cada dispositivo sino son requeridos para el servicio que brindan:
  • /cgi-bin/php
  • /cgi-bin/php5
  • /cgi-bin/php-cgi
  • /cgi-bin/php.cgi
  • /cgi-bin/php4

 

Más información en:

http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices

http://thehackernews.com/2013/11/Linux-ELF-malware-php-cgi-vulnerability.html

http://www.muylinux.com/2013/12/03/darlloz-gusano-linux

http://muyseguridad.net/2013/12/02/gusano-darlloz-para-linux/

http://www.genbeta.com/seguridad/darlloz-el-gusano-para-linux-que-afecta-a-dispositivos-domesticos

http://ht.ly/rpAD4

(57)