30 de agosto de 2011

VULNERABILIDAD EN "ABAD" DE "SAP"

SAP Netweaver, plataforma de tecnología integrada para todas las aplicaciones SAP en el plano técnico, ha publicado un fallo en su producto ABAP a través del cual sería posible evadir restricciones.
Este fallo ha sido descubierto por Alexey Sintsov, miembro del grupo de investigación Digital security que ha creado un exploit disponible tanto en la versión comercial de ERPScan security scanner así como en la herramienta de pentesting ERPScan.
Detalles de la vulenrabilidad:
  1. Si un usuario tiene acceso a la función 'EPS_DELETE_FILE' le permitiría realizar un salto de restricciones y así eliminar ficheros remotamente escalando directorios.
  2. También apoderarse de los hashes de las contraseñas SAP en un servidor Windows, a través de un ataque SMB Relay y llamadas a la función 'EPS_DELETE_FILE' especialmente manipuladas. El atacante se ayudaría de las cuentas de usuario por defecto: TMSADM o SAPCPIC.
Recomendaciones:
  • Por otro lado SAP ha publicado los parches necesarios para poder corregir esta vulnerabilidad en la SAP Security Note 1554030.
Fuente: Hispasec

CIERRE TEMPORAL DEL SITE DE DESARROLLADORES DE "Nokia"

Nokia ha clausurado temporalmente su web para desarrolladores después de que un ciberataque accediera a datos personales de sus miembros.

Consecuencias del ataque:
  • Responsables del área de seguridad de Nokia han reconocido que los atacantes han conseguido acceder a “una base de datos con las direcciones de email de los miembros del foro de desarrolladores”.
  • Aunque los mismos responsables han negado que datos más sensibles, como contraseñas o información bancaria, se vieran comprometidos y aseguran que por el momento no han tenido constancia de que los hackers estén haciendo “un uso indebido” de los datos robados.
  • Además de las direcciones de correo electrónico los hackers también han accedido aunque en menor proporción a fechas de nacimiento, direcciones web o nombres de usuario de plataformas como MSN, Skype o Yahoo.

Detalles del ataque:
  1. El ataque se produjo mediante una inyección SQL que fue posible gracias a la existencia de una vulnerabilidad en el software.
  2. Los usuarios que visitaron la web atacada eran redirigidos a otra página en la que se mostraba una imagen de Homer Simpson con el subtítulo: “¡La compañía móvil número uno del mundo no gasta un centavo para la seguridad del servidor!”

Recomendaciones:
  • En cualquier caso la compañía se está poniendo en contacto con los desarrolladores afectados para advertirles de que pueden ser objeto de ataques de phising y campañas de spam.
Fuente: The Inquirer

28 de agosto de 2011

NUEVO MALWARE QUE ATACA LA ULTIMA VERSIÓN DE "Android"

Expertos en seguridad descubrieron un malware llamado GingerMaster que utiliza una vulnerabilidad descubierta en la última versión de Android para entrar en los smartphones y tomar el control.

Descripción del malware GingerMaster:
  • Se trata de una variante del malware conocido como DroidKungFu, descubierto el pasado mes de junio.
  • El profesor Xuxian Jiang de la Universidad de Carolina del Norte, explicó que si el malware consigue entrar en los teléfonos es capaz de hacerse con privilegios root, descargar e instalar otras aplicaciones maliciosas sin permiso del usuario y enviar los datos almacenados en el terminal a servidores remotos.
Funcionamiento del malware GingerMaster:
  • Como viene siendo habitual en las amenazas diseñadas para infectar dispositivos Android, este malware se camufla en aplicaciones legítimas distribuidas en China y logra pasar desapercibido para los programas de detección de virus.
  • Además de atacar a los teléfonos gobernados por Gingerbread, este malware también tiene capacidad para atacar smartphones con versiones 2.2 y anteriores.
  • Una vez que el usuario cae en la trampa y descarga este tipo de aplicaciones infectadas se le piden hasta 16 permisos para acceder a la tarjeta SD, al sistema de archivos o a datos del propietario. Si accede está dando vía libre al malware para “entrar hasta la cocina” de su teléfono, por lo que una vez más los expertos destacan la importancia de leer detenidamente los permisos.
Recomendaciones:
  • No existe actualizaciones hasta el momento que solucionen el problema.
Fuente: Eweek

27 de agosto de 2011

VULNERABILIDAD TIPO "DDoS" EN APACHE

Publicado exploit que provocaría denegación de servicio en todas las versiones de Apache.
  • Lo cual provocaría la caída del servicio a los servidores web Apache con la configuración por defecto.
  • El responsable del descubrimiento ha sido Kingcope, que ha dado todos los detalles técnicos sin avisar previamente aunque en realidad el fallo se conocía desde 2007.
Detalles de la vulnerabilidad:
  • La vulnerabilidad que se encuentra en el módulo mod_deflate, consiste en el agotamiento de recursos al crear múltiples peticiones con la cabecera Range manipulada.
  • "mod_deflate" es un módulo empleado por Apache para comprimir contenido antes de ser devuelto al cliente. Este módulo es instalado y habilitado por defecto en la instalación base de Apache.
  • No existe parche oficial por parte de Apache aunque sí que se han hecho públicos diferentes métodos para mitigar el ataque y la promesa de un parche en 48 horas (lo que acumularía una semana tras el aviso).
Recomendaciones:
  1. Se recomienda seguir las contramedidas que describe Apache, disponibles en la dirección:
http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/%3c20110824161640.122D387DD@minotaur.apache.org%3e

Fuente: Hispasec

VULNERABILIDAD EN phpMyAdmin

El software PhpMyAdmin para la administración de bases de datos MySQL, es vulnerable a ataque cross site scripting.
  • El equipo de phpMyAdmin ha publicado una alerta informando de un fallo en la funcionalidad "structure snapshot" al no realizar correctamente la validación de los datos pasados a través de los parámetros tabla, columna e índice.
  • Esta vulnerabilidad podría permitir que un atacante remoto ejecutase código JavaScript a través de una URL especialmente manipulada y obtener la cookie de sesión del administrador por ejemplo.
Detalle de la vulnerabilidad:
  • La víctima debe usar Internet Explorer (versiones menores o iguales a la 8), para ejecutar código JavaScript a través de la funcionalidad de exportación de seguimiento, (tracking export, en tbl_tracking.php).
  • La funcionalidad de seguimiento de informe, tracking report, también es vulnerable a otro XSS aunque en este caso, la explotación implica un token válido para poder realizar la manipulación de los parámetros de la URL.
  • Por tanto, el atacante requiere de acceso a la base de datos de la víctima además de los permisos CREATE o ALTER TABLE. También debe poder habilitar la funcionalidad de seguimiento.
Recomendaciones:
  • Se recomienda la actualización a las versiones 3.3.10.4 o 3.4.4, o bien aplicar los diferentes parches listados en la web de phpMyAdmin.
Fuente: Hispasec

18 de agosto de 2011

¿ NUEVOS FALLOS EN ANDROID ?

Un experto en seguridad de dispositivos móviles afirma haber encontrado varios fallos nuevos de seguridad en el sistema operativo Android de Google aunque descartaron presentar su investigación en público.

Riley Hassel, que causó revuelo cuando canceló su aparición en una conferencia de piratas informáticos la semana pasada, ha asegurado que él y su colega Shane Macaulay decidieron no presentar su investigación en el encuentro por miedo a que los delincuentes la usaran para atacar los teléfonos Android.

El portavoz de Google, Jay Nancarrow, ha comentado que los expertos en seguridad de Android habían discutido la investigación con Hassell y no creían que hubiese problemas en Android. "Los fallos identificados no están presentes en Android", ha respondido.

Fuente: www.abc.es

15 de agosto de 2011

EJECUCIÓN REMOTA DE CÓDIGO EN “BlackBerry Enterprise Server”

BlackBerry ha lanzado actualización que solventa 5 vulnerabilidades críticas en BlackBerry Enterprise Server que podrían permitir que un ciberdelincuente ejecutase código arbitrario mediante imágenes PNG ó TIFF manipuladas.

Los CVE de las vulnerabilidades, identificados con una puntuación CVSS de 10.0 (críticos), son: CVE-2010-1205, CVE-2010-3087, CVE-2010-2595, CVE-2011-0192 y CVE-2011-1167.

Componentes afectados:

  1. Servicio de conexión BlackBerry MDS que gestiona las conexiones TCP/IP y HTTP entre aplicaciones BlackBerry, tanto si residen en servidores empresariales, Web o de bases de datos. La vulnerabilidad se activaría al procesar las imágenes TIFF o PNG especialmente manipuladas incluidas en una página web.
  2. Agente BlackBerry Messaging encargado de la gestión del correo electrónico. El agravante en este caso es que no haría falta la interactuación del usuario, ni siquiera abrir un email, para explotar la vulnerabilidad. El código malicioso se ejecutará automáticamente ya que previamente el agente lo procesa en la recepción y se activa al cargar las imágenes TIFF o PNG especialmente manipuladas.

Versiones afectadas y solución ofrecida:

La actualización corrige dichas vulnerabilidades con una nueva versión de la librería 'image.dll' para las ediciones de Enterprise Server afectadas:

  • BlackBerry Enterprise Server Express versión 5.0.1 a 5.0.3 para Microsoft Exchange
  • BlackBerry Enterprise Server Express versión 5.0.2 y 5.0.3 para IBM Lotus Domino
  • BlackBerry Enterprise Server versión 5.0.1 y 5.0.2 para Microsoft Exchange y IBM Lotus Domino
  • BlackBerry Enterprise Server versión 5.0.3 para Microsoft Exchange y IBM Lotus Domino
  • BlackBerry Enterprise Server versión 4.1.7 para Novell GroupWise
  • BlackBerry Enterprise Server versión 5.0.1 para Novell GroupWise

Recomendaciones:

Se recomienda descargar la actualización correspondiente según la versión afectada , después de consultar el aviso publicado en:

http://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27244

Fuente: Hispasec

14 de agosto de 2011

UNA EMPRESA ALEMANA HACKEA LAS CONEXIONES “GPRS “

Expertos de Security Research Labs han desarrollado un software que aprovechando que las conexiones GPRSno están cifradas, espían los datos que se transmiten a través de ellas.

Se trata de un proyecto dirigido por el ingeniero alemán Karsten Nohl que tiene como objetivo alertar a las operadoras de telefonía móvil de las deficientes medidas de seguridad de sus redes.

  • Con tan sólo un viejo Motorola de 10 euros configurado de manera especial y algunas aplicaciones gratuitas, Nohl ha inventado un software que puede acceder al tráfico que transmite un usuario vía GPRS.
  • El ingeniero y su equipo de Security Research Labs probaron con éxito su programa en redes alemanas como T-Mobile, O2, Vodafone y E-Plus, o italianas, como es el caso de Telecom Italia y Wind.

En las conclusiones de las investigaciones se advierte que las operadoras prefieren no cifrar los datos que se transmiten por GPRS ya que esa forma pueden controlar el tráfico, filtrar virus y evitar que un usuario emplee Skype.

  • Los expertos alemanes afirman que con un interceptor GPRS cualquier hacker podría leer nuestros correos eléctronicos, saber nuestras actualizaciones en Facebook, las webs que visitamos…
  • Por último, explican que la tecnología que han empleado para hackear las redes les permite recoger los datos que se transmitan mediante GPRS en un radio de 5 km.

Más información en eWeek

Fuente: The Inquirer