25 de diciembre de 2013

Proyecto NEMESYS

Dentro del marco de la Unión Europea se ha creado un grupo de trabajo, formado por varias empresas e instituciones públicas,del cual forma parte la empresa española Hispasec.

 El proyecto denominado NEMESYS, nombre en clave de "Enhaced Network Security for Seamless Service Provisioning in the Smart Mobile Ecosystem". Tiene como objetivo el análisis de las amenazas sobre redes móviles, desde su infraestructura hasta el usuario final. Para ello se está creando una arquitectura que ayude a estudiar y analizar las diversas amenazas actuales y futuras de cara a dar una respuesta adecuada optimizando las defensas actuales, mejorándolas o implementando nuevas tecnologías fruto de la investigación.
El consorcio de empresas e instituciones está compuesto por el Imperial College de Londres, Telecom Italia, TUB Berlín, Cosmote Grecia, el instituto de tecnologías de la información de Grecia e Hispasec.
 El proyecto que  comenzó hace casi un año y ya ha dado sus primeros frutos en forma de publicación de diverso material disponible desde el sitio oficial del consorcio, http://www.nemesys-project.eu/nemesys/results/index.html
Contribuciones de Hispasec
  • Entre otras contribuciones, consiste en el diseño e implementación de un sistema de detección, recolección, análisis automático y almacenamiento de malware y ataques sobre plataformas móviles.
  • Como resultado de estos avances está la actualización que Hispasec liberó el pasado septiembre para el proyecto DroidBox en la cual extiende su compatibilidad dando soporte a la versión 4.1 del sistema operativo Android.
Fuente:  Hispasec

Uno de los cifrados más seguros, roto por uno de sus creadores

Tres investigadores, entre ellos el coautor del mismo, descubren la manera de deducir la clave criptográfica de los sonidos que emite el procesador del ordenador

Está considerado uno de los métodos de cifrado más seguros que existen. RSA-4096 es el estándar de facto para compartir información de forma confidencial en un medio inseguro. Pero un grupo de investigadores, entre los que está uno de sus creadores originales, ha encontrado una técnica poco convencional de romperlo mediante ‘criptoanálisis acústico’. Es decir, interpretando los sonidos que genera uno de los ordenadores implicados en la comunicación privada.

Adi Shamir (su apellido pone la ‘S’ en RSA) y otros dos investigadores israelís han estudiado los sonidos que emiten los procesadores de algunos ordenadores portátiles cuando están cifrando o descifrando una información. Y han encontrado una serie de patrones que les permite encontrar, en aproximadamente una hora, la clave de criptográfica que utiliza. Es decir, deducen el código que permite convertir una serie de mensajes ininteligibles en datos en limpio.

«Muchos ordenadores emiten un sonido de alta frecuencia causado por vibraciones en algunos de sus componentes electrónicos. Estas emanaciones acústicas representan más que una pequeña molestia: pueden incorporar información sobre el software en ejecución en el ordenador, y filtrar información sensible», explican los investigadores en un artículo.

«Hemos demostrado experimentalmente que se puede llevar a cabo un ataque de este tipo, usando unteléfono móvil situado justo al lado del ordenador, o con un micrófono más sensible a una distancia de cuatro metros», aseguran los científicos. Aunque para el usuario normal esto es –más o menos– irrelevante, puede representar un grave peligro para los que protegen sus comunicaciones de esta manera. Un potencial atacante solo tendría que situar un micrófono a la distancia requerida y captar el sonido.

Además del método acústico, los investigadores han descubierto que puede usarse una técnica similar se puede utilizar midiendo los cambios en el potencial eléctrico de la carcasa de un ordenador. Los cambios son sutiles, pero, explican, suficientemente cíclicos como para poder determinar la clave.

Fuente: Innova

ASTERISK. Boletines de seguridad

Asterisk ha publicado los boletines AST-2013-006 y AST-2013-007 que solucionan dos vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio o elevar sus privilegios.
 Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

Recursos afectados
Ambos problemas afectan a Asterisk Open Source 1.8.x en adelante y las ramas 10.x y 11.x, Certified Asterisk 1.8.x y 11.x. 
Detalle e impacto potencial de las vulnerabilidades corregidas
  • La vulnerabilidad AST-2013-006 se origina en el desbordamiento de búfer producido por el tratamiento de mensajes SMS de 16 bits con un valor de longitud específicamente manipulado. 
  • La segunda vulnerabilidad AST-2013-007, podría permitir que un usuario remoto autenticado accediese a funciones dialplan a través de protocolos de control externos y provocar que determinadas funciones dialplan modifiquen archivos arbitrarios o ejecutar comandos arbitrarios en los sistemas afectados.
Recomendación
  •  Se han publicado las versiones Asterisk Open Source 1.8.24.1, 10.12.4, 11.6.1; Certified Asterisk 1.8.15-cert4, 11.2-cert3 y Asterisk with Digiumphones 10.12.4-digiumphones que solucionan dichos problemas.
Más información:
Fuente: Hispasec

SIEMENS. Escalada de privilegios en COMOS


Vulnerabilidad  de escalada de privilegios en la aplicación de base de datos Siemens COMOS, catalogada con importancia alta

Recursos afectados
  • Todas las versiones de COMOS anteriores a 9.2
  • COMOS 9.2: Todas las versiones anteriores a V092_Upd08_Patch001 (9.2.0.8.1)
  • COMOS 10.0: Todas las versiones anteriores a V100_SP03_Upd01_Patch040 (10.0.3.1.40)
  • COMOS 10.1: Todas las versiones anteriores a V101_Patch002 (10.1.0.0.2)
Detalle eImpacto de la vulnerabilidad
  • La vulnerabilidad en la aplicación cliente COMOS permitiría a un atacante realizar un escalado de privilegios en la base de datos, usando la interfaz gráfica de usuario COMOS. Esta interfaz está preparada para usuarios locales autenticados con el objetivo de acceder a la base de datos a través de la aplicación cliente.
  • El atacante necesitaría acceso local como un usuario autenticado para explotar esta vulnerabilidad.
Recomendación
Más Información
Fuente:  Inteco

RED HAT Corregidas múltiples vulnerabilidades

Red Hat ha corregido múltiples vulnerabilidades que afectaban al kernel y a las librerías de Network Security Services (NSS). La vulnerabilidad ha sido catalogada con importancia alta.
Recursos afectados
  • Los sistemas afectados por el aviso RHSA-2013-1801-01 son los distintos productos de la línea Red Hat Enterprise Linux 6.
  • Los sistemas afectados por el aviso RHSA-2013:1840-01 son: Red Hat Enterprise Linux 6.2, 6.3, y 6.4 Extended Update Support.
  • Los sistemas afectados por el aviso RHSA-2013:1841-01 son: Red Hat Enterprise Linux 5.3 Long Life, and Red Hat Enterprise Linux 5.6 and 5.9 Extended Update Support.
Detalle e Impacto potencial de las vulnerabilidades corregidas 
La actualización del kernel (aviso RHSA-2013:1801-01) corrige las siguientes vulnerabilidades:
  1. CVE-2013-4470: que puede provocar denegación de servicio por una incorrecta gestión de paquetes UDP.
  2. CVE-2013-6367: mediante el cual se puede provocar una caída del sistema, debido a una división por cero en la implementación de KVM LAPIC.
  3. CVE-2013-6368: que puede provocar la caída del sistema o escalado de privilegios debido a una corrupción de memoria en KVM.
  4. CVE-2013-2141: que podría permitir fugas de memoria por un fallo en el kernel de Linux.
  5. Las actualizaciones asociadas a los avisos RHSA-2013:1840-01 y RHSA-2013:1841-01 corrigen una vulnerabilidad (CVE-2013-5605) en las librerías de Network Security Services (NSS) que permitía a atacantes remotos causar la caída de un cliente TLS/SSL que utilizase NSS, o posiblemente ejecutar código arbitrario con privilegios del usuario ejecutando la aplicación.
Recomendación
  • Red Hat ha puesto disponibles actualizaciones que corrigen cada una de las vulnerabilidades mencionadas. Se pueden consultar más detalles sobre cómo aplicar estas actualizaciones en https://access.redhat.com/site/articles/11258
Más información
Fuente:  Inteco

APPLE MOTION. Actualización de seguridad

Apple ha publicado una actualización para Motion 5 destinada a corregir una vulnerabilidad que podría permitir a un atacante remoto tomar el control de los sistemas afectados.
Motion 5 es una aplicación de Apple destinada a la creación de animaciones en 2D o 3D, transiciones y efectos para las ediciones de vídeo.
 Recursos afectados
  •  Apple Motion versión 5
Detalle e Impato potencial de la vulnerabilidad corregida
  • La vulnerabilidad con CVE-2013-6114 provocada por el desbordamiento de entero en el tratamiento de archivos ".motn", podría permitir a un atacante remoto lograr ejecutar código arbitrario en los sistemas afectados.
Recomendación
Más información
About the security content of Motion 5.1 http://support.apple.com/kb/HT6041
Fuente:  Hispasec

REALPLAYER. Ejecución remota de código

Se ha anunciado una nueva vulnerabilidad en RealPlayer que podría permitir a un atacante remoto comprometer los sistemas afectados.
 La vulnerabilidad con CVE-2013-6877, tiene su origen en el desbordamiento de búfer por el  tratamiento de archivos RMP (RealPlayer Metadata Package). Esta vulnerabilidad podría permitir a un atacante remoto lograr la ejecución de código arbitrario si un usuario abre un archivo específicamente creado.

Recursos afectados
  • Se ven afectadas las versiones RealPlayer v16.0.2.32 y RealPlayer v16.0.3.51.
  • El equipo de Real Player ha anunciado la inminente publicación de una nueva versión en la que se solucionará el problema de la forma más sencilla posible, eliminando el soporte de archivos RMP.
Más información:
RealPlayer Heap-based Buffer Overflow Vulnerability http://www.coresecurity.com/advisories/realplayer-heap-based-buffer-overflow-vulnerability
Fuente:  Hispasec

WIRESHARK. Nuevos Boletines de seguridad

Wireshark Foundation ha publicado boletines de seguridad que solucionan tres vulnerabilidades en Wireshark. Afectan a las ramas 1.10 y 1.8.
 Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes muy popular que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se encuentra disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Los boletines publicados solucionan diversos errores relacionados con distintos disectores, que podrían ser aprovechados para provocar una denegación de servicio. Esto podría ser llevado a cabo por un atacante que podría inyectar paquetes maliciosos en la red o engañando a un usuario para que lea ficheros de captura de tráfico de red maliciosos.

Recomendación
  • Se recomienda actualizar a versiones 1.8.12 ó 1.10.4
Más información:
Fuente:  Hispasec

APPLE SAFARI Actualización de seguridad

Apple ha publicado una actualización de seguridad para su navegador Safari (versión 6.1.1 y 7.0.1) que solventa diversas vulnerabilidades que podrían ser aprovechadas por un atacante remoto para obtener información sensible o lograr el compromiso de los sistemas afectados.
 Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista.
Detalle e Impacto de las vulnerabilidades corregidas
  • Se ha corregido una vulnerabilidad (CVE-2013-5227) relacionada con el autocompletado de nombres de usuarios y contraseñas, que podría permitir a un atacante obtener información de las credenciales de un usuario.
  •  Por otra parte se solucionan ocho vulnerabilidades relacionadas con WebKit que podrían dar lugar a denegaciones de servicio o permitir la ejecución remota de código. Los CVE asociados son CVE-2013-2909, CVE-2013-5195, CVE-2013-5196, CVE-2013-5197, CVE-2013-5198, CVE-2013-5199, CVE-2013-5225 y CVE-2013-5228.
Recomendación
Se recomienda actualizar a las versiones 6.1.1 o 7.0.1 de Safari para Mac OS X desde las actualizaciones automáticas de Apple, o en descarga manual desde http://support.apple.com/downloads/#safari
Más información :
Fuente:  Hispasec

MySQL 5.5. Actualización de seguridad para Debian Linux

Debian ha lanzado una actualización para la base de datosMySQL en la cual corrige múltiples vulnerabilidades y un par de errores de seguridad limitados a Debian.
 Entre los fallos corregidos se encuentran vulnerabilidades que podrían causar denegación de servicio y revelación de información sensible a un atacante autenticado (con cuenta en la base de datos) a través de múltiples vectores
Recomendación
  •  Los paquetes para la versión estable (wheezy) e inestable (sid) se han publicado en los repositorios correspondientes con la salvedad de que los dos problemas específicos de Debian serán corregidos más adelante para la versión inestable.
  •  Durante el proceso de actualización, según Debian, no se modifican las bases de datos existentes ni sus permisos.
Más información:
Fuente:  Hispasec

IBM Lotus iNotes . Vulnerabilidades tipo Cross-Site Scripting

Se han reportado tres vulnerabilidades en IBM Lotus iNotes 8.5.x y 9.0 que atacantes remotos podrían aprovechar para realizar ataques  cross-site scripting.
 IBM iNotes (anteriormente conocido como IBM Lotus iNotes) es una versión basada en web del cliente de Notes, incluyendo todas sus funciones. iNotes proporciona acceso desde el navegador al correo electrónico, el calendario y los contactos de Notes, así como el acceso a las aplicaciones y herramientas empresariales.
Detalle e Impacto de las vulnerabilidades
  •  La primera vulnerabilidad con CVE-2013-4063, se  origina  en el tratamiento del contenido activo en mensajes email.
  •  La segunda vulnerabilidad con CVE-2013-4064, en el modo ultra-light de iNotes  podría permitir la realización de ataques de cross-site scripting persistente.
  •  Y una tercera vulnerabilidad , con  CVE-2013-4065, también en el modo ultra-light de iNotes podría permitir la realización de ataques de cross-site scripting reflejado.
  • En todos los casos los problemas podrían permitir a un atacante remoto dejar al descubierto los datos personales del usuario
 Recomendación
IBM ha publicado las actualizaciones necesarias en IBM Domino 9.0.1:
  1. información sobre como descargar esta versión http://www-01.ibm.com/support/docview.wss?uid=swg24035441
  2.  Y en IBM Domino 8.5.3 Fix Pack 6, disponible desde http://www-01.ibm.com/support/docview.wss?uid=swg24032242
Más información:
 IBM iNotes Cross-Site Scripting Vulnerabilities (CVE-2013-4063, CVE-2013-4064, CVE-2013-4065) http://www-01.ibm.com/support/docview.wss?uid=swg21659959
Fuente: Hispasec