7 de agosto de 2014

CHINA. Prohíbe los antivirus Kaspersky y Symantec en computadores oficiales

La medida del régimen comunista chino se produce en medio de una campaña contra el ciberespionaje.
El Gobierno de China ha decidido excluir a las firmas estadounidenses Kaspersky y Symantec, líderes mundiales en la fabricación de antivirus informáticos, de la lista de proveedores autorizados para los ordenadores de instituciones oficiales en el país, informó este martes el diario oficialista China Daily.
La medida contra Symantec (líder en el mercado chino en 2013) y Kaspersky (quinta en la misma clasificación) se produce en medio de una campaña del régimen comunista contra el ciberespionaje, a raíz del caso Edward Snowden. En mayo, por el mismo motivo, China prohibió la instalación del nuevo sistema operativo Windows 8 en todos los ordenadores oficiales.
Según el diario estatal, la medida también busca fomentar las marcas locales, cinco de las cuales sí están incluidas en la nueva lista de suministradores autorizados (Qihoo 360, Venustech, CAJinchen, Jiangmin y Rising).
En el año 2013, sólo esta última estaba en el "top 5″ de los antivirus más utilizados en el mercado chino (incluyendo también ordenadores privados), donde más del 25 por ciento de los aparatos utilizaron programas de seguridad de Symantec.
Fuente: Agencias

PIRATARÍA. Hackers rusos han robado más de 1.200 millones de credenciales

La empresa de seguridad informática Holden Security informa que un grupo de hackers rusos ha podido robar más de 1.200 millones de credenciales (usuarios y contraseñas) junto a más de medio millón de cuentas de correo electrónico de diferentes páginas web de todo el mundo. Aunque probablemente las contraseñas se encontraran cifradas, los piratas informáticos intentarán descifrarlas para obtener el acceso y el control de las cuentas.
Holden Security es una compañía prestigiosa en el rubro de la seguridad informática. Se le atribuye el descubrimiento de grandes vulnerabilidades en software de Adobe en octubre de 2013, como asimismo otras incidencias de alcance internacional.
La empresa indica que las consecuencias del ataque podrían ser de largo plazo. En su blog, Holden Security escribe “ya sea usted un experto o un tecnófobo, si sus datos están en la World Wide Web, usted podría verse afectados por esta situación”. Según la empresa, la única forma de eludir el problema es no utilizando direcciones de correo electrónico como identificación para inicios de sesiones online. “Sus datos no necesariamente han sido robados a usted directamente, sino a los proveedores de servicios a los que usted confía su información personal, empleadores, o incluso amigos y familiares”.
La pandilla de ciberdelincuentes ha sido identificada como “CyberVors”. Según la empresa, “CyberVors” no habría adquirido las contraseñas por méritos propios, sino simplemente las había comprado en el mercado negro. Después de haber conseguido las bases de datos, el grupo inició ataques sistemáticos a proveedores de servicios de correo electrónico, y sitios de medios sociales, con el fin de distribuir spam e instalar enlaces malignos, en sitios legítimos. Para la distribución de su malware, CyberVor también un ha utilizado botnets.
Después de haber obtenido acceso a las computadoras de las víctimas, los operadores de CyberVor utilizaron estos sistemas para identificar vulnerabilidades de SQL en los sitios visitados por estos, “realizando así la mayor auditoría de seguridad registrada alguna vez”, escribe Holden Security en su blog. Luego, aprovecharon estas vulnerabilidades para apropiarse de información contenida en las bases de datos de estos sitios.
La empresa recomienda no utilizar direcciones de correo electrónico como nombre de usuario, como asimismo utilizar contraseñas distintas, difíciles de obtener mediante ataques de fuerza bruta.
Más información
Fuente: Holden Security 

RANSOMWARE.Nuevo servicio recupera gratuitamente sistemas cifrados por Cryptolockerl

Ahora, las 500.000 víctimas de Cryptolocker tienen acceso gratuito a un nuevo portal creado por la empresa FireEye, que distribuye gratuitamente las claves de recuperación. 
Las víctimas de esta modalidad de delincuencia cibernética perdían el acceso a sus propios archivos, al quedar bloqueada su PC. Las propias empresas de seguridad informática presentaron sus propias recomendaciones para evitar los ataques de Cryptolocker, aunque coincidiendo en que, para todos efectos prácticos, recuperar los archivos cifrados era imposible debido a la clave RSA de 2048 bits utilizada.
El modus operandi del software de extorsión (ransomware) es conocido. Delincuentes exigen el pago de un rescate por devolver a la víctima acceso a sus propios archivos, vendiéndole así la clave que permite descifrarlos. 
Funcionamiento del nuevo servicio gratuito de descifrado de archivos
Para acceder al servicio gatuito, los usuarios sólo deben:
  1. Proporcionar su dirección de correo electrónico
  2. Subir al sitio un archivo cifrado mediante Cryptolocker. 
  • Un vez recibida esta información, el portal envía al usuario una clave maestra, junto con un enlace para descargar el programa de recuperación, que puede ser utilizado con la clave maestra para recuperar todos los archivos cifrados. 
  • La empresa recalca: “tenga presente que cada sistema infectado requerirá su propia clave maestra para ser descifrado. Por lo tanto, en caso que usted tenga varios sistemas afectados por Cryptolocker, necesitará repetir el procedimiento para cada uno de estos sistemas”.
La iniciativa es resultado directo de una acción policial realizada en los últimos meses, a cargo del FBI y Europol, que logró desbaratar la infraestructura utilizada para distribuir Cryptolocker y el troyano bancario GameOver Zeus. Durante la operación se encontró una base de datos con los nombres de todas las víctimas, y con las claves de cifrado necesarias para devolverles el control de sus computadoras.

Acceso al nuevo servicio gratuito de descifrado de archivos
Fuente: Diarioti.com

INTERNET EXPLORER. Comienza a bloquear controladores ActiveX obsoletos

A partir del próximo 12 de agosto (segundo martes de mes, es decir, martes de actualizaciones de Microsoft) la compañía va a empezar a bloquear por defecto todos los controladores obsoletos de ActiveX en las versiones más modernas de su navegador web, Internet Explorer. Con este movimiento la compañía busca aumentar notablemente la seguridad de su navegador y seguir animando a los usuarios a utilizar Internet Explorer que, frente a la dura competencia como Google Chrome y Firefox, cada vez pierde más cuota de mercado.
Los controladores ActiveX son pequeños programas desarrollados para poder controlar la reproducción de música, vídeo y controlar videojuegos desde el ordenador. Estas funciones fueron muy útiles en el pasado, sin embargo, actualmente la mayoría de ellas ya están obsoletas frente a alternativas como HTML5, no funcionan y simplemente se han abandonado, por lo que al acceder a una web con estos controladores lo único que ganaremos es un riesgo potencial ya que estos controladores a menudo son atacados por los piratas informáticos y utilizados para infectar la web con malware.
Microsoft compara a los controladores ActiveX con Java. De igual forma, las compañías proporcionan los entornos de programación y el lenguaje a los desarrolladores, pero al final es responsabilidad de estos mismos actualizar sus aplicaciones para corregir posibles vulnerabilidades por compilarlas con compiladores anteriores. Java es responsable del 90% de las vulnerabilidades de Internet Explorer, por lo tanto, la compañía no quiere que ocurra lo mismo con su ActiveX y decide bloquear todas las aplicaciones desactualizadas por defecto hasta que los programadores las actualicen.
Fuente: Neowin

FALLO SEGURIDAD. Común a WordPress y Drupal dejó fuera de servicio a mile de webs

El fallo de seguridad, descubierto por un investigador y notificados a ambos CMS, provocaba que cualquier página que corriese bajo estos gestores pudiese ser “tumbada”, pudiendo afectar de igual forma a los servidores que alojan estas.
Teniendo en cuenta que más del 25% de Internet se sustenta gracias a WordPress, las prisas por encontrar una solución se han puesto de manifiesto, viéndose obligados a trabajar de forma conjunta WordPress y Drupal. Después de varios días el problema de seguridad ha sido resuelto en ambos CMS, sin embargo, ahora tocar explicar en qué consistía el fallo de seguridad que había sido detectado.
El ataque ha sido bautizado como XML Quadratic Blowup
  • El ataque consiste en crear un fichero que posea una entidad repetida varias veces, en concreto miles de veces. El archivo solo ocuparía unos pocos kbps, sin embargo, al ser cargado en el servidor e interpretado es donde surge el problema. Este comienza a utilizar una gran cantidad de memoria RAM siendo incluso varios los gigabytes utilizados, teniendo como resultado final la caída del servidor por sobrecarga.
La vulnerabilidad ha sido corregida
  • Los usuarios no tienen que temer por la integridad del blog y de los datos alojados. Ambos CMS tal y como ya hemos comentado con anterioridad, han trabajado de forma conjunta para poder obtener una solución. Esta solución ya se encuentra presente en ambos y el fallo de seguridad ya no existe, por lo que es muy importante actualizar a la última versión en ambos sistemas.
Fuente: Alt1040

ESET 8. Disponibles las versiones Beta de la solución de seguridad

Hace algunas horas los responsables del desarrollo de Eset han publicado las primeras versiones Beta de sus soluciones de seguridad (al igual que han hecho años atrás) permitiendo así a los usuarios hacer de betatesters, probarlas y poder reportar posibles errores y fallos que puedan aparecer antes de lanzar la versión final que llegará probablemente después de verano.
Eset es una empresa de seguridad eslovaca que ganó gran fama hace años con su solución antivirus Nod32 y que a día de hoy sigue actualizando y mejorando sus productos año tras año con el fin de proteger a los usuarios de las nuevas amenazas y los nuevos peligros que abundan en la red.
Los usuarios que descarguen la versión beta de Eset podrán utilizar esta suite de seguridad de forma gratuita mientras dure el período. Aunque son versiones estables, funcionales y muy similares al producto que se publicará como estable, desde la empresa eslovaca afirman que no es recomendable instalarlas en entornos de producción ya que pueden contener errores y no brindar un funcionamiento óptimo del sistema. Es decisión final de los usuarios el optar por probar esta versión o esperar a que se lance la versión final si se quiere instalar esta marca de seguridad en el sistema.
Para participar en el programa de betatester de Eset simplemente debemos acceder a la web principal del producto y descargar la versión que queramos probar.
Fuente: Redes Zone.net

VULNERABILIDAD. Denegación de servicio en Drupal.

 Se ha hecho pública una vulnerabilidad de denegación de servicio que afecta a todos los sitios web con Drupal (al igual que a Wordpress), y permite a un atacante consumir la CPU y memoria del sistema consiguiendo que las conexiones de la base de datos alcancen el límite de conexiones abiertas. La vulnerabilidad ha sido catalogada con nivel de Importancia: 3 - Media
Recursos afectados
  • Drupal core 7.x anteriores a 7.31
  • Drupal core 6.x anteriores a 6.33
Detalle e Impacto de la vulnerabilidad
  1. La vulnerabilidad en el servicio XML-RPC (a través de xmlrpc.php), afecta al parser XML que utiliza, el cual es vulnerable a ataques de expansión de entidad XML y otros ataques relacionados con XML.
  2. Una vulnerabilidad similar afecta al módulo OpenID.
Recomendación
  • Actualizar a versiones 7.31 o 6.33
Más información
Fuente: INTECO

OPENSSL. Actualización que corrige múltiples vulnerabilidades

Se han publicado nuevas versiones para las ramas 0.9.8, 1.0.0 y 1.0.1 de OpenSSL. Se resuelven un total de nueve vulnerabilidades que, en caso de ser explotadas satisfactoriamente, podrían permitir ataques de tipo sobreescritura de búfer, condición de carrera o agotamiento de memoria entre otras. La actualización le ha sido asignada un nivel de Importancia: 5 - Crítica
Recursos afectados
  • OpenSSL 0.9.8 DTLS y OpenSSL 0.9.8 anteriores a la 0.9.8zb.
  • OpenSSL 1.0.0 DTLS y OpenSSL 1.0.0 anteriores a la 1.0.0n.
  • OpenSSL 1.0.1 DTLS y OpenSSL 1.0.1 anteriores a la 1.0.1i.
Detalle e Impacto de las vulnerabilidades corregidas
  1. CVE-2014-3508: un fallo en OBJ_obj2txt podría provocar "pretty printing" como X509_name_oneline, X509_name_print_ex et al. para filtrar algún tipo de información desde la pila.
  2. CVE-2014-5139: esta cuestión provoca una caída en los clientes (DoS) OpenSSL a a través de servidores maliciosos mediante una deferencia (lectura) a puntero nulo, especificando un conjunto de cifrado SRP, incluso si la negociación con el cliente no ha sido negociada adecuadamente.
  3. CVE-2014-3509: si un cliente multihilo se conecta a un servidor malicioso para continuar una sesión que no había finalizado y el servidor envía una extensión con formato "ec point", podría escribir 255 bytes en la memoria liberada.
  4. CVE-2014-3505: un atacante podría forzar una condición de error que podría provocar la caída (DoS) de OpenSSL mediante el procesado de paquetes DTLS debido a que la memoria se libera en dos ocasiones.
  5. CVE-2014-3506: un atacante podría forzar que OpenSSL consuma una gran cantidad de memoria (DoS) durante la negocioación de mensajes DTLS.
  6. CVE-2014-3507: un atacante podría provocar fugas de memoria mediante el envío de paquetes DTLS.
  7. CVE-2014-3510: los clientes OpenSSL DTLS que activan los conjuntos de cifrado anónimos (EC)DH podrían estar afectados por ataques DoS. Esto puede ser explotado por un servidor malicioso que podría tirar abajo un cliente mediante la especificación de una deferencia a puntero nulo mediante un conjunto de cifrado anónimo y enviando un mensaje de negociación manmipulado.
  8. CVE-2014-3511: un fallo en el código del servidor OpenSSL SSL/TLS podría provocar que este negocie las transacciones con TLS 1.0 en lugar de versiones de protocolos de mayor nivel cuando el mensaje ClientHello se fragmenta inadecuadamente. Esto podría permitir ataques Man-in-the-middle para forzar un degradado a TLS 1.0 mediante la modificación de los registros TLS en el cliente, incluso si tanto cliente como servidor pueden soportar protocolos de mayor nivel de seguridad.
  9. CVE-2014-3512: un cliente o servidor malicioso podría enviar parámetros SRP no válidos y sobrescribir el búfer interno. Únicamente las aplicaciones que están configuradas explícitamente para usar SRP se encuentras afectadas por este problema.
Recomendación
 Se debe actualizar a la última versión de la rama correspondiente. En concreto, deben actualizarse:
  1. Las versiones 0.9.8 anteriores a la 0.9.8zb.
  2. Las versiones 1.0.0 anteriores a la 1.0.0n.
  3. Las versiones 1.0.1 anteriores a la 1.0.1i.
Más información
Fuente: INTECO

WORDPRESS. Actualización de seguridad 3.9.2

Wordpress ha liberado una actualización de seguridad que soluciona un posible problema de denegación de servicio en el procesamiento de XML de PHP. La vulnerabilidad ha recibido un nivel de Importancia: 3 - Media
Detalle e Impacto de la vulnerabilidades corregida
  • Wordpress ha liberado una nueva versión que soluciona una vulnerabilidad con parseador de XML en PHP usado por XML-RPC. Un ataque utilizando una expansión de una entidad XML podría causar el agotamiento de la CPU y la memoria junto con el establecimiento del número máximo de conexiones con MySQL.
  • Esta misma vulnerabilidad afecta a Drupal al usar el mismo parseador XML.
  • Además de solucionar esta vulnerabilidad, esta actualización incluye varios cambios para mejorar la seguridad del CMS.
Recursos afectados
  • Todas las versiones anteriores a la 3.9.2.
Recomendación
  • Actualizar Wordpress a la versión 3.9.2
Más información
Fuente: INTECO

IBM WebSphere Portal . Detectadas múltiples vulnerabilidades

Se han anunciado cuatro vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting, URLs de redirección y obtener información sensible de los sistemas afectados.
 IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
Detalle e Impacto de las vulnerabilidades
  • Dos vulnerabilidades (con CVE-2014-0953 y CVE-2014-3102) de cross-site scripting debidas a que no se tratan adecuadamente las entradas antes de ofrecer los resultados al usuario. Esto podría permitir a un atacante lograr la ejecución de código script arbitrario en el navegador del usuario, en el contexto del sitio afectado.
  • Un tercer problema (con CVE-2014-4746) reside en que WebSphere Portal usa diferentes códigos de error que podrían permitir a un atacante remoto identificar los sistemas detrás del firewall.
  •  Por ultimo, WebSphere Portal podría facilitar la construcción de ataques de phishing al permitir redirecciones abiertas. Un atacante podría explotar esta vulnerabilidad mediante una URL específicamente creada para redireccionar a la víctima a sitios web arbitrarios.
  •  Cada problema afecta a diferentes versiones, aunque en general se ven afectadas las versiones 8.5, 8, 7 y 6. IBM ha publicado diferentes correcciones para evitar estos problemas. Dada la diversidad de versiones afectadas y parches se recomienda consultar el aviso del sitio IBM desde la dirección siguiente: http://www-304.ibm.com/support/docview.wss?uid=swg21680230
Más información:
Fuente: Hispasec