21 de septiembre de 2014

EE.UU.. Acusa a China de hackear el Pentágono

   El Senado de Estados Unidos ha acusado a China de hackear con éxito las cuentas de varios contratistas del Pentágono, según informa Mashable.
   La investigación, que lleva en pie un año, ha anunciado que el Senado ha identificado al menos 50 intrusiones sin identificar. Además, señala que 20 de las intrusiones eran muy sofisticadas y culpa al gobierno Chino de ellas.
   Los investigadores han señalado que el mando militar chino fue capaz de robar emails, documentos, códigos y cuentas de usuarios. Los americanos señalan también que este robo de información ha comprometido un pacto comercial con Transcom y que también han hackeado una línea aerea que utilizan los militares americanos.
Fuente: Europa Press

NUEVA ZELANDA . Espionaje masivo a ciudadanos salpica elecciones generales

El periodista estadounidense Glenn Greenwald tiene previsto divulgar la información proporcionada por Edward Snowden sobre el espionaje que está realizando la Oficina Gubernamental de Seguridad en las Comunicaciones (GCSB) en el marco de alianza de los “Cinco ojos” formados por los países de Gran Bretaña, Canadá, Australia, Nueva Zelanda y por supuesto EEUU.
Según Edward Snowden, una gran cantidad de metadatos de los ciudadanos de Nueva Zelanda ha alimentado el programa de espionaje “Cinco Ojos”, un programa secreto acordado por los cinco países anteriores.
Estos documentos se presentarán en una conferencia llamada “Momento de la verdad” en la ciudad de Auckland (Nueva Zelanda), organizada por un viejo conocido de EEUU, Kim Dotcom, a quien por cierto, quieren extraditar por el caso Megaupload y que también fue espiado ilegalmente por la GCSB.
El primer ministro de Nueva Zelanda a subrayado que ni la GCSB ni sus socios de este programa han recogido datos masivos de los ciudadanos, y se ha comprometido a desclasificar documentos para respaldar sus palabras. El primer ministro aclaró que las acusaciones del periodista se refieren a una propuesta para la recogida de datos que prevengan ciberataques, pero que nunca se puso en marcha.
Julian Assange, de Wikileaks, también participará a través de video conferencia, además Kim Dotcom pretende revelar el plan del primer ministro para otorgarle la residencia neozelandesa y poder extraditarlo a EEUU.
Fuente: La Vanguardia

CIBERTERRORISMO. El Estado Islámico usa el videojuego «GTA V» para recrear atentados y ataques

Simpatizantes del grupo radical utilizan el modo online del juego para personalizar personajes con estética yihadista y simular crímenes contra policía y militares
Simpatizantes del Estado Islámico han dado un paso más en su objetivo de utilizar las nuevas tecnologías para promocionar sus acciones y captar nuevos militantes.
En una nueva acción, han utilizado la versión online del juego Grand Theft Auto V (GTA V) para recrear y simular atentados contra policías de EEUU. Los simpatizantes del grupo radical luego suben sus «hazañas» a internet y lo comparan con los atentados reales que realiza el grupo terrorista en la vida real.
En algunos de los videos consultados por Europa Press, difundidos por los terroristas en las redes sociales y que cuentan con decenas de miles de visitas, se introduce una presentación en inglés y en árabe: «En el nombre de Allah el clemente y misericordioso. Vuestros juegos que vosotros producís, nosotros hacemos las mismas acciones en los campos de batalla!! (sic)».
No mienten ya que algunas de las escenas que aparecen son casi idénticas a las recogidas el documental autorizado '«he clanging of the swords» (El reteñir de las espadas) en el que se dan cuenta de las acciones que lleva a cabo el grupo liderado por Abu Bakr al Baghdadi en su autodeclarado Califato Islámico y en el que no se omiten las ejecuciones y atrocidades de todo tipo con la diferencia de que en este caso las víctimas son agentes americanos.
Personajes con estética yihadista
  • Los simpatizantes crean personajes con una estética yihadista. Eso es posible porque la versión de GTA V permite un modo de juego online en el que cada persona puede diseñar su propio personaje a su gusto y actuar en un mundo virtual. Por ello en las imágenes difundidas se pueden ver a personajes con estética yihadista contra autoridades norteamericanas en un escenario casi desértico, habitual en algunas zonas del citado Estado.
  • Esta modalidad abierta a todo el mundo permite además el juego simultáneo con otras personas.
  • En uno de los videos han colocado la bandera del Estado Islámico y la primera imagen es un yihadista con la cara tapada y empuñando una ametralladora junto a las letras oficiales del Grand Theft Auto.
  • A partir de ahí se suceden explosiones, atentados contra vehículos de la Policía norteamericana o asesinatos a militares usando una mirilla de francotirador. En otro momento se ve como un coche con dos terroristas adelanta a otro vehículo policial y acribilla a su conductor, quien pierde el control y se sale de la carretera. Acto seguido, uno de los terroristas se acerca al coche y saca al agente norteamericano para acribillarle en el suelo.
  • Grand Theft Auto es una saga de aventuras de acción en tercera persona con desarrollo libre (un género conocido en la industria como 'sandbox'), cuya primera entrega se lanzó al mercado en 1997 y la última, GTA V, en 2013. La última entrega superó récords de venta y rompió siete récords Guinness a las tres semanas de su lanzamiento. GTA suele estar protagonizados por antihéroes relacionados con el mundo del crimen y su desarrollo combina las peleas cuerpo a cuerpo con los tiroteos y el uso de vehículos (terrestres, acuáticos y aéreos).
Fuente: Euopa Press

HOME DEPOT . Ciberataque habría comprometido los datos de 56 millones de tarjetas

La cadena estadounidense Home Depot Inc dijo el jueves que pudo sufrir el robo de datos de 56 millones de tarjetas de pago por parte de criminales, que utilizaron software malicioso desde abril a septiembre para violar la seguridad de sus sistemas en tiendas de Estados Unidos y Canadá.
La mayor cadena del mundo de tiendas para el mejoramiento del hogar dijo que el "malware", elaborado especialmente para evitar su detección, ha sido eliminado de sus tiendas en Estados Unidos y Canadá.
Home Depot comenzó a investigar la violación de seguridad el 2 de septiembre, después de que el sitio de internet Krebs on Security reportó que todas las tiendas del minorista en Estados Unidos podrían haber sido afectadas por el robo de datos.
"Nosotros nos disculpamos ante nuestros clientes por los inconvenientes y la ansiedad que eso ha provocado y queremos garantizarles que no serán responsables de cargos fraudulentos", dijo el presidente ejecutivo de Home Depot, Frank Blake, en un comunicado.
La compañía dijo que estima que los costos relativos a la violación de seguridad, incluida la entrega de servicios de supervisión del crédito a sus clientes y servicios legales y profesionales, es de 62 millones de dólares, parcialmente compensado por costos reembolsables y coberturas de seguros que suman 27 millones de dólares.
Dijo que podría haber otros costos relacionados a posibles pérdidas debido a la violación de seguridad.
Fuente: Reuters

FBI. Dispone de tecnología de reconocimiento facial

El FBI ha lanzado recientemente un nuevo sistema de reconocimiento facial dispuesto a sustituir al actual sistema basado en huellas dactilares utilizado para identificar a los usuarios. 
El sistema que ha costado 1000 millones de dólares y ha tardado 3 años en completar su desarrollo es capaz de comparar fotografías con una base de datos e identificar así a los usuarios de las mismas facilitando gran cantidad de información sobre ellos.
Este programa de reconocimiento facial ha sido denominado como Next Generation Identification (NGI) y aunque según afirman está orientado únicamente a identificar a criminales y terroristas que puedan suponer un peligro para la seguridad nacional, probablemente sea capaz de identificar a cualquier persona según sus fotografías publicadas en la red o facilitadas en diferentes procesos administrativos como la creación de documentos de identidad.
Aunque este nuevo sistema de reconocimiento facial es totalmente funcional, devuelve resultados correctos en el 85% de las ocasiones, por lo que aún quedan algunos parámetros que pulir antes de funcionar correctamente.
Realidad o ficción, con el FBI y la NSA no se puede saber con certeza si es una tecnología real o lo hemos visto en una serie o película de ciencia ficción. Lo que hace unos años nos parecía imposible ahora es real, y lo que probablemente ahora no creamos posible, en pocos años podría ser también real. Sea como sea, que el FBI pueda identificar a las personas con una mera fotografía y recopilar todos los datos disponibles de ellas es un aspecto que debería preocuparnos más de lo que nos pensamos.
Fuente: TechRadar

APPLE. La Policía puede acceder a los datos de tu iPhone, incluso con iOS 8

   La nueva política de privacidad de Apple que acompaña a un nuevo sistema de protección de datos en iOS 8 ha sido cuestionado, hasta el punto de que expertos en protección de datos han tenido que matizar que en caso de requerirse, las autoridades puede acceder a los datos alojados en los dispositivos móviles.
   Apple, en su nueva política de privacidad, ha expresado que "a diferencia de nuestros competidores, Apple no puede acceder a tu código y por lo tanto no puede acceder a tus datos. Así que no es técnicamente posible para nosotros responder a los requerimientos gubernamentales para la extracción de estos datos de los dispositivos que funcionan con iOS 8".
   La declaración de principios se debe a que desde Cupertino han querido dejar claro que ellos no se lucran con la venta de los datos privados que los usuarios guardan en sus teléfonos móviles, al tiempo que se distancian de las prácticas de recogida de datos de los gobiernos, como las desveladas por el ex agente de la CIA Edward Snowden sobre la Agencia Nacional de Seguridad (NSA), según ha informado el portal Wired.
   No obstante, uno de los analistas de iOS, Jonathan Zdziarski, ha matizado que la Policía todavía puede coger y extraer los datos sensibles de un iPhone bloqueado, con o sin la colaboración de Apple o el nuevo sistema de protección presente en iOS 8. Y ha explicado que, para ello, solo necesitan un terminal encendido y acceso a un ordenador al que puedan transferir los datos.
   La matización de Zdziarski es pertinente, si se tiene en cuenta que él, como analista de iOS, ha probado el nuevo sistema operativo y ha asegurado que se puede acceder a datos de terceros, como por ejemplo a lo que se comparte en Facebook o Twitter. "Yo puedo hacerlo. Estoy seguro de que los chicos con traje del gobierno pueden hacerlo", ha asegurado.
   Además, ha explicado que "el mayor error que los consumidores pueden hacer en esta situación es asumir que la información de sus dispositivos están completamente a salvo de la Policía".
Fuente: Europa Press

CIBERESPIONAJE. Los wearables tampoco están exentos

Kaspersky Lab ha puesto a prueba la seguridad de un smartwatch y de unas gafas inteligentes.
Resultados del estudio
  • Caer en una campaña de ciberespionaje es uno de los riesgos que más temen los internautas españoles. Así lo declara el 63%, que tiene miedo a que la cámara de sus dispositivos informáticos acabe utilizándose en su contra. Hasta tal punto que otro grupo bastante nutrido de usuarios de nuestro país, el 36%, opta por ocultar el objetivo de dichas cámaras como medida preventiva.
  • Estas cifras aparecen recogidas en el informe “Hábitos de seguridad multi-dispositivo en España” que ha elaborado Kaspersky Lab, una compañía que lejos de limitarse al estudio de los típicos equipos, como ordenadores, teléfonos móviles o tabletas, ya está avanzando en los peligros ocultos de los gadgets de wearable technology.
  • Dos de sus empleados, Roberto Martínez y Juan Andrés Guerrero, han decidido poner a prueba un par de wearables que ya están dando bastante que hablar, entre otras cosas, por la popularidad de quien los ha fabricado. Hablamos de la segunda generación del reloj Gear de Samsung y de las gafas inteligentes Google Glass.
  • Desde Kaspersky conceden que “en este momento no tenemos evidencias de que los wearables estén en el punto de mira de los creadores de amenazas APT”, pero añaden que “es probable que en el futuro se conviertan en objetivo si llegan a ser son adoptados ampliamente por los consumidores”.
  • Si se quiere evitar, hay que empezar por blindar las combinaciones de hardware y software que están saliendo al mercado. Y es que hay lagunas.
  • A la hora de revisar la seguridad de Gear 2 habrían aparecido problemas en el sistema de la cámara y en la app Gear Manager. La primera, que suele avisar cada vez que se hace una foto, se puede trucar para silenciarla y “violar la privacidad de otras personas”. La segunda podría derivar, al parecer, en la instalación inadvertida de apps al no mostrar notificaciones.
  • En cuanto a Google Glass, los expertos de Kaspersky advierten de que su sistema de conexión inalámbrico es propicio para emprender ataques man-in-the-middle. ¿El motivo? “No todo el tráfico que se intercambia entre el dispositivo y el hotspot estaba cifrado”, al menos en la prueba realizada.
Fuente: Silicon Week.es

ESTUDIO. Las cinco pautas para asegurar los datos almacenados en la nube

Si no se toman las medidas de seguridad pertinentes, los datos y archivos almacenados tanto por usuarios particulares como corporaciones en la nube pueden ser sustraídos y difundidos.
Para intentar mitigar los riesgos que supone tener información en alguno de los muchos servicios cloud disponibles, desde la compañía de seguridad Check Point recomiendan tomar cinco medidas de seguridad básicas. Son éstas:
  1. No descuides la elección de las contraseñas. Pese a que suponen la primera línea de protección, un informe reciente ha desvelado que entre las 25 claves más habituales se siguen encontrando algunas como password, 12345678, abc123 o 123123. Desde Check Point recuerdan que es necesario usar contraseñas largas (al menos de 8 caracteres) y complejas, es decir, que incluyan minúsculas, mayúsculas, números y caracteres no alfanuméricos. Igualmente recomendable es comprobar la seguridad del proveedor Cloud y no usar la misma contraseña para estos sistemas.
  2. Limitar y clasificar la información. No hay que alojar en la nube aquellos archivos que consideramos más sensibles. Clasificar nuestros datos podría ahorrarnos muchos problemas en caso de un ataque o de una fuga de información.
  3. Encriptar. Si se usan sistemas Cloud, asumir que el contenido que se envía dejará de ser totalmente privado, por lo que es recomendable encriptarlo antes de enviarlo, incluyendo copias de seguridad.
  4. Revisar siempre las condiciones. No hay que aceptar las condiciones del servicio sin más. En el caso de la plataforma iCloud, se sustrajeron imágenes que las propias celebridades afirmaban haber borrado de sus teléfonos hacía meses. Los expertos de Check Point han descubierto que la mayoría de los usuarios desconocían que la configuración por defecto de la plataforma guardaba tres copias de seguridad, que fueron las que los hackers sustrajeron. Esta política es común para otras plataformas o aplicaciones por lo que debemos estar atentos a las configuraciones por defecto y vigilar las copias de seguridad de nuestros datos.
  5. Contar con una solución de seguridad. Si contamos con un software antivirus actualizado, es posible disminuir el riesgo de tener malware/troyanos en los dispositivos que pueden robar las credenciales de usuario.
Fuente: Silicon Week.es

CENSURA. Canal internacional NTN24 denuncia bloqueo de página en internet en Venezuela.

El canal internacional de noticias en español NTN24, que emite desde Colombia, denunció el jueves que su página en internet en Venezuela fue bloqueada, en lo que definió como una censura que se sumó a la suspensión desde febrero en ese país de su señal a través de operadores por satélite y cable.
El canal, una filial de la cadena de televisión colombiana RCN, dijo que el bloqueo comenzó el martes dentro de la red de la empresa estatal de telecomunicaciones de Venezuela CANTV y se expandió a otros operadores.
"Este bloqueo ha inhabilitado el acceso desde Venezuela a toda la red de portales de NTN24, sus aplicaciones de redes sociales y su señal de streaming en vivo", dijo en un comunicado Johnattan Bilancieri, director de plataformas digitales del canal.
"El grado de sofisticación de este acto de censura refleja el ensañamiento por parte del régimen venezolano en contra de la libertad de expresión y su voluntad de restringir el derecho de los venezolanos a estar informados", agregó.
El canal transmite noticias a través de televisión por suscripción satelital y por cable desde Canadá hasta Argentina, además de su página en internet www.ntn24.com.
Fuera del territorio venezolano las plataformas web de NTN24 y su señal de televisión siguen funcionando con normalidad, en todos los países de América Latina, Estados Unidos y el Caribe.
La directora general del canal NTN24, Claudia Gurisatti, rechazó la restricción a los portales web, que permitían la transmisión de la señal en vivo en Venezuela, y acusó del bloqueo al Gobierno del presidente Nicolás Maduro, quien heredó una guerra con los medios de comunicación de su antecesor Hugo Chávez.
El Ministerio de Relaciones Exteriores de Colombia dijo que espera que los problemas de señal del portal web NTN24 en Venezuela obedezcan a fallas técnicas y no a una censura mediante un bloqueo tecnológico como lo denunció el canal.
"Aprovechamos la ocasión para solicitarle al Gobierno de Venezuela que revise la decisión tomada el pasado mes de febrero, de suspender la señal del Canal NTN24 transmitida a través de cableoperadores", precisó un comunicado de la cancillería que pidió respeto a la libertad de expresión.
Fuente: Reuters

ANDROID L. Encriptación de todos los datos del usuario por defecto

Google anunció que la nueva versión de su sistema operativo para móviles y tabletas, Android L, impedirá a la compañía acceder a los aparatos sin el consentimiento del propietario, una medida muy similar a la anunciada ayer por Apple sobre el nuevo iOS para iPhone e iPad.
Los diarios «The Washington Post» y «The Wall Street Journal» publicaron hoy sendas informaciones según las cuales el nuevo Android llevará por defecto un sistema de encriptación que impedirá a la propia empresa, así como a la policía o a posibles ladrones, desbloquear los aparatos móviles si no disponen de la necesaria contraseña personal.
Esta mejora en la seguridad protege de la propia compañía —y, por tanto, de la administración— toda aquella información que pueda almacenarse en los dispositivos de los usuarios que operen con Android, tales como fotografías, correos electrónicos, contactos, historiales de llamadas, mensajes, notas escritas o contenidos multimedia.
La medida de Google, así como la anunciada ayer por su rival Apple, se enmarcan en un esfuerzo de las empresas tecnológicas para dar respuesta a las voces que las acusan de haber colaborado con demasiada facilidad con el Gobierno estadounidense y la Agencia de Seguridad Nacional (NSA) cuando éstos les pidieron datos de los usuarios.
Hasta ahora, los teléfonos y dispositivos que operaban con Android ofrecían esta posibilidad de encriptación, pero sólo como una opción, de manera que eran muy pocos los usuarios que averiguaban cómo activarla.
En los nuevos sistemas operativos, sin embargo, que saldrán al mercado en octubre, la medida vendrá activada por defecto. Con más de un 75% del mercado mundial de teléfonos inteligentes, Android es el sistema operativo para móviles más usado del mundo.
Fuente: ABC.es

G DATA. Desarrolla herramienta gratuita contra amenaza de dispositivos USB manipulados

G DATA USB Keyboard Guard bloquea los ataques de aquellos dispositivos USB que se hagan pasar por teclados
Dispositivos con permisos de teclados
  • Aunque de momento no existe constancia de un ataque real, las consecuencias potenciales de este nuevo tipo ataque serían muy graves. «Si se reescribe el firmware, cada dispositivo USB puede convertirse en una amenaza potencial», explica Ralf Benzmüller, responsable de G DATA Security Labs, ante la gravedad de la situación. La forma más dañina y eficaz de llevar a cabo estos ataques sería mediante dispositivos capaces de hacerse pasar por teclados USB. Esto permite al atacante escribir código en interfaces como PowerShell y, en consecuencia, conseguir el control del ordenador infectado. Llegados a este punto, es imposible distinguir estas acciones de las de un teclado real y, por tanto, la detección por parte de las soluciones de seguridad se vuelve muy complicada.
G DATA USB Keyboard Guard bloquea dispositivos USB con funciones de teclado
  • El fabricante de soluciones alemán G DATA ha decidido responder rápidamente a esta amenaza desarrollando una aplicación que ofrece protección contra la más probable y dañina forma de ataque de estos USB infectados, aquellos que se hacen pasar por un teclado. Si el sistema detecta un nuevo teclado USB, la aplicación de G DATA impedirá preventivamente su acceso al sistema y mostrará una ventana emergente. El usuario puede entonces comprobar que efectivamente ha conectado un teclado y permitir o impedir permanentemente el acceso. Si el dispositivo en cuestión ha sido manipulado (una memoria o una webcam infectadas) se podrá bloquear permanente
  • La aplicación es gratuita, compatible con otras soluciones antivirus y puede descargarse en www.gdatasoftware.com/usb-keyboard-guard
Cómo instalar G DATA USB KEYBOARD GUARD:
  1. Haz doble clic en el archivo descargado para que comience la instalación. Selecciona lenguaje y haz clic en “Next”.
  2. Haz clic en “Installation" again. Confirma el acuerdo de licencia marcando “Accept & install".
  3. Una vez terminada la instalación es necesario reiniciar el PC.
  4. El PC está ahora protegido. Si el sistema detecta un nuevo teclado, G DATA USB KEYBOARD GUARD lo bloqueará y mostrará un mensaje de advertencia. El usuario decidirá entonces si acepta "Allow keyboard" o bloquea "Block keyboard" el nuevo teclado. G DATA USB KEYBOARD GUARD recordará tu decisión para cada dispositivo de forma que no sea necesario repetir el proceso cada vez que sean conectados.
Requisitos del sistema
  • Windows (32 bit / 64 bit): Windows 8.x / 8 / 7 / Vista. 1 GB RAM;
  • Windows (32 bit): Windows XP (SP2 y superior). 512 MB RAM
Fuente: G DATA

HEARTBLEED . Un gran desconocido antes de su divulgación

Según nueva investigación realizada por varias universidades estadounidenses , una de las vulnerabilidades más graves que han afectado a Internet, denominada “Heartbleed”, era probablemente desconocida antes de ser dada a conocer públicamente. Indirectamente, la información desmiente versiones anteriores, en el sentido que la NSA había explotado durante dos años la vulnerabilidad, como parte de sus labores de espionaje. En julio, la organización EFF denunció a la NSA ya que, a su juicio, había conocido y aprovechado secretamente Heartbleed en lugar de advertir a la opinión pública.
El estudio, indica que en los ataques generalizados utilizando “Heartbleed” comenzaron exactamente 21 horas y 29 minutos después de conocerse la vulnerabilidad.
En total, se detectaron 700 ataques, iniciados menos de 24 horas después de conocerse públicamente la información, el pasado 7 de abril. “Heartbleed” era una vulnerabilidad que afectaba versiones antiguas de OpenSSL, biblioteca criptográfica que cifra los datos transmitidos entre un cliente y un servidor. En algunos casos, “Heartbleed” filtró la memoria del servidor, exponiendo así las credenciales de inicio de sesión, claves criptográficas y otros datos privados.
Para determinar fehacientemente si los ataques habían sido ejecutados contra OpenSSL antes de la divulgación de la falla, los investigadores analizaron el tráfico de red recopilado por trampas pasivas, conocidas como “Honeypot”, instaladas en el Laborario Nacional Lawrence Berkeley, el Centro de Computación Científica y Energética y EC2 de Amazon.
Los investigadores no encontraron indicios de que los atacantes hubieran intentado explotar “Heartbleed” en búsqueda de servidores vulnerables, antes del día 7 de abril. Por el contrario, los primeros ataques fueron detectados 21 horas y 29 minutos después que la información sobre “Heartbleed” fuese del conocimiento público. En las horas siguientes, los ataques comenzaron a producirse a gran escala y con gran intensidad.
Dos días después de conocerse la vulnerabilidad “Heartbleed”, el 11% de del millón de sitios más populares del mundo aún estaban vulnerables.
Los investigadores a cargo de la investigación dicen haber tenido una actitud proactiva frente al tema, notificando directamente a los administradores de servidores vulnerables.
Fuente: Diarioti.com

PHISHING. El 80% de usuarios comerciales no lo pueden detectar

Como ya comentamos en este blog, McAfee Labs lanzó el Informe de Amenazas de McAfee Labs: Agosto de 2014, que revela que el “phishing” sigue siendo una táctica eficaz para infiltrarse en las redes empresariales.
Evaluando la capacidad de los usuarios comerciales para detectar fraudes en línea, la Prueba de Phishing de McAfee (McAfee Phishing Quiz) reveló que el 80% de sus participantes no pudo detectar al menos uno de siete correos electrónicos con phishing. Además, los resultados mostraron que los departamentos de finanzas y de recursos humanos, aquellos que manejan algunos de los datos corporativos más sensibles, fueron los que peor se desempeñaron en la detección de fraudes, quedando rezagados por un margen de 4 al 9%.
Detalles destacados del informe
  • Desde el Informe de Amenazas del último trimestre McAfee Labs ha recogido más de 250.000 nuevas URLs con phishing, llevando a un total de casi 1 millón de nuevos sitios en el último año. No solo hubo un aumento en el volumen total, también hubo un incremento significativo en los ataques de phishing indetectables más sofisticados. Los resultados mostraron que tanto la campaña masiva de phishing, como spear phishing (phishing dirigido) abundan todavía en las estrategias de ataque utilizadas por los ciberdelincuentes de todo el mundo. Mientras tanto, Estados Unidos continúa hospedando más URLs de phishing que cualquier otro país.
  • “Uno de los grandes desafíos que enfrentamos en la actualidad es mejorar las tecnologías básicas de Internet para que se adapte mejor al volumen y a la sensibilidad del tráfico que ahora soporta”, afirmó Vincent Weafer, Vicepresidente Senior de McAfee Labs. “Todos los aspectos de la cadena de confianza se han roto en los últimos años, desde las contraseñas hasta el cifrado de clave pública de OpenSSL y más recientemente la seguridad de USB. La infraestructura de la cual dependemos depende en gran medida de la tecnología que no se ha mantenido a la par con el cambio y ya no cumple con las exigencias actuales.”
  • Los resultados también revelaron nuevas oportunidades para la ciberdelincuencia desde la divulgación pública de la vulnerabilidad de Heartbleed, ya que los datos robados de sitios vulnerables todavía se venden en el mercado negro en la actualidad. Las listas de sitios web no actualizados (sin parches) se han convertido rápidamente en las listas de éxito para los ciberdelincuentes y hay herramientas de fácil acceso para extraer sitios desactualizados. Con estas herramientas, es posible unir un sistema automatizado que apunta a máquinas vulnerables conocidas y extrae información sensible.
Otros hallazgos clave
  1. Operación Tovar: McAfee se ha unido a las agencias de seguridad y otros organismos para desmantelar Gameover Zeus y CryptoLocker mediante el bloqueo de más de 125.000 dominios CryptoLocker y desarticulando a más de 120.000 dominios Gameover Zeus. Sin embargo, los imitadores están en aumento, y están generando nuevas variantes de ransomware o malware con objetivos financieros utilizando el código fuente de Zeus filtrado.
  2. Crecimiento de Malware: Los nuevos tipos de malware aumentaron solo un 1% en el segundo trimestre. Sin embargo, con más de 31 millones de nuevos tipos, esta continuaba siendo la mayor cantidad registrada en un solo trimestre. El recuento total de malware móvil aumentó un 17% en el segundo trimestre, mientras que la tasa de malware nuevo parece que se ha estabilizado en unos 700.000 por trimestre.
  3. Amenazas de red: Los ataques de denegación de servicio aumentaron un 4% en el segundo trimestre y siguen siendo el tipo más frecuente de amenaza de red.
Más información
Fuente: Diarioti.com

APLICACIONES MÓVILES . El 75% fallan los tests de seguridad

Según un estudio, en 2015 habrá más de un 75% de aplicaciones que no superen los tests básicos de seguridad que deberían respetar para proteger a los usuarios de posibles amenazas. Un gran número de aplicaciones son capaces de acceder a los datos privados de los usuarios y de las empresas sin necesidad de dar explicaciones de por qué una determinada aplicación solicita acceso a dicha información.
Las empresas son los principales objetivos de los piratas informáticos. En ellas, la mayoría de los responsables de seguridad carecen de los conocimientos necesarios para protegerlas correctamente de las amenazas que suponen las aplicaciones móviles, tanto en dispositivos corporativos (aquellos que se utilizan para trabajar) como en dispositivos personales (aquellos que usan los empleados de forma privada).
Para comprobar la seguridad de las aplicaciones y analizar su comportamiento se suelen llevar a cabo 2 técnicas diferentes: Static Application Security Testing (SAST) y Dynamic Application Security Testing (DAST). Estos tests llevan alrededor de 10 años usándose en aplicaciones de PC, sin embargo, en los últimos meses, se ha tenido que desarrollar una nueva técnica de seguridad para aplicarla igualmente a las aplicaciones móviles debido al auge de estas y poder analizar así su comportamiento y descubrir si se trata de software seguro o malicioso.
De cara a 2 años la mayoría de los peligros a los que los usuarios se verán expuestos serán debidos a fallos y errores de configuración en las aplicaciones móviles. Debido a la facilidad para desarrollar aplicaciones móviles, la mayoría de los programadores no entienden los permisos ni mucha parte del código que copian y pegan en el entorno de programación, lo que abre un gran número de vulnerabilidades dentro de las aplicaciones que deberían ser evitados.
Fuente: Help Net Security

APPLE. Actualización de multiples productos, iOS, OS X, Safari…

Apple acaba de publicar actualizaciones para gran parte de sus productos. Como gran novedad destaca iOS 8, la nueva versión del sistema operativo para sus dispositivos móviles (iPhone, iPad, iPod… ). Pero además ha publicado las siguientes versiones actualizadas OS X Server 2.2.3, OS X Server 3.2.1, Safari 6.2, Safari 7.1, OS X Mavericks 10.9.5 y Security Update 2014-004, Xcode 6.0.1 y Apple TV 7.
Breve repaso de las actualizaciones publicadas y problemas solucionados.
  • iOS 8 es la nueva versión del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir cientos de novedades y mejoras (también en temas relacionados con la seguridad) además soluciona 56 nuevas vulnerabilidades. Los problemas corregidos van desde el propio kernel hasta las cuentas de usuario, WiFi, libro de direcciones, instalación de Apps, Bluetooth, CoreGraphins, Mail, etc… Una parte importante de los problemas podrían permitir a un atacante lograr ejecutar código arbitrario en los sistemas afectados.
  •  También hay que destacar las actualizaciones para OS X que incluyen las versiones OS Server 2.2.3, OS X Server 3.2.1 y OS X Mavericks 10.9.5. La familia de servidores se ven afectados por vulnerabilidades en CoreCollaboration. Tanto OS X Server 2.2.3 como OS X Server3.2.1 solucionan una inyección SQL en el servidor Wiki, Además OS X Server 3.2.1 soluciona un cross-site scripting en el servidor Xcode y siete vulnerabilidades en PostgreSQL, la más grave de ellas podría permitir la ejecución remota de código arbitrario.
  •  Por otra parte, también ha publicado OS X Mavericks v10.9.5 y Security Update 2014-004, destinado a corregir hasta 44 nuevas vulnerabilidades. Afectan a apache_mod_php, Bluetooth, CoreGraphics, Foundation, Intel Graphics Driver, IOAcceleratorFamily, IOHIDFamily, IOKit, Kernel, Libnotify, OpenSSL, QT Media Foundation y ruby. Una parte importante de estos problemas podrían permitir la ejecución remota de código arbitrario. Además OS X Mavericks v10.9.5 incluye la nueva versión Safari 7.0.6.
  • Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a lasversiones 6.2 y 7.1 para OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.5. Se solucionan 9 vulnerabilidades, la mayoría de las vulnerabilidades están relacionadas con problemas de corrupción de memoria en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.
  • Por último, Apple también ha publicado Apple TV 7 que soluciona 37 nuevas vulnerabilidades y Xcode 6.0.1, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en subversión.
Más información:
Fuente: Hispasec

WIRESHARK . Boletines de seguridad

Wireshark Foundation ha publicado ocho boletines de seguridad que solucionan doce vulnerabilidades en Wireshark. Afectan a las ramas 1.10 y 1.12.
 Wireshark es una aplicación de auditoría orientada al análisis de tráfico en redes muy popular que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se encuentra disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
 Los boletines publicados corrigen errores relacionados con diversos disectores, que podrían ser aprovechados para provocar una denegación de servicio, bien por un excesivo consumo de recursos del sistema o causando que la aplicación deje de funcionar.
Recursos afectdos
  •  Se encuentran afectadas las versiones de la ramas 1.10 y 1.12.
Detalle de los boletines pblicados
 Se presentan a continuación los boletines, los disectores afectados y el identificador CVE asignado a cada uno de los fallos de seguridad:
  1. wnpa-sec-2014-12: disector RTP (CVE-2014-6421 y CVE-2014-6422)
  2. wnpa-sec-2014-13: bucle infinito relacionado con el disector MEGACO (CVE-2014-6423)
  3. wnpa-sec-2014-14: disector Netflow (CVE-2014-6424)
  4. wnpa-sec-2014-15: disector CUPS (CVE-2014-6425)
  5. wnpa-sec-2014-16: bucle infinito relacionado con el disector HIP (CVE-2014-6426)
  6. wnpa-sec-2014-17: disector RTSP (CVE-2014-6427)
  7. wnpa-sec-2014-18: disector SES (CVE-2014-6427)
  8. wnpa-sec-2014-19: cuatro vulnerabilidades relacionadas con el analizador DOS Sniffer (identificadores del CVE-2014-6429 al CVE-2014-6432). Descubiertas por Chaoqiang Zhang (de la Universidad del estado de Oregon, OSU) y Lewis Burns (de HP Fortify).
Todas estas vulnerabilidades podrían ser explotadas a través de la inyección de paquetes manipulados en la red, o convenciendo a un usuario para que abra un fichero de captura de tráfico especialmente manipulado.
Recomendación
  • Se han publicado las versiones 1.10.10 y 1.12.1, que corrigen todas las vulnerabilidades expuestas, en la página oficial.
Más información:
Fuente: Hispasec

ADOBE. Actualizaciones de seguridad para Adobe Reader y Acrobat

Adobe ha publicado una actualización para corregir ocho vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados.
Recursos afectados
  •  Las versiones afectadas son Adobe Reader XI 10.0.8 (y anteriores) para Windows y Macintosh, Adobe Reader X 10.0.11 (y anteriores) para Windows y Macintosh.
Detalle e Impacto potencial de las vulnerabilidades corregidas
  •  Esta actualización soluciona una vulnerabilidad de uso después de liberar memoria que podría permitir la ejecución de código (CVE-2014-0560), una vulnerabilidad de universal cross-site scripting (UXSS) en la plataforma Macintosh (CVE-2014-0562), una corrupción de memoria que podría dar lugar a condiciones de denegación de servicio (CVE-2014-0563), desbordamientos de búfer que podrían permitir la ejecución de código (CVE-2014-0561, CVE-2014-0567), corrupción de memoria que podrían dar lugar a ejecución de código (CVE-2014-0565, CVE-2014-0566) y un salto de la sandbox que podría permitir la ejecución de código con privilegios elevados en Windows (CVE-2014-0568).
Recomendación
  •  Para corregir estos problemas Adobe ha publicado las versiones Adobe Reader XI 11.0.09 y Adobe Reader X 10.1.12 para Windows and Macintosh, se recomienda actualizar a estas versiones empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/.
Más información:
Fuente: Hispasec

KINDLE. Nueva vulnerabilidad permite obtener detalles de la cuenta de usuario

Se ha anunciado una vulnerabilidad en el software del Kindle de Amazon que podría permitir a un atacante acceder a todos los detalles de una cuenta de Amazon.
A vueltas con la vulnerabilidad en cuestión
  •  Lo más sorprendente es que según Benjamin Daniel Mussler, investigador que ha dado a conocer el problema, reportó el problema a Amazon en noviembre de 2013 y fue corregido poco después. Sin embargo confirma que, hace dos meses, al publicar una nueva versión de la aplicación web "Manage your Kindle" se ha reintroducido la vulnerabilidad. Según confirma no ha obtenido respuesta a ninguna de sus comunicaciones.
Detalle e Impacto potencial de la vulnerabilidad
  •  El problema reside en un cross-site scripting almacenado, la más peligrosa de todas las formas de este tipo de ataques, en la librería Kindle de Amazon, en las páginas conocidas como "Manage Your Content and Devices" y "Manage your Kindle". El fallo se produce al descargar un libro electrónico desde un sitio que no sea la propia web de Amazon, y podría permitir inyectar código malicioso a través de los metadatos del libro (por ejemplo el título).
  • Una vez que la víctima descargue el libro y lo tenga añadido a su librería, el código se ejecutara en el momento en que la víctima abra la página web de la librería del Kindle. Como resultado, el atacante podrá acceder y transferir las cookies de sesión de Amazón, por lo que la cuenta quedará comprometida. Existe disponible una prueba de concepto del problema.
Más información:
Fuente: Hispasec

PROJECTDOX . Descubiertas varias vulnerabilidades

Se han descubierto cuatro vulnerabilidades en ProjectDox de Avolve Software, reportadas por CAaNES (Computational Analysis and Network Enterprise Solutions). Estas vulnerabilidades permitirían a un atacante remoto ejecutar código arbitrario, saltarse restricciones de seguridad y obtener información sensible de usuarios.
 ProjecDox es un software de colaboración que permite a los miembros de un equipo de trabajo acceder a un sitio centralizado, para encontrar la última información y los cambios realizados a un proyecto. Esta herramienta ofrece servicios como compartir archivos, cambiar notificaciones, foros de discusión, solicitudes de información, historial y seguimiento de proyectos y colaboración.
Detalle e Impacto potencial de las vulnerabilidades  descubiertas
  1. La primera vulnerabilidad, con identificador CVE-2014-5129, en la cual un atacante remoto aprovechándose de una vulnerabilidad Cross-site scripting (XSS) podría ejecutar código JavaScript malicioso en el navegador del usuario.
  2. La siguiente vulnerabilidad, con CVE-2014-5130, podría permitir a un atacante remoto conseguir acceso no autorizado a información sensible de otros usuarios mediante la inspección de "tokens" de acceso.
  3. La tercera vulnerabilidad, con CVE-2014-5131, en la cual un atacante remoto, podría también tener acceso a información sensible de otros usuarios aprovechándose de determinados errores al cifrar identificadores de datos en múltiples localizaciones.
  4. Por último, tenemos el CVE-2014-5132, en el que un atacante remoto podría comprobar si un usuario determinado está registrado en la plataforma, información que podría luego ser utilizada para futuros ataques.
  • Esta vulnerabilidad se ha reportado en la versión ProjectDox 8.1. A fecha de hoy no existe ninguna solución oficial a estas vulnerabilidades, se recomienda actualizar a versiones superiores.
Más información:
Fuente: Hispasec

MICROSOFT . Nuevo problema en las actualizaciones

Por segundo mes consecutivo Microsoft se ha visto obligado a retirar del centro de descargas una de las actualizaciones publicadas dentro del conjunto de boletines de seguridad publicado el pasado martes. En esta ocasión los problemas se han dado con el boletín MS14-055 en servidores Microsoft Lync Server 2010.
Microsoft ha retirado la actualización 2982385 para Microsoft Lync Server 2010 perteneciente al boletín MS14-045 del "Download Center". Este boletín estaba calificado como "importante" y solucionaba tres vulnerabilidades que podrían permitir a un atacante provocar denegaciones de servicio en servidores Lync 2010 y 2013. En esta ocasión parece que los problemas solo se dan en servidores Lync 2010.
Microsoft ha indicado que ha retirado la actualización debido a que algunos usuarios no han podido llegar a instalar correctamente la actualización 2982385 para Microsoft Lync Server 2010. Según han reportado algunos usuarios de Lync 2010 han sufrido problemas en el servidor Edge al haber instalado la actualización KB2953590 para OCSCore pero no poder instalar correctamente la actualización 2982385 para Lync Server.
 Dentro de unos días, tal y como ocurrió el pasado mes con la actualización MS14-045 Microsoft volverá a publicar la actualización con todos los problemas ya solucionados. Aunque estos dos problemas se han dado en productos y configuraciones muy determinados y poco habituales, no deja de ser preocupante que el mismo suceso haya ocurrido por dos meses consecutivos. Microsoft establece grandes controles antes de publicar un parche, resulta complejo evaluar una actualización en todas las posibles configuraciones, idiomas, versiones, etc. Pero esperamos, por la tranquilidad de todos, que este tipo de problemas no se vuelvan a repetir.
Más información:
Fuente: Hispasec

PHPMYADMIN. Vulnerabilidad de tipo XSRF/CSRF

Vulnerabilidad XSRF/CSRF debida a DOM XSS basada en la funcionalidad de micro historia., catalogada de Importancia: 5 - Crítica
Detalle e Impacto potencial de la vulnerabilidad
  • Gracias a esta vulnerabilidad es posible la ejecución remota de código si un usuario autenticado en sistema fuese engañado para hacer click en una URL manipulada. Incluso en algunos casos se puede crear una cuenta de superusuario debido a un DOM XSS basado en una vulnerabilidad en la funcionalidad de micro historia.
Recomendación
  • Actualizar a phpMyAdmin 4.0.10.3 o posterior, o 4.1.14.4 o posterior, o 4.2.8.1 o posterior o aplicar el parche correspondiente incluido en referencias.
Más información:
Fuente: INTECO

JUNIPER NETWORKS SSL VPN/UAC. Vulnerabilidad tipo XSS en alguno de sus productos

Se ha encontrado una vulnerabilidad de tipo XSS en productos Juniper Networks SSL VPN/UAC, provocada por una validación incorrecta de los datos introducidos por usuarios en el servidor web SSL VPN/UAC.. Dicha vulnerabilidad se ha catalogado de Importancia: 5 - Crítica
Recursos afectados
  1. SA700
  2. SA2500
  3. FIPS SA4000
  4. SA4500
  5. FIPS SA4500
  6. FIPS SA6000
  7. SA6500
  8. FIPS SA6500
  9. MAG2600
  10. MAG4610
  11. MAG6610
  12. MAG6611
  13. IC4000
  14. IC4500
  15. IC6000
  16. IC6500
  17. FIPS IC6500

  • Las versiones de software afectadas incluyen IVE OS: 8.0, 7.4, 7.1, y UAC 5.0, 4.4, y 4.1

Detalle e Impacto potencial de la vulnerabilidad
  • La correcta explotación del fallo podría provocar que un atacante robase la sesión de un usuario, provocase la interrupción del servicio, o incluso la divulgación de información sensible.
  • La vulnerabilidad ha recibido el identificador CVE-2014-3820 y una puntuación CVSS 9.3 de 10.0.
Recomendación
Actualizar a las siguientes versiones de software:
  1. SA/MAG (IVE OS): 8.0r1, 7.4r3, 7.1r16 o superior.
  2. UAC OS: 5.0r1, 4.4r3, 4.1r8 o superior.
Más información:
Fuente: INTECO

CLEARSCADA DE SCHNEIDER ELECTRIC. Nuevas vulnerabilidades en algunos productos

Varias vulnerabilidades han sido descubiertas en una investigación independiente que afecta a la familia de productos StruxureWare SCADA Expert ClearSCADA de Schneider Electric.. Dichas vulnerabilidades de han catalogado con Importancia: 3 - Media
Recursos afectados
Las siguientes versiones de StruxureWare SCADA Expert ClearSCADA están afectadas:
  1. ClearSCADA 2010 R3 (build 72.4560)
  2. ClearSCADA 2010 R3.1 (build 72.4644)
  3. SCADA Expert ClearSCADA 2013 R1 (build 73.4729)
  4. SCADA Expert ClearSCADA 2013 R1.1 (build 73.4832)
  5. SCADA Expert ClearSCADA 2013 R1.1a (build 73.4903)
  6. SCADA Expert ClearSCADA 2013 R1.2 (build 73.4955)
  7. SCADA Expert ClearSCADA 2013 R2 (build 74.5094)
  8. SCADA Expert ClearSCADA 2013 R2.1 (build 74.5192)
  9. SCADA Expert ClearSCADA 2013 R1 (build 75.5210)
Detalle e Impacto potencial de las vulnerabilidades
Las vulnerabilidades descubiertas son las siguientes:
  1. Acceso no autenticado. La cuenta de invitado (guest) disponible por defecto para acceder al sistema con motivos de demostración, dispone de permisos de lectura que permiten obtener información sensible de la base de datos.
  2. Algoritmo de cifrado débil. El certificado autofirmado del producto emplea el algoritmo de firma MD5, el cual es obsoleto y vulnerable.
  3. Cross Site Scripting. Un atacante puede sacar provecho de esta vulnerabilidad cuando un usuario administrador local se encuentra autenticado en el sistema a través interfaz WebX y forzar el apagado del sistema.
Recomendación
  • Schneider Electric está elaborando el parche de software que corrige los fallos
  •  En espera de la actualización, se recomienda aplicar las contramedidas siguientes:
  1. Utilizar un certificado emitido por una autoridad de certificación reconocida o bien generar un certificado autofirmado utilizando algoritmo SHA.
  2. Para mitigar la vulnerabilidad de acceso a la base de datos con usuario invitado, Scheider Electric recomienda revisar la configuración de la base de datos y restringir los permisos según el perfil del usuario.
  3. En el caso de la vulnerabilidad de XSS, se recomienda desactivar la opción “Allow database shutdown via WebX” a través de la utilidad de configuración del Servidor ClearSCADA.
Más información:
Fuente: INTECO

SCADA Yokogawa CENTUM y Exaopc. Acceso sin autenticación a sistemas de ambos productos.

Investigadores de Rapid7 han identificado una vulnerabilidad de acceso sin autenticar en los productos SCADA Yokogawa CENTUM CS 3000 series and Exaopc, catalogada de  Importancia: 4 - Alta
Recursos afectados
 Las siguientes versiones de Yokogawa CENTUM 3000 están afectadas:
  1. CENTUM series con el paquete de administración Batch instalado
  2. CENTUM CS 3000 (R3.09.50 y anteriores)
  3. CENTUM CS 3000 Small (R3.09.50 y anteriores)
  4. CENTUM VP (R4.03.00 y anteriores, R5.04.00 y anteriores)
  5. CENTUM VP Small (R4.03.00 y anteriores, R5.04.00 y anteriores)
  6. CENTUM VP Basic (R4.03.00 y anteriores, R5.04.00 y anteriores)
 Las siguientes versiones de Yokogawa Exaopc estan afectadas:

  1. Exaopc (R3.72.10 y anteriores)
Detalle e Impacto de la vulnerabilidad
  • En los productos CENTUM CS 3000, el servicio BKBCopyD.exe se inicia cuando los paquetes de administración Batch están instalados y escuchan en el puerto por defecto 20111/TCP.
  • Al carecer de autenticación, es posible realizar operaciones ofrecidas por el servicio que permitirían leer y escribir ficheros arbitrarios, asi como localizar la base de datos del proyecto.
  • Esta vulnerabilidad es explotable remotamente y existe exploit disponible, por lo que es recomendable su mitigación inmediata.
Recomendación
  • Yokogawa publicará la actualización necesaria para corregir el fallo a finales de septiembre de 2014. Se recomienda hacer el seguimiento y aplicar de forma inmediata las medidas de firewall siguientes:
  • Bloquear toda comunicación externa a la red del sistema de control que vaya dirigida al puerto 20111/TCP.
  • Permitir tráfico interno en el puerto 20111/TCP solo para sistemas CENTUM systems que tengan los paquetes de administración Batch instalados.
  • Bloquear el tráfico en el puerto 20111/TCP a instalaciones Exaopc.
  • Para ampliar información de la vulnerabilidad consultar el aviso de seguridad publicado por Yokogawa en el siguiente enlace  http://www.yokogawa.com/dcs/security/ysar/dcs-ysar-index-en.htm
Más información
Fuente: INTECO

ADVANTECH WEBACCESS . Múltiples desbordamientos de búfer

El investigador de Core Security Technologies Ricardo Narvaja ha identificado un total 8 vulnerabilidades, explotables remotamente, que pueden provocar un desbordamiento de búfer en la aplicación Advantech’s WebAccess. Dicha vulnerabilidad se ha catalogado de Importancia: 4 - Alta
Recursos afectados
  • WebAccess Version 7.2

Detalle e Impacto de la vulnerabilidad
Sería posible llevar a cabo la explotación de las vulnerabilidades mediante un fichero HTML especialmente diseñado para que analice alguno de los siguientes parámetros:
  • NodeName
  • GotoCmd
  • NodeName2
  • AccessCode
  • AccessCode2
  • UserName
  • projectname
  • password

De este modo, se podría ejecutar código arbitrario en la máquina afectada o incluso provocar la interrupción del servicio.
Se han asignado los siguientes identificadores:
  • CVE-2014-0985
  • CVE-2014-0986
  • CVE-2014-0987
  • CVE-2014-0988
  • CVE-2014-0989
  • CVE-2014-0990
  • CVE-2014-0991
  • CVE-2014-0992

Todos ellos con una puntuación CVSS 6.8 sobre 10.0
Recomendación

Más información


Fuente: INTECO

IBM SYSTEM NETWORKING. Credenciales embebidas en varios de sus switches

 Se ha reportado que el firmware de varios switches IBM System Networking tiene credenciales embebidas, que podrían ser utilizadas como puertas traseras, la vulnerabilidad se ha catalogado de Importancia: 5 - Crítica
Recursos afectados
 La vulnerabilidad afecta a los siguientes productos de IBM:
  1. IBM Flex System Fabric EN4093/EN4093R 10Gb Scalable Switch: todas las versiones anteriores a la 7.8.6.0.
  2. IBM Flex System Fabric CN4093 10Gb Converged Scalable Switch: todas las versiones anteriores a la 7.8.6.0.
  3. IBM Flex System Fabric SI4093 System Interconnect Module: todas las versiones anteriores a la 7.8.6.0.
  4. IBM 10G VFSM for Bladecenter: todas las versiones anteriores a la 7.8.14.0.
  5. IBM Flex System EN2092 1Gb Ethernet Scalable Switch: todas las versiones anteriores a la 7.8.6.0.
  6. IBM 1:10G switch for Bladecenter: todas las versiones anteriores a la 7.4.8.0.
  7. IBM Flex System Interconnect Fabric: todas las versiones anteriores a la 21.0.21.0.
  8. IBM 1G switch for Bladecenter: todas las versiones anteriores a la 5.3.5.0.
  9. IBM Server Connectivity Module: todas las versiones anteriores a la 1.1.3.4.
  10. IBM System Networking RackSwitch G8052: todas las versiones anteriores a la 7.9.10.0.
  11. IBM System Networking RackSwitch G8124: todas las versiones anteriores a la 7.9.10.0.
  12. IBM System Networking RackSwitch G8124-E: todas las versiones anteriores a la 7.9.10.0.
  13. IBM System Networking RackSwitch G8124-ER All Versions Prior to 7.9.10.0.
  14. IBM System Networking RackSwitch G8264 All Versions Prior to 7.9.10.0.
  15. IBM System Networking RackSwitch G8316: todas las versiones anteriores a la 7.9.10.0.
  16. IBM System Networking RackSwitch G8264CS: todas las versiones anteriores a la 7.8.6.0.
  17. IBM System Networking RackSwitch G8264-T: todas las versiones anteriores a la 7.9.10.0.
  18. IBM System Networking RackSwitch G8332 All Versions Prior to 7.7.17.0.
  19. IBM System Networking RackSwitch G8000: todas las versiones anteriores a la 7.1.7.0.
Recomendación
 Los credenciales embebidos de los productos afectados se han eliminado del firmware en las siguientes versiones, disponibles desde FixCentral:
  1. IBM Flex System Fabric EN4093/EN4093R 10Gb Scalable Switch: 7.8.6.0, 7.7.19.0.
  2. IBM Flex System Fabric CN4093 10Gb Converged Scalable Switch: 7.8.6.0, 7.7.19.0.
  3. IBM Flex System Fabric SI4093 System Interconnect Module: 7.8.6.0, 7.7.19.0.
  4. IBM 10G VFSM for Bladecenter: 7.8.14.0, 7.7.5.0, 6.8.18.0.
  5. IBM Flex System EN2092 1Gb Ethernet Scalable Switch: 7.8.6.0, 7.7.19.0.
  6. IBM 1:10G switch for Bladecenter: 7.4.8.0, 6.8.18.0.
  7. IBM Flex System Interconnect Fabric: 7.8.6.0.
  8. IBM 1G L2-7 SLB switch for Bladecenter: 21.0.21.0.
  9. IBM 1G switch for Bladecenter: 5.3.5.0.
  10. IBM Server Connectivity Module: 1.1.3.4.
  11. IBM System Networking RackSwitch G8052: 7.9.10.0, 7.8.15.0.
  12. IBM System Networking RackSwitch G8124: 7.9.10.0, 7.7.15.0.
  13. IBM System Networking RackSwitch G8124-E: 7.9.10.0, 7.7.15.0.
  14. IBM System Networking RackSwitch G8124-ER: 7.9.10.0, 7.7.15.0.
  15. IBM System Networking RackSwitch G8264: 7.9.10.0, 7.8.15.0.
  16. IBM System Networking RackSwitch G8316: 7.9.10.0, 7.8.15.0.
  17. IBM System Networking RackSwitch G8264CS: 7.8.6.0, 7.7.15.0.
  18. IBM System Networking RackSwitch G8264-T: 7.9.10.0, 7.8.15.0.
  19. IBM System Networking RackSwitch G8332: 7.7.17.0.
  20. IBM System Networking RackSwitch G8000: 7.1.7.0.
Detalle e Impacto de la vulnerabilidad
 El firmware presente en varios switches IBM System Networking tiene credenciales usuario/contraseña embebidas, creando puertas traseras que podrían ser aprovechadas por atacantes. Esta vulnerabilidad ha recibido el identificador CVE-2014-4752, con una criticidad de 10.0.
Más información
Fuente: INTECO